Saltar al contenido

¿Qué tan seguro es su proveedor de servicios de cumplimiento del IRS en línea?

Cuando los contadores preguntan a los proveedores de cumplimiento del IRS si su sitio es seguro, la respuesta siempre será «Sí», lo que les deja menos que iluminados sobre la exactitud de esa respuesta.

Los contables están más preocupados que nunca por la seguridad de los datos de sus clientes en la nube. A continuación se presentan cinco preguntas específicas y las respuestas ideales que le ayudarán a evaluar la seguridad de sus proveedores en línea.

¿Qué tan seguro es su proveedor de servicios de cumplimiento del IRS en línea?
¿Qué tan seguro es su proveedor de servicios de cumplimiento del IRS en línea?

1. ¿Cómo administran sus servidores y dónde están ubicados?

Respuesta ideal : AWS, Google, Azure u otro proveedor de nubes administradas con protección física y excelente reputación. Si su proveedor instala y administra sus propios servidores en una «granja de servidores», esto tiene el potencial de ser menos seguro ya que añade mucha más complejidad a la carga de trabajo de su proveedor de IRS.

2. ¿Qué sistema operativo se utiliza en sus servidores y con qué frecuencia se actualiza para los parches de seguridad?

Respuesta ideal : Lo más importante es que el proveedor tenga un procedimiento de actualización de seguridad regular. Los parches de seguridad generales deben ser actualizados semanalmente. Los problemas de seguridad importantes deben actualizarse tan pronto como se emitan los parches, lo que podría ser el mismo día. Los dos principales sistemas operativos utilizados están basados en Windows o en Linux. Recomendamos los sistemas basados en Linux, pero un sistema Windows bien mantenido está bien. De nuevo, es la regularidad de las actualizaciones lo más importante.

3. ¿Cuántas personas de la empresa tienen acceso completo a su cuenta y a toda la base de datos de cuentas de clientes?

Respuesta ideal : La menor cantidad posible. Muchos de los notorios hackeos de seguridad se originan en un empleado con información privilegiada que sube el malware a los servidores de la empresa a través de una función de administración de algún tipo, como el acceso a los tableros o cuentas de los clientes. Obviamente, cuanta más gente tenga acceso a este nivel de funcionalidad, más probable es que se produzca este escenario. Las empresas deberían limitar el número de personas con acceso de administrador y también limitar el tipo de acceso a sólo lo necesario. Por ejemplo, el personal de asistencia al cliente sólo debería poder acceder a la cuenta de un cliente a la vez, no a toda la base de datos.

4. ¿Qué tipo de alerta automática se aplica si se produce una actividad sospechosa? En otras palabras, ¿cómo es que la empresa no opera a ciegas, esperando que todo vaya bien?

Respuesta ideal : La empresa debe tener muchos niveles de alerta automática por correo electrónico, texto u otros sistemas de alerta en tiempo real que permitan al personal de la empresa saber quién, cuándo, dónde y cómo está en marcha un posible problema. El registro de todas las acciones y accesos de los clientes es crucial para el análisis posterior a la acción, pero es fundamental que la empresa disponga de alertas defensivas para detener rápidamente los ataques.

5.¿Utiliza su sitio web protocolos de encriptación SSL de 256 bits en todas las páginas, incluyendo las comunicaciones entre servidores?

Respuesta ideal : ¡Si! Otras respuestas posibles:

a.) 128 bit SSL, que es una encriptación, pero más fácil de romper que 256 bit,

b.) sólo en ciertas páginas importantes de nuestro sitio, mientras que las páginas de información no están encriptadas. Este es un protocolo de seguridad híbrido que puede ser más difícil de mantener, cuando es relativamente fácil de cifrar todo el sitio.

c.) No, no encriptamos (esto sería muy inusual y malo).

Resumen

Reconozcamos que ningún sitio puede ser 100 por ciento seguro contra todos los ataques. Dicho esto, mantener el software actualizado, implementar la encriptación y limitar el número de personal con acceso de administración son parte de una defensa por capas que hace más difícil la piratería.

Asegúrese de que sus proveedores de cumplimiento en línea del IRS hagan estas cosas como mínimo antes de confiarles sus datos.