INFORME DE AUDITORÍA TI-07-08 24 de mayo de 2007 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE

INFORME DE AUDITORÍA TI-07-08 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS () Período auditado: 16 de febrero al 17 de agosto de 2006

Informe de Auditoría TI-07-08 1 CONTENIDO Página INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 RESPONSABILIDAD DE LA GERENCIA... 5 ALCANCE Y METODOLOGÍA... 6 OPINIÓN... 6 RECOMENDACIONES... 7 A LA JUNTA DE GOBIERNO DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO... 7 AL DIRECTOR EJECUTIVO DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO... 7 CARTAS A LA GERENCIA... 11 COMENTARIOS DE LA GERENCIA... 11 AGRADECIMIENTO... 12 RELACIÓN DETALLADA DE HALLAZGOS... 13 CLASIFICACIÓN Y CONTENIDO DE UN HALLAZGO... 13 HALLAZGOS EN LA OFICINA DE INFORMÁTICA CORPORATIVA Y EN LAS OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO... 14 1 - Falta de un plan de seguridad... 14 2 - Deficiencias relacionadas con la creación y el mantenimiento de las cuentas de acceso lógico en la computadora principal de la AEE... 16 3 - Deficiencias relacionadas con los controles de acceso lógico... 20 4 - Deficiencias relacionadas con los controles físicos y ambientales de los centros de cómputos de la AEE... 22 5 - Falta de controles adecuados sobre el equipo computadorizado... 26

2 Informe de Auditoría TI-07-08 6 - Sistema operativo del mainframe de la AEE que no tenía instalada la versión mínima requerida para recibir mantenimiento del proveedor...29 7 - Falta de integración y coordinación efectiva entre la OIC, el Comité Timón y el Concilio de Informática...31 8 - Ausencia de un Plan de Continuidad de Negocios Corporativo y deficiencias relacionadas con el Plan General de Emergencias de la OIC...33 9 - Falta de normas y procedimientos escritos para la administración, la seguridad y el uso de los sistemas de información computadorizados de la AEE...35 ANEJO 1 - MIEMBROS DE LA JUNTA DE GOBIERNO QUE ACTUARON DURANTE EL PERÍODO AUDITADO...42 ANEJO 2 - FUNCIONARIOS PRINCIPALES DEL NIVEL EJECUTIVO QUE ACTUARON DURANTE EL PERÍODO AUDITADO...43

Informe de Auditoría TI-07-08 3 Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico Al Gobernador y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Informática Corporativa (OIC) y de las oficinas de Informática adscritas a ocho directorados de la Autoridad de Energía Eléctrica de Puerto Rico (AEE) para determinar si se hicieron de acuerdo con las normas generalmente aceptadas en este campo y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Efectuamos la misma a base de la facultad que se nos confiere en la Sección 22 del Artículo III de la Constitución del Estado Libre Asociado de Puerto Rico y en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. Determinamos emitir varios informes de esta auditoría. Este primer informe contiene el resultado de nuestro examen de los controles internos relacionados con la evaluación del riesgo y el plan de seguridad, el desarrollo y control de cambios de las aplicaciones, los controles de acceso lógico y físico y los sistemas operativos de la AEE. INFORMACIÓN SOBRE LA UNIDAD AUDITADA La AEE fue creada por disposición de la Ley Núm. 83 del 2 de mayo de 1941, según enmendada, para conservar, desarrollar y utilizar las fuentes fluviales y de energía de la Isla y hacer accesible el servicio de electricidad a los habitantes de ésta en la forma más amplia y económica posible. Los poderes corporativos de la AEE son ejercidos por una Junta de Gobierno (Junta) compuesta por nueve miembros. Siete de éstos son nombrados por el Gobernador con el

4 Informe de Auditoría TI-07-08 consentimiento del Senado; los otros dos representan el interés público y son electos mediante referéndum. La administración y supervisión de las operaciones son ejercidas por un Director Ejecutivo nombrado por la Junta. El ANEJO 1 contiene una relación de los miembros de la Junta que actuaron durante el período auditado. El ANEJO 2 contiene una relación de los funcionarios principales de la AEE que actuaron durante dicho período. La AEE está estructurada en diez directorados. La Oficina del Director Ejecutivo, en el desempeño de su responsabilidad, cuenta con los siguientes tres directorados que componen la fase operacional: Sistema Eléctrico, Transmisión y Distribución, y Servicio al Cliente. Este último tiene 7 oficinas regionales ubicadas en San Juan, Caguas, Ponce, Carolina, Mayagüez, Bayamón y Arecibo, y 33 oficinas comerciales ubicadas en varios pueblos de la Isla. Los siguientes siete directorados le sirven de apoyo a la fase operacional: Planificación y Protección Ambiental, Ingeniería, Finanzas, Recursos Humanos, Asuntos Laborales, Asuntos Jurídicos, y Servicios Administrativos. De los 10 directorados, 8 contaban con oficinas de Informática. La Oficina de Informática del Directorado de Recursos Humanos proveía apoyo tecnológico a los directorados de Asuntos Laborales y Asuntos Jurídicos. La OIC era dirigida por una Administradora, que respondía al Director Ejecutivo de la AEE. A la fecha de nuestra auditoría, la AEE tenía una computadora principal, que operaba en plataforma de mainframe, para procesar la información del Sistema de Facturación Customer Service System (CSS) y de los sistemas de Nóminas y Materiales. Además, contaba con una red de datos con 3 componentes: una Red de Servicios Externos para acceder a Internet y al comercio electrónico, un backbone 1 que permitía la interconexión de todas las oficinas de la AEE desde 28 puntos en la Isla y redes de área local que daban servicio en las diversas oficinas de la AEE. Éstas estaban compuestas por 263 servidores y sus equipos periferales correspondientes. En éstos se procesaban el Sistema de Administración de Energía (SAE) y el Enterprise Maintenance Planning and Control (EMPAC) del Directorado de Sistema 1 Línea de transmisión más grande que transporta la información recopilada de líneas más pequeñas que están interconectadas con ella.

