Socios de Cumbre de Seguridad instan a profesionales de impuestos a crear plan de seguridad de datos

FS-2022-34SP, agosto de 2022

Ante los continuos incidentes relacionados con la seguridad de datos, el Servicio de Impuestos Internos, las agencias tributarias estatales y el sector tributario, conocida como la Cumbre de Seguridad, instan a los profesionales de impuestos a elaborar un plan de seguridad.

Un plan de seguridad no sólo es una buena práctica, además el IRS les recuerda a los profesionales de impuestos que la ley federal, reforzada por la Comisión Federal de Comercio, requiere que todos los preparadores profesionales de impuestos creen e implementen un plan de seguridad de datos por escrito.

Cada año, los socios de la Cumbre de Seguridad destacan la campaña de verano "Proteja a sus clientes; protéjase a sí mismo", dirigida a los profesionales de impuestos. Esta hoja de datos complementa una serie de cinco notas de prensa emitidos para coincidir con los Foros Nacionales de Impuestos, que ayudan a educar a los profesionales de impuestos acerca de la seguridad y otros temas importantes.

Hay muchos aspectos para dirigir un negocio exitoso en la industria de la preparación de impuestos que incluyen la revisión de los cambios en la ley de impuestos, el aprendizaje de las actualizaciones del software y la administración y capacitación del personal. Un componente que a menudo se pasa por alto, pero que es crucial, es la creación de un plan de seguridad de la información por escrito o WISP (por sus siglas en inglés).

Tener un WISP protege a las empresas y a los clientes, a la vez que proporciona un plan de acción en caso de un incidente de seguridad. Además, un WISP puede ayudar en caso de que se produzcan otros eventos que puedan interrumpir seriamente la capacidad de un profesional de impuestos para llevar a cabo su actividad normal, como un incendio, una inundación, un tornado, terremoto y robo.

A menudo es difícil saber por dónde empezar cuando se desarrolla un WISP. Por eso, la Cumbre de Seguridad, dirigida por el Grupo de Trabajo de Profesionales de Impuestos, con la aportación de la comunidad de software e impuestos, desarrolló una muestra del plan con lenguaje sencillo que los profesionales de impuestos pueden usar para hacer su propio WISP. El plan de muestra (en inglés) PDF está disponible en IRS.gov.

Un plan de seguridad debe ser apropiado para el tamaño de la empresa, el alcance de sus actividades, la complejidad y la sensibilidad de los datos de los clientes que maneja. No existe un WISP único para todos. Por ejemplo, un empresario individual puede usar un plan más abreviado y simplificado que una empresa de contabilidad de 10 socios.

Desarrollo de un WISP

Un buen WISP debe de enfocarse en tres áreas:

  • Manejo y capacitación de los empleados
  • Sistemas de información
  • Detección y manejo de fallos del sistema

Un buen recurso es la Guía de Respuesta a la Filtración de Datos de la FTC (en inglés) PDF

Como parte del plan, la FTC requiere que cada empresa:

  • Designe a uno o más empleados para coordinar su programa de seguridad de información.
  • Identifique y evalúe los riesgos de la información del cliente en cada área relevante de la operación de la empresa y evalúe la eficacia de las protecciones actuales para controlar dichos riesgos.
  • Diseñe y aplique un programa de protecciones, y lo supervise y ponga a prueba periódicamente.
  • Seleccione proveedores de servicios que puedan mantener las protecciones adecuadas.
  • Evalue y ajuste el programa teniendo en cuenta las circunstancias pertinentes, incluidos los cambios en el negocio o las operaciones de la empresa, o los resultados de las pruebas de seguridad y supervisión.

Seguimiento

Un buen plan de seguridad requiere un mantenimiento regular. Estos son algunos consejos para mantener la eficacia de un WISP:

  • Una vez terminado, los profesionales de impuestos deben mantener su WISP en un formato que otros puedan leer fácilmente, como PDF o Word. Se recomienda también poner el WISP a disposición de los empleados con fines de adiestramiento. Almacenar una copia fuera de las instalaciones o en la nube es una práctica recomendada en caso de desastre físico.
  • Es importante entender que un WISP está destinado a ser un documento permanente. Es importante revisar y actualizar periódicamente cualquier plan de seguridad, así como ajustar el plan para adaptarlo a los cambios en el tamaño, el alcance y la complejidad del negocio de un profesional de impuestos.
  • Como parte de un plan de seguridad, el IRS también recomienda a los profesionales de impuestos crear un plan de respuesta al robo de datos, que incluye ponerse en contacto con el Enlace de Partes Interesadas del IRS (en inglés) para informar de un robo. Consulte también los requisitos de respuesta a filtración de datos de la FTC (en inglés) PDF que se mencionan previamente.

Recursos adicionales

Los profesionales de impuestos también pueden obtener ayuda con las recomendaciones de seguridad en la Publicación 4557 del IRS, Salvaguardando Datos del Contribuyente (en inglés) PDF y Seguridad de Información de Pequeñas Empresas: Los Fundamentos (en inglés) PDF del Instituto de Estándares y Tecnología. Las páginas del Centro informativo sobre el robo de identidad del IRS para los profesionales de impuestos, los individuos y las empresas también tienen detalles importantes.

La Publicación 5293, Guía de Recursos de Seguridad de Datos para Profesionales de Impuestos (en inglés) PDF, ofrece una recopilación de información acerca del robo de datos disponible en IRS.gov. Además, los profesionales de impuestos deben mantenerse conectados con el IRS a través de suscripciones a e-News para profesionales de impuestos (en inglés) y medios sociales.