¿Qué es el Plan de Seguridad de la Información por Escrito (WISP) del IRS?

El Plan de Seguridad de la Información por Escrito (WISP) es un plan de seguridad especial que ayuda a los profesionales de impuestos a proteger sus datos e información confidenciales. Está especialmente diseñado para empresas más pequeñas.

Es un documento de 29 páginas que fue creado por miembros de la cumbre de seguridad, socios de software y de la industria, representantes de grupos fiscales estatales y el IRS.

La ley federal establece que todos los profesionales de impuestos deben tener un plan de seguridad de datos. Pero muchos luchan por desarrollar un plan efectivo. Como resultado, la Cumbre, que está dirigida por el Grupo de Trabajo de Profesionales de Impuestos, pasó meses creando un documento de muestra que ayuda a los profesionales de impuestos a establecer su enfoque al desarrollar sus planes de seguridad.

La muestra guiará a los profesionales de impuestos a través del proceso de desarrollo del plan de seguridad para que puedan considerar los diversos aspectos involucrados en mantener su negocio seguro. Les ayuda a elaborar un plan de acción en caso de una violación de seguridad o pérdida de datos. Está escrito en un lenguaje simple "sin jerga" que es fácil de entender para los preparadores de impuestos.

Si bien la muestra establece las pautas para el plan, no existe una "solución única para todos". Los planes variarán según el tamaño de la empresa y la complejidad y sensibilidad de los datos del cliente que maneja.

Una vez que se completó el plan, se recomienda a los preparadores de impuestos que lo mantengan en la oficina en formato PDF o Word. Esto lo hará accesible a los empleados y clientes si es necesario. También es aconsejable almacenarlo en la nube o en una ubicación separada en caso de un desastre natural u otro tipo de emergencia.

¿Qué deben saber los preparadores de impuestos sobre la creación de un plan de seguridad de datos?

El WISP lo guiará a través de los pasos que debe seguir para crear su plan de seguridad de datos. Pero aquí hay algunas cosas que debe considerar.

• Incluya el nombre y la información de contacto de todos los administradores de sus programas de seguridad.
  
  
• Identificar riesgos para la información del cliente.

• Evaluar todos los riesgos e indicar las medidas de seguridad actualmente vigentes.
  
  
• Desarrollar políticas para el almacenamiento, acceso y transporte de información confidencial.
  
  
• Asegúrese de que los empleados despedidos no puedan acceder a datos confidenciales.
  
  
• Supervisar las prácticas de seguridad de proveedores y contratistas externos.
  
  
• Imponer medidas disciplinarias por violar la política.
  
  
• Crear y promulgar un programa que proteja los datos.
  
  
• Supervise y pruebe el programa regularmente. Haga las mejoras necesarias. 

También es posible que desee actualizar su tecnología para incluir lo siguiente:

• Encontrar un sistema para proteger las credenciales de usuario.
  
  
• Restringir el acceso a la PII al solo-lo-que-debe-saber.
  
  
• Cifrado de la transmisión y almacenamiento de información personal.
  
  
• Monitorización de sistemas de seguridad.
  
  
• Actualización de software antivirus y antimalware, parches de seguridad y firewalls.
  
  
• Capacitar a los empleados sobre las prácticas de seguridad y el uso adecuado de los sistemas de seguridad.

La empresa también debe tener un contrato por escrito con su proveedor de servicios para garantizar aún más que se tomen medidas de seguridad. El proveedor debe:

• Mantener el manejo de las medidas de seguridad.
  
  
• Supervisar el manejo de la información del cliente.
  
  
• Revisar el programa según sea necesario.

Los seis de seguridad

El IRS recomienda que los profesionales de impuestos y cualquier otra persona que maneje datos confidenciales estén equipados con los "Seis de Seguridad". Esto incluye los siguientes elementos de hardware y software.

• Software antivirus: El software antivirus busca patrones de malware conocido de los ciberdelincuentes. Encuentra nuevos problemas y malware para mantener los sistemas seguros. Una vez que se instala el software antivirus, debe configurarse para buscar automáticamente infracciones. También puede escanear manualmente archivos como archivos adjuntos, descargas web y medios portátiles antes de abrirlos.
  
  
• Firewalls: Los firewalls protegen las computadoras y las redes de ataques externos. Bloquean las actividades sospechosas al tiempo que permiten que pasen los datos necesarios. Hay firewalls de hardware y software. Los firewalls de hardware se colocan entre la computadora e Internet y se pueden usar para proteger varias computadoras. Los firewalls de software están integrados y se pueden usar junto con firewalls externos o por sí solos.
  