Informe de Auditoría TI-07-08 5 Eléctrico; y Severe Trent Operational Resource Management System (STORMS), Geographic Information System (GIS) y Outage Management System (OMS), conocidos como el Proyecto de Administración Integrada de Recursos (Proyecto AIRe) del Directorado de Transmisión y Distribución, entre otros. La AEE estaba en el proceso de migrar sus aplicaciones financieras a una base de datos de Oracle. Además, tenía en operación aproximadamente 4,419 microcomputadoras y ofrecía servicios a 4,251 usuarios conectados a su red corporativa. Los ingresos para financiar las actividades operacionales de la AEE provienen primordialmente de la venta de energía eléctrica, los servicios de instalación de líneas y los intereses de sus inversiones. El presupuesto de la AEE para el año fiscal 2005-06 ascendió a $2,264,936,000. El presupuesto de la OIC y de las oficinas de informática de los directorados para el año fiscal 2005-06 ascendió a $26,180,319. La AEE cuenta con una página de Internet, a la cual se puede acceder mediante la siguiente dirección: http://www.aeepr.com. Esta página provee información acerca de la entidad y de los servicios que presta. RESPONSABILIDAD DE LA GERENCIA La gerencia de todo organismo gubernamental debe considerar los siguientes Diez Principios para Lograr una Administración Pública de Excelencia. Éstos se rigen por principios de calidad y por los valores institucionales: 1. Adoptar normas y procedimientos escritos que contengan controles internos de administración y de contabilidad eficaces, y observar que se cumpla con los mismos. 2. Mantener una oficina de auditoría interna competente. 3. Cumplir con los requisitos impuestos por las agencias reguladoras. 4. Adoptar un plan estratégico para las operaciones. 5. Mantener el control presupuestario. 6. Mantenerse al día con los avances tecnológicos.

6 Informe de Auditoría TI-07-08 7. Mantener sistemas adecuados de archivo y de control de documentos. 8. Cumplir con el Plan de Acción Correctiva de la Oficina del Contralor de Puerto Rico, y atender las recomendaciones de los auditores externos. 9. Mantener un sistema adecuado de administración de personal que incluya la evaluación del desempeño, y un programa de educación continua para todo el personal. 10. Cumplir con la Ley de Ética Gubernamental, lo cual incluye divulgar sus disposiciones a todo el personal. En nuestra Carta Circular OC-98-09 del 14 de abril de 1998 se ofrece información adicional sobre dichos principios. Se puede acceder a esta Carta Circular a través de nuestra página de Internet: http://www.ocpr.gov.pr. ALCANCE Y METODOLOGÍA La auditoría cubrió del 16 de febrero al 17 de agosto de 2006. El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias. Para efectuar la auditoría utilizamos la siguiente metodología: Entrevistas a funcionarios, a empleados y a particulares Inspecciones físicas Examen y análisis de informes y de documentos generados por la unidad auditada Análisis de información suministrada por fuentes externas Pruebas y análisis de procedimientos de control interno y de otros procesos Confirmaciones de cuentas y de otra información pertinente OPINIÓN Las pruebas efectuadas demostraron que las operaciones de la OIC y de las oficinas de Informática de los directorados de la AEE, en lo que concierne a los controles internos

Informe de Auditoría TI-07-08 7 relacionados con la evaluación del riesgo y el plan de seguridad, el desarrollo y control de cambios de las aplicaciones, los controles de acceso lógico y físico y los sistemas operativos de la AEE, no se realizaron conforme a las normas generalmente aceptadas en este campo. En la parte de este Informe titulada RELACIÓN DETALLADA DE HALLAZGOS se comentan los hallazgos del 1 al 9, clasificados como principales. RECOMENDACIONES A LA JUNTA DE GOBIERNO DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO 1. Ver que el Director Ejecutivo de la AEE cumpla con las recomendaciones de la 2 a la 9 de este Informe. [Hallazgos del 1 al 9] AL DIRECTOR EJECUTIVO DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO 2. Ejercer una supervisión eficaz sobre la Administradora de la OIC para asegurarse de que: a. Prepare, en coordinación con el Administrador de la Oficina de Seguridad Corporativa, un plan de seguridad para la OIC y las oficinas de Informática de los directorados y someta el mismo para su consideración y aprobación. Una vez aprobado, asegurarse de que se realicen pruebas periódicas y se divulgue a los empleados y funcionarios concernidos. [Hallazgos 1, 3 y 4] b. El Administrador del Centro de Cómputos vele por que: 1) Todas las cuentas de acceso a la computadora principal incluyan en el perfil del usuario el nombre de éste. Esto ayudaría al Especialista en Seguridad de Datos a mantener un buen control y mejor documentado el sistema de seguridad. [Hallazgo 2-a.1)] 2) El atributo de OPERATIONS sea otorgado sólo a los usuarios que tengan la necesidad de acceder datos de las aplicaciones en producción o tengan a su cargo el

8 Informe de Auditoría TI-07-08 manejo de espacio en disco, tales como: programadores de sistemas operativos y administradores de bases de datos. [Hallazgo del 2-a.1) al 3)] 3) Se eliminen las cuentas de acceso expiradas y revocadas que no han sido utilizadas en un período prolongado y se revisen las cuentas activas para que se asignen a los usuarios los atributos necesarios para llevar a cabo sus funciones. [Hallazgo 2-a.3) y 4)] 4) El atributo de AUDITOR sea otorgado sólo al funcionario encargado de auditar de forma rutinaria el uso de los sistemas de información. [Hallazgo 2-a.3) y 4)] 5) Actualice los sistemas operativos a sus versiones más recientes para asegurar un funcionamiento más efectivo y eficaz de los sistemas de información. [Hallazgo 6] c. Desarrolle las medidas de control necesarias, en coordinación con el Administrador de la Oficina de Seguridad Corporativa, para corregir las situaciones comentadas y las someta para su consideración y aprobación. Implante dichas medidas tan pronto sean aprobadas, y vea que se cumpla con las mismas. [Hallazgo 4-a.2) y 3)] d. Prepare un Plan de Continuidad de Negocios, que incluya un Plan para la Recuperación de Desastres y un Plan para la Continuidad de las Operaciones, y los someta para su consideración y aprobación. Una vez éstos sean aprobados, tomar las medidas necesarias para asegurarse de que el mismo se mantenga actualizado y se conserve copia en un lugar seguro fuera de los predios de la AEE. Además, asegurarse de que sea distribuido a los funcionarios y empleados concernientes y que se realicen pruebas periódicas para garantizar la efectividad del mismo. [Hallazgo 8] e. Prepare, en coordinación con los directores de los directorados y el personal a cargo de la seguridad, las normas y los procedimientos necesarios para corregir las deficiencias comentadas en el Hallazgo 9 y someta los mismos para su consideración y aprobación. Una vez aprobados, asegurarse de que se mantengan actualizados y se cumpla con éstos.

