La Contraloría de Puerto Rico publicó un informe sobre las operaciones de la Oficina de Sistemas de Información del Sistema de Retiro para Maestros en el cual revela que el documento de Estimación y Análisis de Riesgos vigente, realizado en el 2009, carece de un inventario de los activos de los sistemas de información y le faltan detalles de los equipos, los programas y datos del Sistema de Retiro.
Además, el análisis de riesgos no identifica las posibles amenazas contra los sistemas de información. Esta situación impide estimar el impacto que los elementos de riesgos tendrían en las áreas y los sistemas principales.
La auditoría de cinco hallazgos señala que falta actualizar el documento Estrategia de Tecnología. Al 9 de noviembre de 2021, este documento no incluía las aplicaciones implementadas posteriores al 2009, menciona nombres de personal que ya no trabaja en el Sistema, y define un centro alterno que ya no existe. Esta situación puede propiciar la improvisación y un alto riesgo de incurrir en gastos excesivos e innecesarios.
El Sistema de Retiro de Maestros no mantiene copias de los respaldos de los documentos de los empleados o de las aplicaciones desarrolladas internamente en un lugar seguro fuera de los predios. Al 11 de mayo de 2021, el Sistema tampoco contaba con un centro alterno para restaurar sus operaciones críticas computadorizadas en caso de emergencia.
Los auditores hallaron múltiples deficiencias con la aplicación People Soft Finanzas, y con la administración y documentación de cuentas de acceso activas en el Sistema de Aportaciones y Beneficios Integrados (SABI).
Algunas situaciones de falta de control examinadas por los auditores son: la falta de evidencia documental e información en las autorizaciones necesarias para la creación de cuentas y en el otorgamiento de los privilegios a las cuentas de acceso. Además, se encontraron permisos que no correspondían a las funciones de sus puestos y cuentas vigentes y sin desactivar de exempleada y exvoluntaria con más de un año fuera del servicio.
Contrario a las guías establecidas por el Federal Information System Controls Audit Manual (FISCAM) emitido por el General Accountant Office (GAO), los sistemas operativos de los servidores de SABI, People Soft y su base de datos, tenían los sistemas operativos Window Server 2008 y Window Server 2003 que no cuentan con apoyo técnico del proveedor. Este hecho aumenta los riesgos de ataques maliciosos a un sistema vulnerable.