Saltar al contenido

Algunas áreas del programa de seguridad del IRS no cumplen con la FISMA

Por Jason Bramwell

Un nuevo informe del Inspector General del Tesoro para la Administración Tributaria (TIGTA) estipuló que hasta que el IRS tome medidas para aplicar plenamente las once áreas del programa de seguridad cubiertas por la Ley Federal de Gestión de la Seguridad de la Información de 2002 (FISMA)”, los datos de los contribuyentes seguirán siendo vulnerables al uso inapropiado, la modificación o la divulgación – posiblemente sin ser detectados”.

Algunas áreas del programa de seguridad del IRS no cumplen con la FISMA
Algunas áreas del programa de seguridad del IRS no cumplen con la FISMA

En virtud de la FISMA, que se promulgó para reforzar la seguridad de la información y los sistemas de los organismos del gobierno federal, las oficinas de los inspectores generales deben realizar una evaluación anual independiente de los programas y prácticas de seguridad de la información de cada organismo federal.

En Treasury Inspector General for Tax AdministrationFederal Information Security Management Act Report for Fiscal Year 2013 , el TIGTA informó que encontró que el IRS no cumplía con los requisitos de la FISMA en dos de las once áreas del programa de seguridad: gestión de configuración y gestión de identidad y acceso.

Según el TIGTA, las dos áreas no cumplieron el nivel de rendimiento especificado por el Departamento de Seguridad Nacional (DHS) FY 2013 Inspector General Ley Federal de Gestión de la Seguridad de la Información Métrica debido a que la mayoría de los atributos especificados por el DHS faltaban o no funcionaban como se pretendía.

Aunque en general se cumplieron, tres áreas del programa de seguridad -respuesta e informe de incidentes, capacitación en seguridad y gestión de acceso remoto- no fueron totalmente efectivas debido a un atributo del programa que faltaba o no funcionaba como se pretendía, según el TIGTA.

Las seis áreas restantes del programa de seguridad incluían todos los atributos del programa especificados por las métricas de informe de FISMA. Esas áreas del programa de seguridad incluidas:

  1. Gestión de la vigilancia continua
  2. Gestión de riesgos
  3. Plan de acción e hitos
  4. Planificación de contingencias
  5. Sistemas de contratistas
  6. Planificación del capital de seguridad

“El IRS recopila y mantiene una cantidad significativa de información personal y financiera sobre cada contribuyente”, se decía en el informe. “Como custodios de la información de los contribuyentes, el IRS tiene la obligación de proteger la confidencialidad de esta información sensible contra el acceso no autorizado o la pérdida. De lo contrario, los contribuyentes podrían verse expuestos a la invasión de la privacidad y a pérdidas o daños financieros por robo de identidad u otros delitos financieros”.

El TIGTA declaró que no incluye recomendaciones como parte de su evaluación anual de la FISMA y que sólo informa sobre el nivel de desempeño alcanzado por el IRS utilizando las directrices publicadas por el DHS para el período de evaluación de la FISMA aplicable.