  
• Autenticación de dos factores: La autenticación de dos factores ofrece una segunda capa de protección antes de que se otorgue acceso a cuentas en línea e información confidencial. Entonces, en lugar de simplemente iniciar sesión, una autenticación de dos factores también puede requerir que recupere un código de un teléfono o correo electrónico.
  
  
• Software de copia de seguridad: La información confidencial debe respaldarse rutinariamente en un almacenamiento en la nube de origen cifrado y / o un dispositivo externo. De esta manera se puede acceder si se produce una infracción.
  
  
• Cifrado de unidad: El cifrado de unidad transforma los datos en archivos que son ilegibles para personas no autorizadas. Puede venir en forma de software de seguridad independiente o medios extraíbles, como una memoria USB.
  
  
• Red privada virtual: Los profesionales de impuestos que trabajan de forma remota deberían considerar agregar una red privada virtual (VPN) a su suite tecnológica. Proporciona un túnel seguro y cifrado para la transmisión de datos.

Manejo de empleados y estilos de gestión

Si tiene empleados trabajando debajo de usted, es importante implementar estilos de gestión, capacitación y pautas adecuadas para garantizar que todos estén en la misma página cuando se trata de alcanzar los objetivos de ciberseguridad. Aquí hay algunos procedimientos recomendados a seguir:

• Invierta en la capacitación de los empleados: Es esencial capacitar a sus empleados para que sepan cómo identificar comportamientos sospechosos y qué hacer en caso de que ocurra una violación o amenaza.
  
  
• Comparta noticias de infracciones: Puede ser sorprendente averiguar con qué frecuencia ocurren las infracciones y no se publican. Es importante crear conciencia para que sus empleados entiendan que tan real es la amenaza. Puede hacerlo enviando artículos que encuentre sobre temas de ciberseguridad, particularmente en la industria fiscal.
  
  
• Haga que los empleados conozcan las prácticas de seguridad y las mejores prácticas: Los empleados deben comprender lo importante que es crear códigos de acceso que los hackers no descifren. Los códigos de acceso deben ser largos, deben usar una combinación de conjuntos de caracteres y no deben usar palabras completas. Deben cambiarse regularmente y no deben compartirse entre cuentas.
  
  
• Capacite a los empleados para reconocer el phishing y los ataques de ingeniería social: Enseñe a los empleados a buscar cosas como nombres y direcciones de correo electrónico de remitentes falsificados, solicitudes inusuales enviadas por correo electrónico, formatos de correos electrónicos extraños y solicitudes de información confidencial. También deben aprender a pasar el cursor sobre los enlaces para asegurarse de que vayan a donde se supone que deben ir, a escanear los archivos adjuntos antes de abrirlos y a verificar las extensiones de archivo en busca de cualquier cosa inusual.
  
  
• Incluir la ciberseguridad en la incorporación: A los empleados se les debe enseñar sobre la importancia de la ciberseguridad desde el día 1. Esto reforzará su importancia y garantizará que todos estén bien capacitados para abordar las amenazas en el futuro.
  
  
• Realice simulacros de infracción: asegúrese de que sus empleados estén bien preparados para un ataque realizando "simulacros de infracción" de la vida real. Esto ayudará a sus trabajadores a adoptar el estado mental adecuado para hacer frente a los ataques. También le permitirá identificar prácticas que se pueden mejorar.
  
  
• No culpe a sus empleados: Cualquiera puede caer en una estafa de ciberseguridad y es importante no culpar a sus empleados si son víctimas de un ataque. En su lugar, úselo como un momento de enseñanza para decidir cómo puede mejorar las prácticas en el futuro. 

Beneficios de un WISP

Un WISP beneficiará a su empresa de las siguientes maneras: 

• Ayuda a mantener seguros los datos confidenciales
  
  
• Lo prepara en caso de una violación de datos
  
  
• Hace que los clientes se sientan mejor al trabajar con su empresa
  
  
• Asegura que está en línea con la legislación vigente y evita que le multen

Un WISP es una parte beneficiosa y necesaria de hacer negocios como preparador de impuestos. La muestra del IRS lo guiará a través de los pasos para garantizar que esté haciendo todo lo posible para mantener a su empresa y clientes seguros. Buena suerte protegiendo su información confidencial de los piratas informáticos.