Santo Domingo. – La Cámara de Cuentas de la República Dominicana publicó este jueves el Informe de evaluación al departamento de Tecnología de la Información y Comunicación y Recursos Tecnológicos de la Dirección General de Contrataciones Públicas (DGCP) durante el período comprendido entre el l.° de enero de 2017 y el 31 de diciembre de 2020.
En la Evaluación de Gestión TI en el Departamento de TIC se comprobó que existen debilidades y vulnerabilidades de gestión como son:
Ausencia de un mecanismo para evaluar la situación actual tecnológica de la DGCP, no se cuenta con los planes de contingencia, continuidad de negocio y recuperación de desastres acorde con la situación actual de la DGCP, el departamento de TIC no cuenta con los recursos necesario para el desarrollo e implementación de proyectos acorde con una metodología basadas en buenas prácticas, no cuenta con un área para evaluar la calidad (QA) de los proyectos tecnológicos llevados a cabo en la DGCP, no ha creado e implementado los mecanismos que le permitan desplegar una gestión de cambio en las contraseñas de las cuentas de servicios que afectan las áreas sensitivas y críticas, no ha creado e implementado los mecanismos para garantizar una efectiva segregación de las funciones entre las áreas que conforman el departamento.
Se comprobó que las políticas y procedimientos generales de TIC, al momento de la auditoría estaban desactualizadas, realizándose la última revisión y/o creación en el año 2015, las políticas en su mayoría no cuentan con un procedimiento que indique como deben de ser ejecutadas.
También se detectó que el Departamento de TIC no cuenta con una herramienta o matriz de riesgo, ausencia de controles en el servidor de dominio, estructura organizativa del departamento de TIC no alineada a Órganos Rectores, falta de control y monitoreo en los accesos a los sistemas de información.
Entre otros hallazgos están la falta de segregación de funciones, debilidades de la gestión de respaldos de información (backups), debilidades de control en el área de desarrollo e implementación de sistemas, vulnerabilidades críticas generales del portal transaccional y falta de controles en asignación de roles en el servidor de bases de datos.