Informe de Auditoría TI-07-08 9 3. Asegurarse de que el Director de Recursos Humanos vele por que se notifique oportunamente: a. Al Especialista en Seguridad de Datos de la OIC las cesantías de empleados y funcionarios de la AEE con acceso al mainframe, para que el acceso otorgado a éstos sea eliminado inmediatamente. [Hallazgo 2-a.2)] b. Al personal a cargo de la seguridad de la División de Operación del Directorado de Sistema Eléctrico, las cesantías de empleados y funcionarios de la AEE con acceso al sistema mencionado en el Hallazgo 3-a.1). 4. Tomar las medidas necesarias para asegurarse de que: a. El Director de Servicio Eléctrico: 1) Designe a un funcionario a cargo de la seguridad del Sistema EMPAC. Dicho funcionario y el encargado de la seguridad del SAE serán responsables, entre otras cosas, de establecer los controles de acceso en dichos sistemas. [Hallazgo 3-a.2) y 3)] 2) En coordinación con la Administradora de la OIC y el Administrador de Seguridad Corporativa, logren redistribuir el espacio utilizado por el personal que labora en la División de Operación y se garantice la protección y seguridad de los recursos de informática allí localizados. [Hallazgo 4-a.4) y 6)] 3) Realice las gestiones necesarias para que se corrijan las situaciones comentadas en el Hallazgo 4-a.5) y 8). b. El Director de Transmisión y Distribución realice las gestiones necesarias para que se corrija la situación comentada en el Hallazgo 4-a.7).

10 Informe de Auditoría TI-07-08 c. El Director de Ingeniería realice las gestiones necesarias para que se corrijan las situaciones comentadas en el Hallazgo 4-a.9). 5. Considerar la posibilidad de reubicar la OIC a un lugar que provea mayor seguridad contra inundaciones. [Hallazgo 4-a.1)] 6. Instruir al Director de Finanzas para que vele por que la Supervisora de la Oficina de Inventario Continuo de Propiedad Mueble se asegure de obtener de los responsables de la Propiedad Mueble la información completa y confiable que sea necesaria para mantener actualizado el Inventario Continuo de la Propiedad Mueble. [Hallazgo 5] 7. Instruir a los directores de los departamentos para que ejerzan una supervisión eficaz de los responsables de la Propiedad Mueble. Ello, de manera que se aseguren de que éstos provean la información necesaria a la Supervisora de la Oficina de Inventario Continuo de Propiedad Mueble y que no se repitan situaciones como las comentadas en el Apartado del a.3) al 5) y se cumpla con las disposiciones reglamentarias mencionadas en el Hallazgo 5. Además, una vez aprobado el Procedimiento para el Control y Disposición de la Propiedad Mueble, revisado desde mayo de 2005, se aseguren de su cumplimiento. 8. Impartir instrucciones al Director de Servicios Administrativos para que instruya a la Gerente del Departamento de Estudios y Procedimientos Corporativos para que someta para su consideración y aprobación el Procedimiento para el Control y Disposición de la Propiedad Mueble. [Hallazgo 5] 9. Tomar las medidas correspondientes para que la Administradora de la OIC, el Comité Timón y los miembros del Concilio de Informática se reúnan periódicamente y se aseguren de que las metas, los objetivos y las necesidades de los directorados están alineados con las metas organizacionales de la Corporación y con las necesidades de sus clientes internos y externos. [Hallazgo 7]

Informe de Auditoría TI-07-08 11 CARTAS A LA GERENCIA El borrador de los hallazgos de este Informe fue sometido para comentarios al Director Ejecutivo de la AEE, Ing. Jorge A. Rodríguez Ruiz, en carta del 23 de marzo de 2007. Con el mismo propósito, sometimos el borrador de los hallazgos de este Informe al ex Director Ejecutivo de la AEE, Ing. Edwin Rivera Serrano, en carta de esa misma fecha, por correo certificado con acuse de recibo, a una dirección provista por la AEE. El 24 de abril de 2007 se recibió en la Oficina, devuelta por el correo, la carta con el borrador de los hallazgos de este Informe que le fueron referidos al ex Director Ejecutivo de la AEE debido a que la misma no fue reclamada. COMENTARIOS DE LA GERENCIA El 27 de marzo de 2007 el Administrador de la Oficina de Auditoría Interna solicitó una prórroga hasta el 23 de abril de 2007 para someter los comentarios al borrador de los hallazgos de este Informe. El 29 de marzo de 2007 le concedimos al Director Ejecutivo la prórroga solicitada. El Director Ejecutivo de la AEE, en carta del 23 de abril de 2007 firmada por el Ing. Valeriano Otero Chacón, Subdirector Ejecutivo, en su representación, sometió sus comentarios sobre los hallazgos del 1 al 4 y del 6 al 9 del borrador de este Informe. El 24 de abril de 2007 el Administrador de la Oficina de Auditoría Interna de la AEE solicitó otra prórroga hasta el 4 de mayo de 2007 para someter los comentarios referentes al Hallazgo 5. Esta Oficina denegó dicha petición y el Director Ejecutivo de la AEE, en carta del 25 de abril de 2007 firmada por el Subdirector Ejecutivo en su representación, sometió sus comentarios sobre el Hallazgo 5-a.1) y 3). Los comentarios del Director Ejecutivo fueron considerados en la redacción final del informe y se incluyen en la parte de este Informe titulada HALLAZGOS EN LA OFICINA DE INFORMÁTICA CORPORATIVA Y EN LAS OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO.

12 Infonne de Auditoria TI-07-08 Unidad 5130 - Auditoria 12856 AGRADECIMIENTO A los funcionarios y emp1eados de 1a AEE 1es agradecemos 1a cooperaci6n que nos prestaron durante nuestra auditoria.

