Desde estafas de phishing hasta filtraciones de datos, las empresas pierden miles de dólares por riesgos de ciberseguridad y miles más solo para recuperarse. Los ciberdelincuentes no escatimarán en nada, desde sus correos electrónicos hasta sus herramientas y software de gestión de proyectos. Aquí es donde entra en juego la gestión de la seguridad. Proteger sus datos confidenciales mantiene su negocio seguro. Sin embargo, esto implica implementar las políticas, procedimientos y protecciones necesarios. Una de las partes más básicas y cruciales de su gestión de seguridad es su WISP (Plan de seguridad de la información escrito). Pero, ¿qué es un WISP, por qué es importante y qué tiene que ver con las empresas de contabilidad y los profesionales de impuestos? ¿Qué es un WISP? Un Plan de seguridad de la información escrito, o WISP, es un documento que detalla los controles, procedimientos y políticas de seguridad de su organización. También explica cómo se protegen los datos confidenciales dentro de la organización y quién salvaguarda toda esa información. Piense en ello como una guía o una hoja de ruta para sus procesos de seguridad, datos y gestión de TI. La razón por la que se ha convertido en un tema tan esencial es desde que el IRS emitió su requisito. Exigió que todas las empresas que se ocupan de la contabilidad o brindan servicios de preparación de impuestos tengan uno implementado para fines de 2022. Más de 25 estados en los EE. UU. actualmente exigen que las empresas tengan un WISP o una alternativa similar. Esto incluye Florida, California, Nueva York, Rhode Island, Massachusetts y Texas. Además, un WISP generalmente incluye medidas de seguridad administrativas y técnicas que su empresa tiene implementadas, de manera similar a la Ley Gramm-Leach-Bliley de 1999. Cualquier persona o organización con acceso a la información de clientes o empleados debe asegurarse de implementar las medidas administrativas y técnicas apropiadas. salvaguardias. Recuerde que cualquier persona que tenga acceso a los datos de su empresa debe conocer su WISP. El WISP tiene como objetivo educar a todos los empleados sobre cómo implementar la seguridad de los datos en los niveles apropiados para todos los datos. ¿Por qué es importante tener un WISP? Un WISP es vital para cualquier negocio, especialmente para firmas de contabilidad, proveedores de atención médica y otras empresas que manejan datos confidenciales de clientes. Esto se debe a que: Dependiendo de su estado, es un requisito legal tener uno. El incumplimiento puede ser un riesgo costoso y vergonzoso que no querrás correr. Dado que las violaciones de datos son muy comunes hoy en día, los WISP pueden actuar como defensa contra la responsabilidad. No tener un WISP podría afectarle en el futuro, ya que puede ser evidencia de negligencia. Los demandantes pueden utilizar los requisitos de WISP como prueba del deber para respaldar una teoría funcional de culpabilidad en un reclamo contra una empresa o negocio de TI que experimenta una violación de datos y puede llevar a que su reputación se arruine para siempre. ¡Es simplemente una buena práctica! Tener procedimientos reales para proteger la PII, o información de identificación personal, y otros datos pertinentes por escrito puede ayudar a las empresas a evitar riesgos de cumplimiento y litigios, minimizando así las consecuencias de una violación de datos en caso de que ocurra. Habiendo pasado casi un año y medio desde que el requisito del IRS entró en vigor, cualquiera que no tenga uno debería dejar de dar largas como este profesional fiscal descoordinado. ¿Qué cubre un WISP? Los WISP varían significativamente en los controles de seguridad que cubren. El nivel de exhaustividad de su WISP dependerá de factores como el tamaño de su negocio, el alcance de sus actividades, la industria en la que opera y las leyes estatales que debe cumplir. Un WISP es una necesidad legal para los profesionales de impuestos y la mayoría de las empresas, ya que garantiza que su empresa tenga suficientes salvaguardas administrativas, técnicas y físicas para proteger la información de identificación personal o PII. Si está asociado con un proveedor de servicios de seguridad administrados (MSSP), es importante que sepa que pueden brindarle dicho servicio y al mismo tiempo actualizar periódicamente la documentación. ¿Qué se debe incluir en un plan de seguridad de la información escrito? Los WISP deben abordar las siguientes áreas de seguridad: Asignar a la persona a cargo del programa de seguridad Identificar y evaluar los riesgos de seguridad Crear políticas y procedimientos para el almacenamiento, acceso y transporte de datos personales Imponer sanciones por infracciones de WISP Restringir el acceso a los empleados despedidos Monitorear ambos Procedimientos de seguridad de contratistas y proveedores externos Limitar el acceso de contratistas y proveedores externos a registros físicos y digitales Evaluar el alcance y la eficacia del WISP Documentar incidentes y respuestas de seguridad de datos Además, es posible que se requiera que los WISP cumplan con las siguientes especificaciones técnicas: Proteger la información de inicio de sesión del usuario con una política de confianza cero Limitar el acceso a la PII a aquellos que necesitan saber Cifrar el intercambio y almacenamiento de información personal y confidencial Monitorear los sistemas de seguridad Actualizar todo el software, desde firewalls hasta parches de seguridad Enseñar a los empleados sobre las políticas de seguridad de su empresa y el uso correcto de los sistemas de seguridad informática. Por último, es posible que también se requiera que los WISP tengan las siguientes salvaguardas físicas: Crear pautas para el almacenamiento seguro y la protección de datos físicos Establecer estándares para mover datos físicos o duplicarlos Limitar el acceso físico a los registros almacenados Garantizar que todos los puntos de acceso físico, como puertas y archivadores, estén cerrados y protegidos. Actualizar el equipo de seguridad física, como cámaras de circuito cerrado y tarjetas de acceso para el acceso. Tener un plan establecido Un WISP no es solo una responsabilidad legal; tener uno reduce el riesgo de sufrir un incidente de seguridad de datos. Además, permite actuar rápidamente en caso de una emergencia. Cuanto más minucioso y completo sea su WISP, menos probabilidades tendrá de tener problemas durante un desastre de seguridad cibernética. Sólo asegúrese de probar y actualizar periódicamente su WISP. Un programa de seguridad con sólo un “plan en papel” sigue siendo mejor que ningún programa. Asegúrese de preguntarle a su MSSP si tienen uno para usted. De lo contrario, su legitimidad en lo que respecta a la seguridad y el cumplimiento de los datos debería ser muy cuestionada y analizada. ¿Está incluido en sus servicios habituales y se actualiza o revisa periódicamente? Encontrar el proveedor de TI adecuado para contabilidad puede marcar la diferencia entre un desastre y un suspiro de alivio. Tome en serio la seguridad de su empresa con un WISP Tener un WISP implementado demuestra que su empresa se toma en serio la ciberseguridad para los empleados, clientes, socios, autoridades policiales y el público en general. Demuestra a todos que usted, como profesional de impuestos o empresa, valora la seguridad de sus datos y que su empresa está preparada para mantenerlos seguros en caso de un desastre de todas las formas posibles. Si necesita ayuda para revisar o crear su Plan de seguridad de la información escrito, contáctenos hoy para una consulta gratuita. Nerds Support tiene certificación de cumplimiento SOC, por lo que contamos con los procesos y plantillas para demostrar que hacemos lo que decimos que hacemos para ayudar a que su negocio sea seguro y exitoso.