Las violaciones de los datos se han convertido, por desgracia, en la norma. Las grandes entidades pueden tener más medidas o recursos para recuperarse de una infracción, pero para muchas empresas un ciberataque es el fin de la confianza de sus clientes y los costos de limpieza de tal desastre hacen casi imposible la recuperación.
Para los profesionales de la fiscalía y sus empresas que poseen datos que los ciberdelincuentes están ansiosos por tener en sus manos, una filtración de datos y su efecto dominó sería devastador. Aquellos que tienen información de los contribuyentes – desde números de seguro social hasta direcciones y valiosa información financiera – tienen algunos de los datos más sensibles.
En respuesta a los ataques a los profesionales de los impuestos, y reconociendo la gravedad de la situación si un profesional o una empresa de impuestos fuera violada, el IRS se ha unido a las agencias estatales de impuestos y a los grupos de la industria de impuestos en todo el país para unirse a una misión principal: asegurar la información de los contribuyentes contra el robo de datos.
La agencia creó la «Cumbre de Seguridad» que trabaja con expertos, incluyendo el IRS, las agencias estatales de impuestos y la comunidad fiscal, así como con desarrolladores de software y procesadores de productos financieros de nómina y de impuestos, para ayudar a promover la importancia de que las organizaciones permanezcan ciber-vigilantes si de alguna manera están en posesión de información de los contribuyentes.
Uno de los productos de los socios de la Cumbre de Seguridad es una serie de «Taxes Security Together Checklist» que ha sido publicada por la agencia. Las listas de verificación dan a los profesionales de impuestos cinco puntos de acción que deben tener en cuenta al manejar los datos de los contribuyentes:
– Desplegar las medidas de «Seguridad Seis», incluyendo la activación del software antivirus, el uso de un cortafuegos, la opción de autenticación de dos factores para protección adicional, el uso de software o servicios de copia de seguridad, el uso de encriptación de unidades y la creación y seguridad de Redes Privadas Virtuales
– Crear un plan de seguridad de datos
– Edúquese a sí mismo – y al personal – y esté alerta a las principales estafas por correo electrónico
– Reconocer los signos de robo de datos del cliente
– Crear un plan de recuperación de datos robados
Según el organismo, los ciberdelincuentes siguen evolucionando para encontrar medios más sofisticados de atacar a las organizaciones que poseen información sobre los contribuyentes. En su reciente aviso, la publicación 4557, «Salvaguardar los datos de los contribuyentes»: A Guide for Your Business», el IRS reitera que el robo de datos en las oficinas de los profesionales de la fiscalía sigue aumentando y reitera que la protección de los datos de los contribuyentes es la ley.
La Comisión Federal de Comercio (FTC), en virtud de la ley federal, tiene la capacidad de esbozar reglamentos de salvaguardia de datos para los profesionales que preparan declaraciones de impuestos. A partir de ahora, la Regla de Salvaguarda de la FTC requiere que los preparadores de declaraciones de impuestos creen e implementen planes de seguridad para proteger los datos de sus clientes o enfrentarse a una potencial investigación de la FTC.
La FTC exige que estos planes sean apropiados para el «tamaño y complejidad» de la empresa, y recomienda que las empresas designen a uno o más de sus empleados para que se encarguen de la coordinación de su programa de seguridad de la información. En su guía Safeguarding Taxpayer Data, la agencia también esboza varias medidas importantes que los profesionales de la fiscalía deben considerar al iniciar su viaje de ciberseguridad.
Por ejemplo, el IRS recomienda tomar medidas de seguridad básicas como aprender a reconocer los correos electrónicos de phishing o revisar los controles internos, como el software de seguridad o las contraseñas, que podrían necesitar ser reforzados. La guía también recomienda hacer una copia de seguridad de los datos sensibles y destruir el hardware antiguo que pueda contener datos sensibles.
El robo de identidad relacionado con los impuestos sigue siendo una de las principales preocupaciones de la agencia en materia de seguridad cibernética, y puede implicar que un ciberdelincuente robe el número de seguro social (SSN) de un contribuyente. Esta es la información del contribuyente que los ciberdelincuentes buscan en última instancia. En el caso de que el autor de un ciberataque infrinja una red de profesionales fiscales y obtenga información de los contribuyentes, como el número de seguro social, las oportunidades para que el delincuente obtenga el rescate de los datos, participe en el robo de identidad, utilice la información para presentar declaraciones de impuestos fraudulentas o algo peor son infinitas.
Esto se presta a un elemento de acción separado que se esboza en la guía de Salvaguardia de los Datos de los Contribuyentes, que recomienda a los profesionales de los impuestos «proteger los datos almacenados de los clientes». Para proteger los datos almacenados de los clientes, el IRS recomienda realizar una evaluación de riesgos e inventario de todos los dispositivos de la empresa en los que podrían almacenarse los datos fiscales de los clientes, hacer una copia de seguridad de las copias cifradas de los datos de los clientes en discos duros externos y utilizar la codificación de los discos para bloquear los archivos y todos los dispositivos.
La ciberseguridad y la planificación que conlleva pueden ser una tarea a menudo abrumadora para muchas de las pequeñas y medianas empresas de nuestra nación. La creación de las herramientas de ciberseguridad de una empresa, o incluso un plan de respuesta en caso de una posible infracción, puede tomar tiempo y mano de obra que a veces una empresa simplemente no tiene. Según el IRS, las empresas deberían considerar seriamente la posibilidad de recurrir a terceros profesionales de la seguridad para asegurarse de que los datos de sus clientes están adecuadamente protegidos.
Independientemente de cómo los profesionales de la fiscalía enfoquen sus medidas de ciberseguridad, el riesgo es claro: convertirse en ciber-vigilante o permanecer vulnerable y dejar al azar el destino de su negocio y los datos de su cliente.
Artículos relacionados
Consejos de recuperación de datos para contadores
Cómo responder a ser secuestrado