Informe de Auditoría TI-07-08 13 RELACIÓN DETALLADA DE HALLAZGOS CLASIFICACIÓN Y CONTENIDO DE UN HALLAZGO En nuestros informes de auditoría se incluyen los hallazgos significativos determinados por las pruebas realizadas. Éstos se clasifican como principales o secundarios. Los principales incluyen desviaciones de disposiciones sobre las operaciones de la unidad auditada que tienen un efecto material, tanto en el aspecto cuantitativo como en el cualitativo. Los secundarios son los que consisten en faltas o errores que no han tenido consecuencias graves. Los hallazgos del informe se presentan según los atributos establecidos conforme a las normas de redacción de informes de nuestra Oficina. El propósito es facilitar al lector una mejor comprensión de la información ofrecida. Cada uno de ellos consta de las siguientes partes: Situación - Los hechos encontrados en la auditoría indicativos de que no se cumplió con uno o más criterios. Criterio - El marco de referencia para evaluar la situación. Es principalmente una ley, reglamento, carta circular, memorando, procedimiento, norma de control interno, norma de sana administración, principio de contabilidad generalmente aceptado, opinión de un experto o juicio del auditor. Efecto - Lo que significa, real o potencialmente, no cumplir con el criterio. Causa - La razón fundamental por la cual ocurrió la situación. Al final de cada hallazgo se hace referencia a las recomendaciones que se incluyen en el informe para que se tomen las medidas necesarias sobre los errores, irregularidades o actos ilegales señalados. En la sección sobre los COMENTARIOS DE LA GERENCIA se indica si el funcionario principal y los ex funcionarios de la unidad auditada efectuaron comentarios sobre los hallazgos incluidos en el borrador del informe que les envía nuestra Oficina. Dichos comentarios se consideran al revisar el borrador del informe y se incluyen al final del hallazgo

14 Informe de Auditoría TI-07-08 correspondiente en la sección de HALLAZGOS EN LA OFICINA DE INFORMÁTICA CORPORATIVA Y EN LAS OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO, de forma objetiva y conforme a las normas de nuestra Oficina. Cuando la gerencia no provee evidencia competente, suficiente y relevante para refutar un hallazgo, éste prevalece y se añade al final del mismo la siguiente aseveración: Consideramos las alegaciones de la gerencia, pero determinamos que el hallazgo prevalece. HALLAZGOS EN LA OFICINA DE INFORMÁTICA CORPORATIVA Y EN LAS OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO Los hallazgos de este Informe se clasifican como principales. Hallazgo 1 - Falta de un plan de seguridad a. Al 29 de junio de 2006 la AEE no había preparado un plan de seguridad que incluyera, entre otras cosas: Documentación de la validación de las normas de seguridad. Evidencia de la existencia de un análisis de riesgo actualizado, que sea la base del plan. Responsabilidad de la gerencia y de los demás componentes de la unidad. Programa de adiestramiento especializado al personal que compone el equipo clave de seguridad. Programa de adiestramiento continuo sobre seguridad que incluya adiestramientos para los nuevos empleados, contratistas y usuarios que permita mantener los conocimientos actualizados. Documentación de los controles administrativos, técnicos y físicos de los activos de información (datos, programación, equipos y personal, entre otros). Documentación de la interconexión de los sistemas.

Informe de Auditoría TI-07-08 15 La AEE carecía del plan de seguridad mencionado, a pesar de que desde el 2002 contaba con los informes Qualitative Risk Assessment Report, Business Impact Analysis Report y Recoverability Assessment Report, preparados por una compañía contratada. Éstos contenían información para preparar dicho plan. En la Política Núm. TIG-003, Seguridad de los Sistemas de Información de la Carta Circular Núm. 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por la Directora de la Oficina de Gerencia y Presupuesto, se establece, como política pública, que las entidades gubernamentales tendrán la responsabilidad de desarrollar políticas específicas de seguridad de acuerdo con las características propias de los ambientes de tecnología de la agencia, particularmente sus sistemas de misión crítica. También se establece que las entidades gubernamentales son responsables de: Proveer adiestramientos a toda la gerencia y a los supervisores de la entidad gubernamental para que estén al tanto de los controles de seguridad y los beneficios correspondientes. Asegurarse de que el personal de sistemas de información y telecomunicaciones esté adiestrado y con conocimientos actualizados sobre los aspectos de seguridad de sus áreas. Crear mecanismos de capacitación para que todos los empleados conozcan los procedimientos de seguridad que le apliquen. De ocurrir una emergencia, la falta de un Plan, y de adiestramientos y de simulacros del mismo podría dar lugar a: Pérdidas irreparables de vidas humanas. Daños materiales a los equipos de sistemas de información, así como la pérdida de datos de suma importancia.

16 Informe de Auditoría TI-07-08 Atraso en el proceso de reconstrucción de datos y programas, y en el pronto restablecimiento y continuidad de las operaciones normales. La situación comentada se atribuye a que el Director Ejecutivo de la AEE no veló por que la Administradora de la OIC, en coordinación con el Administrador de la Oficina de Seguridad Corporativa, desarrollara y sometiera para su aprobación un Plan que incluyera, entre otros, los aspectos mencionados. El Director Ejecutivo, en la carta que nos envió, informó que a finales del 2006 se desarrolló un borrador del plan de seguridad y que considerarán las observaciones del informe para que el nuevo plan cumpla con todos los requisitos. Véanse las recomendaciones 1 y 2.a. Hallazgo 2 - Deficiencias relacionadas con la creación y el mantenimiento de las cuentas de acceso lógico en la computadora principal de la AEE a. Al 5 de julio de 2006 el archivo de usuarios de la computadora principal (mainframe), contenido en la base de datos del Sistema Resource Access Control Facility (RACF) tenía 1,715 cuentas de usuarios. De éstas, 1,329 cuentas (77 por ciento) estaban activas 2 y 386 (23 por ciento) eran cuentas que tenían sus contraseñas expiradas 3 o tenían indicación de revocadas 4. 2 Para propósitos de este Informe, las cuentas activas son aquéllas que al momento de la evaluación habían sido utilizadas durante un período no mayor de 60 días antes del 5 de julio de 2006. El período de 60 días se obtuvo del informe SETROPTS producido el 5 de mayo de 2006. 3 Para propósitos de este Informe, son aquellas cuentas que al momento de la evaluación no habían sido utilizadas en un período mayor de 60 días antes del 5 de julio de 2006. El período de 60 días para la expiración de las contraseñas se obtuvo del informe SETROPTS producido el 5 de mayo de 2006. Las cuentas de usuarios con contraseñas expiradas podrían ser utilizadas por ex empleados, por empleados que posean privilegios para reactivar las cuentas con una nueva contraseña y por personas que debido a la falta de control de las contraseñas obtengan las mismas sin autorización. 4 En el manual OS/390 v2r10.0 SecureWay Security Server, RACF Auditor s Guide se indica que una cuenta con el atributo de revocada evita que un usuario definido bajo el Sistema RACF acceda el sistema. Una cuenta de usuario puede ser revocada por las siguientes razones: manualmente por el Encargado de la Seguridad, automáticamente (SETROPTS INACTIVE) e intentos fallidos (SETROPTS PASSWORD REVOKE). Se requiere la intervención de un usuario con el atributo de SPECIAL para activar la cuenta revocada.

