Los asesores y las empresas financieras han mejorado sus medidas de seguridad cibernética desde la evaluación de 2014, pero aún se necesitan más, según un informe reciente de la Comisión de Valores y Bolsa de los Estados Unidos (SEC).
Irónicamente, el propio perro guardián de la comisión dice lo mismo sobre la SEC.
Empecemos primero con lo que informa la SEC, que está orientado a los asesores, corredores de bolsa y fondos pero ciertamente es aplicable a los contables y preparadores de impuestos. El IRS también continúa monitoreando la ciberseguridad y emitiendo advertencias.
Los examinadores de la SEC examinaron 75 empresas y observaron una mejora general en la conciencia de los riesgos cibernéticos y la aplicación de prácticas de seguridad. Y casi todas ellas habían escrito políticas y procedimientos de seguridad cibernética para proteger los registros y la información de los clientes.
Este examen se centró más en la preparación para la seguridad cibernética, centrándose en la evaluación de los riesgos, los derechos y controles de acceso, la prevención de la pérdida de datos, la gestión de los proveedores, la capacitación y la respuesta a los incidentes.
Los hallazgos del SEC incluyen lo siguiente:
- Casi todos los empleados de las 75 empresas utilizan evaluaciones periódicas de los riesgos de los sistemas considerados críticos para las amenazas cibernéticas.
- Menos de la mitad de los asesores y fondos hicieron pruebas de vulnerabilidad y penetración en sistemas críticos, y algunas empresas no arreglaron completamente algunas de las situaciones de alto riesgo que las pruebas revelaron.
- Todas las empresas utilizan un sistema o instrumento para prevenir, detectar y vigilar la pérdida de datos de información personal identificable.
- Casi todas las empresas utilizan un proceso para garantizar el mantenimiento del sistema, incluida la instalación de parches de software que resuelven los fallos de seguridad. Sin embargo, algunas empresas aún no han instalado actualizaciones de seguridad críticas.
- Los programas de protección de la información suelen incluir temas cibernéticos pertinentes.
Por otro lado, un informe de la Oficina de Responsabilidad del Gobierno de EE.UU. (GAO) – el organismo de control de la SEC – dice que la comisión mejoró su control sobre los sistemas financieros pero necesita tomar más medidas.
«Las deficiencias en el control de la seguridad de la información en el entorno informático de la SEC pueden poner en peligro la confidencialidad, la integridad y la disponibilidad de la información que reside en sus sistemas y es procesada por ellos», dijo la GAO. «Hasta que la SEC mitigue sus deficiencias de control, sus sistemas financieros y de apoyo y la información que contienen seguirán estando en riesgo innecesario de compromiso».
La SEC había resuelto 47 de las 58 recomendaciones que la GAO había hecho anteriormente y que no se habían puesto en práctica para el examen del año fiscal 2015. Pero la comisión no había implementado completamente 11 recomendaciones, incluyendo la protección consistente de los límites de la red contra intrusiones, la autentificación de usuarios, la autorización de acceso, la auditoría de las acciones de la red, y la encriptación de la información mientras se está transmitiendo.
La GAO también identificó 15 nuevas deficiencias que limitan la capacidad de la SEC para proteger sus sistemas de información. Aunque no representan una debilidad material o una deficiencia grave, merecen la atención de la dirección, escribieron Gregory Wilshusen, Director de Asuntos de Seguridad de la Información de la GAO, y Nabajyoti Barkakati, Director del Centro de Tecnología e Ingeniería, al Presidente de la SEC, Jay Clayton.
Recomendaron que Clayton mantuviera diagramas de red e inventarios de activos actualizados en los planes de seguridad de los sistemas y un sistema financiero clave para reflejar con precisión el entorno operativo actual; y que supervisara continuamente la configuración automatizada y el análisis de la vulnerabilidad de los sistemas operativos, las bases de datos y los dispositivos de red.
En un informe separado de uso oficial limitado solamente, los ejecutivos de la GAO también formularon 13 recomendaciones, incluidas las relativas al acceso, la gestión de la configuración y la separación de funciones.
Según el informe de la GAO, la SEC estuvo de acuerdo con las recomendaciones.