Informe de Auditoría TI-07-08 17 El examen del control y el mantenimiento de las referidas cuentas de acceso reveló las siguientes deficiencias: 1) No se había registrado en el Sistema RACF el nombre del usuario de 28 cuentas de acceso activas que tenían asignado el atributo de OPERATIONS 5. 2) No se había eliminado la cuenta de usuario asignada al ex Supervisor de Sistemas Operativos, quien falleció en diciembre de 2004. Dicha cuenta fue utilizada para acceder a los sistemas el 21 de junio de 2006, lo que denota que personal no autorizado utilizó dicha cuenta. La cuenta tenía asignado el atributo de OPERATIONS 5. 3) No se había revocado ni eliminado el acceso a 119 cuentas de usuarios que tenían sus contraseñas expiradas y no se habían utilizado por más de 90 días, según se indica: PERÍODO TRANSCURRIDO DESDE EL ÚLTIMO ACCESO CANTIDAD DE CUENTAS CON CONTRASEÑAS EXPIRADAS 91 a 180 días 71 181 a 270 días 24 271 a 360 días 11 361 a 450 días 3 Más de 450 días 10 TOTAL 119 De las 119 cuentas, 5 tenían atributo de OPERATIONS y 1 tenía atributo de AUDITOR 6. 4) No se habían eliminado 223 cuentas de usuario con atributo de revocada que habían sido creadas entre el 9 de agosto de 2001 y el 28 de junio de 2006. Según la fecha 5 El usuario con atributo de OPERATIONS posee la autoridad para leer y escribir cualquier archivo bajo el sistema operativo. Este atributo debe ser otorgado sólo a usuarios que necesiten acceder datos de las aplicaciones que están en producción. 6 El atributo de AUDITOR otorga al usuario autoridad completa sobre los controles de auditoría y el uso de los recursos del sistema. Este usuario puede manejar los eventos de seguridad grabados en los archivos del System Management Facility (SMF) y de esta forma comprometer la integridad de la información necesaria para completar el rastro de auditoría (audit trail).

18 Informe de Auditoría TI-07-08 del último acceso registrada en el Sistema, una de estas cuentas, la cual tenía asignado el atributo de AUDITOR, no se había utilizado desde hacía 517 días y 9 cuentas de usuario nunca se utilizaron. Una situación similar fue comentada en el informe OAI-AUD-2005-09 del 6 de mayo de 2005 de la Oficina de Auditoría Interna de la AEE. En la Política Núm. TIG-003 de la Carta Circular Núm. 77-05 se establece como política pública que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Esta norma se instrumenta, en parte, mediante lo siguiente: El uso de todas las opciones para restringir y controlar los accesos que proveen los distintos sistemas operativos. La asignación de códigos y contraseñas de autorización únicas y confidenciales para cada usuario que garantice un nivel óptimo de seguridad en los sistemas computadorizados. La notificación inmediata al encargado de la seguridad de datos del cese de un usuario en sus funciones por motivo de renuncia, separación o traslado para la cancelación de su cuenta de acceso. La renovación periódica de la contraseña de cada usuario, según las necesidades de la entidad gubernamental y los procedimientos establecidos. La asignación de privilegios a las cuentas de usuarios basados en las necesidades de los trabajos que éstos realizan. En dicha norma también se establece que cada entidad gubernamental deberá establecer controles para el manejo de la terminación de empleados en la agencia, de tal manera que estas circunstancias no afecten la seguridad de la información ni de los sistemas. Para esto,

Informe de Auditoría TI-07-08 19 deberán establecerse procedimientos que incluyan una comunicación efectiva entre el área de Recursos Humanos, el área en que trabaja el empleado y el área de Sistemas de Información. En el Procedimiento 6F2, Solicitud, Creación, Asignación y Mantenimiento de las Claves de Acceso al Computador Central, aprobado el 15 de noviembre de 2000 por el Director Ejecutivo de la AEE, se dispone que el supervisor inmediato es responsable de notificar a la Oficina de Auditoría Interna y a su jefe inmediato cualquier irregularidad o evento sospechoso en el uso de las claves de acceso. También es responsable de notificar al Especialista de Seguridad de cualquier cambio en la condición del empleado. Las situaciones comentadas ponen en riesgo la seguridad e integridad de los sistemas que operan en la computadora principal. Las cuentas de usuario sin identificar y las cuentas cuyas contraseñas estaban expiradas o revocadas pueden dar lugar a que éstas sean utilizadas por usuarios no autorizados o malintencionados para acceder a los sistemas con la intención de hacer daño o alterar los archivos, sin que se puedan fijar responsabilidades. Las situaciones comentadas se debían, en parte, a que el Supervisor de la Sección de Seguridad y los supervisores inmediatos de los ex funcionarios y empleados concernidos no cumplieron con las disposiciones reglamentarias mencionadas. El Director Ejecutivo, en la carta que nos envió informó, entre otras cosas, las medidas adoptadas o que se proponía adoptar para corregir las situaciones comentadas en el Apartado del a.2) al 4). Además, informó lo siguiente: El atributo de Operations se asigna a los usuarios que se usan como started task para activar las aplicaciones o por el personal responsable por el mantenimiento del sistema operativo. Tenemos 28 usuarios definidos para manejar los started task y ninguna persona puede utilizarlos para obtener acceso a alguna aplicación o subsistema. [Apartado a.1)] Consideramos las alegaciones del Director Ejecutivo de la AEE respecto al Apartado a.1) del Hallazgo, pero determinamos que el mismo prevalece. Véanse las recomendaciones 1, de la 2.b.1) a la 4) y 3.a.

20 Informe de Auditoría TI-07-08 Hallazgo 3 - Deficiencias relacionadas con los controles de acceso lógico a. Al 28 de junio de 2006 la AEE tenía los siguientes sistemas para administrar las operaciones críticas de ésta: EMPAC y SAE del Directorado de Sistema Eléctrico; STORMS, GIS y OMS, conocidos como el Proyecto AIRe del Directorado de Transmisión y Distribución y CSS del Directorado de Servicio al Cliente. Mediante entrevistas realizadas al personal a cargo de la seguridad de los mencionados sistemas detectamos las siguientes deficiencias en el uso y control de las cuentas de acceso y de las contraseñas utilizadas por los usuarios de dichos sistemas: 1) La División de Operación del Directorado de Sistema Eléctrico a cargo del SAE, no recibía del Directorado de Recursos Humanos la información sobre las cesantías o transferencias de empleados para efectuar la eliminación o modificación de las cuentas de acceso asignadas a éstos. 2) Las oficinas de Informática del Directorado de Sistema Eléctrico, a cargo de los sistemas EMPAC y SAE, desconocían si se habían establecido en éstos para que se controlara el número de oportunidades que tenía un usuario para ingresar su contraseña de manera incorrecta. 3) La Oficina de Informática del Directorado de Sistema Eléctrico, a cargo del Sistema EMPAC, no contaba con personal a cargo de la seguridad de éste. Las tareas relacionadas con la seguridad del Sistema las realizaban el Jefe de la División de Conservación y Servicios Técnicos de Centrales Generatrices Interino, y dos supervisores de Planificación de Conservación. En la Política Núm. TIG-003 de la Carta Circular Núm. 77-05 se establece como política pública que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la

Informe de Auditoría TI-07-08 21 información sea accedida de forma no autorizada. Esta norma se instrumenta, en parte, mediante lo siguiente: El establecimiento de normas y procedimientos que permitan controlar el acceso lógico de los sistemas en producción. La asignación de un personal responsable de la seguridad del sistema. El uso de todas las opciones para restringir y controlar los accesos que proveen los distintos sistemas. La asignación de códigos y contraseñas de autorización únicas y confidenciales para cada usuario que garantice un nivel óptimo de seguridad en los sistemas computadorizados. La asignación de privilegios a las cuentas de usuarios basados en las necesidades de los trabajos que éstos realizan. La renovación periódica de la contraseña de cada usuario, según las necesidades de la entidad gubernamental y los procedimientos establecidos. La notificación inmediata al encargado de la seguridad de datos del cese de un usuario en sus funciones por motivo de renuncia, separación o traslado para la cancelación de su cuenta de acceso. Las situaciones que se comentan en este Hallazgo pueden propiciar que personas no autorizadas logren acceso a información confidencial y hagan uso indebido de ésta. Además, pueden propiciar la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Las situaciones comentadas se debían, en parte, a la falta de un plan de seguridad que estableciera las medidas necesarias para mantener un control sobre las cuentas de acceso

22 Informe de Auditoría TI-07-08 utilizadas por los usuarios de los mencionados sistemas (Véase el Hallazgo 1) y al incumplimiento de las normas citadas. El Director Ejecutivo, en la carta que nos envió informó, entre otras cosas, lo siguiente: Desde diciembre de 2006, la Oficina de Informática Corporativa envía mensualmente una lista del personal que se jubila o renuncia a la AEE a las distintas oficinas de informática. Estas oficinas son responsables de eliminar los accesos relacionados a estos empleados y enviar a la OIC una certificación sobre la misma. [Apartado a.1)] En EMPAC, la seguridad de la base de datos se configuró desde enero de 2007 para que permita sólo cinco intentos de acceso. Por otro lado, el SAE no permite este tipo de control debido a su diseño. Sin embargo, sí se implementará en los sistemas de apoyo y PCs utilizando una herramienta que está en proceso de adquisición: Policy Manager. [Apartado a.2)] La AEE está en un proceso de reestructuración de informática. Como parte del mismo se reevaluará el proceso de administrar la seguridad de EMPAC. [Apartado a.3)] Véanse las recomendaciones 1, 2.a., 3.b. y 4.a.1). Hallazgo 4 - Deficiencias relacionadas con los controles físicos y ambientales de los centros de cómputos de la AEE a. El examen de los controles de acceso físicos y ambientales del Centro de Cómputos de la OIC y de los centros de cómputos de las oficinas de Informática de los directorados de Sistema Eléctrico, Transmisión y Distribución e Ingeniería reveló las siguientes faltas de control: 1) El Centro de Cómputos de la OIC estaba ubicado en un sótano, expuesto al riesgo de inundaciones. En el Centro estaba instalado el mainframe adquirido en junio de 2001 por $5,202,125, en el cual se procesaba mensualmente la facturación de los abonados de la AEE, mediante el CSS, ascendente a $299 millones. También estaban instalados los servidores de los directorados de Finanzas y de Recursos Humanos, entre otros equipos. 2) El acceso físico al Centro de Cómputos de la OIC no estaba debidamente controlado. Una lista provista el 27 de junio de 2006 por la Oficina de Seguridad Corporativa de la AEE reveló que 131 empleados tenían acceso al Centro mediante tarjeta magnética. De

Informe de Auditoría TI-07-08 23 éstos, 70 podían acceder a todas las áreas del mismo y sus funciones no requerían tener dicho acceso. 3) En inspecciones realizadas el 16 de marzo y el 1 de junio de 2006 se observó que el área donde se almacenaban los informes a ser distribuidos a los usuarios, ubicada en una oficina cercana a la entrada del Centro de Cómputos de la OIC, se encontraba con las puertas abiertas y sin personal que custodiara los mismos. 4) Los servidores utilizados para procesar las transacciones del SAE estaban ubicados en el Centro de Cómputos de la Oficina de Informática del Directorado de Sistema Eléctrico en un área donde no se restringía el acceso a los mismos. En dicha área estaban los espacios de oficina y cubículos ocupados por los 15 empleados que laboraban en la División de Operación del Directorado de Sistema Eléctrico, cuyas funciones no requerían tener acceso a los servidores. 5) El sistema de supresión de incendios utilizado en el Centro de Cómputos de la Oficina de Informática del Directorado de Sistema Eléctrico era el Sistema Halon, cuyos gases son nocivos para los seres humanos, por lo que se pone en riesgo al personal que trabaja en esta área. 6) En visitas realizadas el 21 de marzo y el 31 de mayo de 2006 al Centro de Cómputos de la Oficina de Informática del Directorado de Sistema Eléctrico se observó que los servidores y las computadoras fuera de uso se mantenían de forma visible y no estaban en un lugar cerrado. Los mismos estaban expuestos a que sus piezas fueran hurtadas o a que la información almacenada en éstos fuera utilizada por personal no autorizado previo a que el equipo fuera decomisado o reutilizado mediante un proceso de reciclaje. 7) En inspección física realizada el 1 de junio de 2006 al Centro de Cómputos de la Oficina de Informática del Directorado de Transmisión y Distribución se encontraron cajas de cartón, bolsas plásticas y cableado al descubierto, en las áreas cercanas a los servidores, lo que expone a dichos equipos al riesgo de incendios por ser material inflamable.

24 Informe de Auditoría TI-07-08 8) El Centro de Cómputos de la División de Conservación Preventiva del Directorado de Sistema Eléctrico no contaba con pisos falsos y no tenían una rotulación para indicar que el lugar estaba protegido con el sistema de supresión de incendios FM200. Además, tenían rociadores de agua ubicados en el techo, que de activarse provocaría daños a los equipos computadorizados. 9) El Centro de Cómputos del Directorado de Ingeniería no contaba con cámaras de vigilancia, pisos falsos, ni sistemas contra incendios FM200. El lugar tenía rociadores de agua ubicados en el techo, que de activarse provocaría daños a los equipos computadorizados. También se determinó que el detector de humo instalado estaba roto. En la Política Núm. TIG-003 de la Carta Circular Núm. 77-05 se establece que las facilidades de sistemas de información deberán estar colocadas en un área donde sea menor la probabilidad de daños por fuego, inundaciones, explosiones, disturbios civiles y otras formas de desastres. Además, en dicha Política se dispone que cada agencia será responsable de desarrollar políticas específicas de seguridad tomando en cuenta las características propias de los ambientes de tecnología de la entidad gubernamental, particularmente sus sistemas críticos. Ello implica que, como norma de sana administración, éstas deberán tomar los cuidados necesarios para proteger y mantener funcionando en óptimas condiciones los equipos electrónicos para evitar daños y averías. El propósito es asegurar la integridad, la exactitud y la disponibilidad de la información y protegerla contra la destrucción accidental, entre otras cosas. Para garantizar razonablemente la seguridad de los equipos y sistemas computadorizados, es necesario tener un salón de computadoras que reúna las condiciones de seguridad y los equipos de detección y protección adecuados. También, se deben ofrecer conferencias periódicas sobre las medidas a tomar en caso de una emergencia. Ambas prácticas tienen el objetivo de proteger tanto al personal como al equipo y otras propiedades. Las situaciones comentadas pueden poner en riesgo la seguridad de los empleados y de los sistemas computadorizados. Además, podría impedir la disponibilidad de los sistemas y, por consiguiente, limitar los servicios que presta la AEE.

Informe de Auditoría TI-07-08 25 Las situaciones comentadas se atribuyen, en parte, a la falta de un plan de seguridad que establezca las medidas de control necesarias para la protección física y ambiental de la OIC y de las oficinas de Informática de los directorados (Véase el Hallazgo 1) y al incumplimiento de las normas citadas. El Director Ejecutivo, en la carta que nos envió informó, entre otras cosas, lo siguiente: Existe un proyecto para la construcción de un edificio para el Centro de Cómputos y las oficinas administrativas y técnicas de sistemas de información fuera del área inundable actual. [Apartado a.1)] Los accesos se programan mediante una lista requerida a través del supervisor de cada área que tiene equipos en el Centro de Cómputo, los cuales requieren intervención. Además, se impartieron instrucciones al Gerente del Departamento de Operaciones para que solicite a la Oficina de Seguridad Corporativa la lista de accesos al Centro, para depurar la misma. [Apartado a.2)] La Oficina de Recibo y Despacho de documentos fue relocalizada el pasado mes de octubre de 2006 en las nuevas facilidades del Correo Mecanizado del Centro de Cómputos. Las nuevas facilidades tienen control de acceso por tarjeta magnética y sistema de supresión de incendios FM-200. [Apartado a.3)] El acceso al Centro de Cómputos de SCADA está restringido por un sistema de seguridad de tarjetas magnéticas administrado por la División de Operación y su Subdivisión Sistema de Administración de Energía y por un guardia de seguridad en la entrada del edificio. Durante la auditoría existían cubículos con personal de la Subdivisión de Operaciones, el mismo fue reubicado fuera del Centro. Los empleados restantes son administradores de los sistemas. [Apartado a.4)] Actualmente se adjudicó una subasta para el reemplazo total de éste. [Apartado a.5)] En el momento de la auditoría, estábamos efectuando un proyecto de reemplazo de los servidores de todas las consolas del Sistema. Los servidores estaban allí para efecto de inventario. Luego fueron removidos como parte del proceso para decomisar. [Apartado a.6)] En el Centro de Cómputos de Transmisión y Distribución las cajas de cartón, bolsas plásticas y cajas de cables fueron removidas y el área fue despejada. [Apartado a.7)] Estamos en proceso de migrar nuestro Centro de Cómputos a las instalaciones del SAE en Torre. Por otro lado, se procederá de forma inmediata a rotular el sistema FM-200 y remover los rociadores de agua del centro. [Apartado a.8)]

26 Informe de Auditoría TI-07-08 Se planifica adquirir cámaras de vigilancia para la seguridad y el sistema contra incendios FM200. El detector se instaló nuevamente en marzo de 2007. Está en evaluación a largo plazo mudar este equipo al nuevo Centro de Cómputos. [Apartado a.9)] Véanse las recomendaciones 1, 2.a. y c., 4.a.2) y 3), b. y c. y 5. Hallazgo 5 - Falta de controles adecuados sobre el equipo computadorizado La estructura organizacional de la AEE consistía de 10 directorados 7 que respondían al Subdirector Ejecutivo. En los directorados de Sistema Eléctrico, Transmisión y Distribución, y Servicio al Cliente se ejercían las funciones operacionales de la AEE. En los otros siete directorados se ejercían funciones de apoyo a los directorados operacionales. Ocho directorados 8 tenían sus propias oficinas de Informática. Además, la AEE tenía la OIC, la cual respondía al Director Ejecutivo. a. La AEE no mantenían un control adecuado del equipo computadorizado adquirido y utilizado por ésta. Mediante el examen de los inventarios de equipos computadorizados provistos por las ocho oficinas de Informática, la OIC y la Sección de Inventario Continuo de la Propiedad, determinamos lo siguiente: 1) La Sección de Inventario Continuo de la Propiedad mantenía en su inventario de equipos computadorizados un total de 24,264 equipos cuyo costo de adquisición era de $20,850,071. En este inventario se incluían 1,560 equipos inservibles 9 cuyo costo de adquisición era de $2,803,970 y 173 equipos que no fueron localizados al momento de tomar el inventario cuyo costo de adquisición era de $316,466. 7 Éstos son: Sistema Eléctrico, Transmisión y Distribución, Servicio al Cliente, Planificación y Protección Ambiental, Ingeniería, Recursos Humanos, Asuntos Jurídicos, Asuntos Laborales, Finanzas y Servicios Administrativos. 8 Los directorados de Asuntos Jurídicos y de Asuntos Laborales no tenían Oficina de Informática. 9 Se refiere a equipo clasificado como retirado en el inventario de la AEE.

Informe de Auditoría TI-07-08 27 2) La cantidad de servidores y computadoras indicada en los inventarios de las ocho oficinas de Informática y de la OIC no coincidía con la indicada en el inventario de la Sección de Inventario Continuo de la Propiedad, según se indica: EQUIPO OFICINAS DE INFORMÁTICA Y OIC SECCIÓN DE INVENTARIO CONTINUO DE LA PROPIEDAD Computadoras 3,039 4,528 Servidores 263 63 3) Entre los equipos computadorizados que no estaban registrados en el inventario de la Sección de Inventario Continuo de la Propiedad se encontraba el mainframe adquirido en junio de 2001 por $5,202,125. [Véase el Hallazgo 4-a.1)] 4) La información de los inventarios provistos por las oficinas de Informática de los directorados de Sistema Eléctrico y Transmisión y Distribución no estaba completa. A 488 y 46 equipos incluidos en los inventarios provistos por las oficinas de Informática de los directorados de Sistema Eléctrico y Transmisión y Distribución, respectivamente, les faltaba el número de propiedad. En la Ley Núm. 230 del 23 de julio de 1974, Ley de Contabilidad del Gobierno de Puerto Rico, según enmendada, se establece como política pública que la custodia, el cuidado y el control físico de la propiedad pública será responsabilidad del jefe de la propia dependencia o entidad corporativa o su representante autorizado. Ello implica, que como norma de sana administración, las corporaciones públicas deben establecer los controles internos que sean necesarios para proteger sus activos. En el Procedimiento Para Adquirir, Controlar y Disponer de la Propiedad Mueble, aprobado el 16 de octubre de 1991 por el Director Ejecutivo de la AEE, se dispone que la Sección de Inventario Continuo de la Propiedad asignará un número de responsabilidad a los custodios de la propiedad mueble, asignará el número a la propiedad mueble y controlará el inventario de propiedad mueble mediante registros e informes. Se establece, además, que los responsables y custodios de la Propiedad Mueble efectuarán el inventario físico anualmente, tan pronto reciban el Informe de Propiedad Mueble, contestarán el Informe

28 Informe de Auditoría TI-07-08 no más tarde de 30 días laborables, aunque no haya discrepancias en el mismo, y prepararán las transacciones para añadir o retirar la propiedad mueble en el Informe, entre otros. 5) En el inventario provisto por la Sección de Inventario Continuo de la Propiedad se indicaba la existencia de cinco equipos hurtados, los cuales fueron adquiridos por $9,505. A la fecha de nuestro examen no se habían efectuado las gestiones para notificar dicha situación al Contralor de Puerto Rico. En la Ley Núm. 96 del 26 de junio de 1964, según enmendada por la Ley Núm. 86 del 13 de julio de 1988 se establece, entre otras cosas, que todo organismo del Gobierno deberá notificar prontamente al Contralor de Puerto Rico todo asunto relacionado con la pérdida de fondos o bienes públicos. En el Reglamento Núm. 41 promulgado el 10 de noviembre de 1999 por el Contralor de Puerto Rico, en virtud de la Ley Núm. 96, se dispone que las agencias serán responsables de notificar a la Oficina del Contralor de Puerto Rico las irregularidades en el manejo de fondos y bienes públicos que surjan, dentro de un término de 30 días a partir de haberse descubierto la irregularidad. Las situaciones comentadas impiden mantener un control adecuado de la propiedad y pueden propiciar el uso indebido o la pérdida de la misma, sin que se puedan detectar a tiempo para fijar responsabilidades. Además, dificultan la identificación y la localización de los equipos y le resta confiabilidad a la información existente en el sistema de Inventario de Equipo de Computadoras de la AEE. También dificultan nuestra gestión fiscalizadora. Además, la falta de un inventario confiable de los activos de sistemas de información priva a la AEE de una herramienta indispensable para hacer los análisis de riesgo, que le permitan implantar controles para minimizar los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada y maliciosa. Las situaciones comentadas se debían a que el personal supervisor de las oficinas de Informática encargado de mantener el inventario y la Supervisora de la Sección de