¿Qué es WISP y por qué es crucial para profesionales de impuestos y contabilidad?

WISP, o Plan de Seguridad de la Información por Escrito, por sus siglas en inglés, es un documento integral que describe cómo un negocio recopila, maneja y protege información sensible. En California, con sus estrictas leyes de protección de datos, WISP es crucial para preparadores de impuestos y contadores que manejan datos financieros y personales confidenciales..

¿Cuándo y por qué es obligatorio WISP?

Los residentes de California deben estar familiarizados con la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Derechos de Privacidad de California (CPRA). Si bien estas leyes no exigen explícitamente WISP, subrayan el compromiso del estado con la privacidad de los datos. Adherirse a WISP ayuda a que las empresas se alineen con estas leyes y eviten consecuencias legales.

Ejemplo: California, siendo un estado progresista en privacidad, destaca la importancia de proteger los datos del consumidor. WISP actúa como una medida proactiva, asegurando que las empresas manejen la información personal de manera responsable y en cumplimiento con las regulaciones estatales.

‍

¿Quién está obligado a cumplir con los requisitos de WISP del IRS?

Cualquier individuo o entidad que maneje información de contribuyentes, incluidos los preparadores de impuestos, firmas contables e instituciones financieras, está obligado a cumplir con los requisitos de WISP del IRS. Esto incluye mantener medidas de seguridad adecuadas para proteger los datos de los contribuyentes.

"No hay forma de evitarlo para cualquiera que dirija un negocio de impuestos. Tener un plan de seguridad por escrito es una práctica comercial sólida, y es requerido por la ley", dijo Jared Ballew de Drake Software, co-líder del equipo de profesionales de impuestos de Summit y próximo presidente del Comité Asesor de Administración de Impuestos Electrónicos (ETAAC, por sus siglas en inglés).

‍

¿Qué constituye un WISP integral para profesionales de impuestos?

Un sólido WISP en California típicamente incluye:

• Evaluación de Riesgos de Datos: Identificación y evaluación de posibles riesgos para la información sensible.
• Políticas de Seguridad: Políticas claramente definidas sobre clasificación, manejo y almacenamiento de datos.
• Entrenamiento de Empleados: Garantizar que los empleados estén bien versados en los protocolos de seguridad y la protección de datos del cliente.
• ‍Plan de Respuesta a Incidentes: Una estrategia documentada para abordar y mitigar incidentes de seguridad.

¿Cómo pueden los profesionales de contabilidad e impuestos lograr el cumplimiento de WISP?

• Análisis de Riesgos Exhaustivo: Comienza con una evaluación integral de riesgos para identificar vulnerabilidades.
• Desarrollo de Políticas: Desarrolla e implementa políticas de seguridad en línea con el panorama de protección de datos de California.
• Entrenamiento Continuo: Educa regularmente al personal sobre protocolos de seguridad y mantenlos actualizados sobre amenazas emergentes.
• Auditorías Regulares: Realiza auditorías periódicas para garantizar el cumplimiento continuo e identificar áreas de mejora.

¿Qué necesito para mi auditoría de WISP?

Para una auditoría del Programa de Seguridad de la Información por Escrito (WISP) en una empresa especializada en contabilidad y preparación de impuestos, debes centrarte en garantizar la seguridad de la información financiera y personal sensible. Aquí hay elementos clave a considerar:

‍

• Clasificación de Datos: Define claramente y clasifica los tipos de datos que maneja tu empresa. En tu caso, esto incluiría información personal identificable (PII), datos financieros, información relacionada con impuestos y cualquier otro dato sensible.
• ‍Evaluación de Riesgos: Realiza una evaluación exhaustiva de riesgos para identificar amenazas potenciales y vulnerabilidades para la confidencialidad, integridad y disponibilidad de los datos que manejas.
• ‍Controles de Acceso: Implementa y hace cumplir controles de acceso para asegurar que solo el personal autorizado tenga acceso a información sensible. Esto incluye autenticación de usuario, acceso basado en roles y revisiones periódicas de acceso.
• ‍Seguridad Física: Asegura el acceso físico a servidores, centros de datos y cualquier lugar donde se almacene información sensible. Esto incluye medidas como vigilancia, tarjetas de acceso y áreas de acceso restringido.
• ‍Seguridad de Red: Asegúrate de que tu red sea segura mediante firewalls, sistemas de detección/prevención de intrusiones y cifrado. Esto es crucial para proteger datos durante la transmisión y dentro de la red local.
• ‍Entrenamiento de Empleados: Capacita a los empleados sobre políticas y procedimientos de seguridad, enfatizando la importancia de salvaguardar información sensible. Esto incluye prácticas de manejo de datos, procedimientos de inicio de sesión seguros y conciencia de amenazas de phishing.
• ‍Plan de Respuesta a Incidentes: Desarrolla y mantiene un plan de respuesta a incidentes para abordar cualquier incidente de seguridad de manera oportuna. Este plan debe describir los pasos a seguir en caso de una violación de datos u otros incidentes de seguridad.
• ‍Cifrado: Implementa el cifrado para datos en tránsito y en reposo. Esto agrega una capa adicional de protección, especialmente para información financiera y personal sensible.
• ‍Cumplimiento con Regulaciones: Asegúrate de cumplir con las regulaciones relevantes que rigen el manejo de datos financieros y personales, como las pautas del IRS, la Ley Gramm-Leach-Bliley (GLBA) y cualquier otra norma de la industria aplicable.
• ‍Auditorías de Seguridad y Monitoreo: Realiza auditorías de seguridad y monitoreo regularmente para identificar y abordar cualquier debilidad de seguridad o actividades sospechosas. Esto incluye monitoreo de registros, detección de intrusiones y evaluaciones periódicas de seguridad.
• ‍Políticas Documentadas: Ten políticas y procedimientos de seguridad bien documentados. Esto incluye tu documento WISP, que debe ser integral y estar actualizado.
• ‍Gestión de Proveedores: Si utilizas proveedores externos para servicios, asegúrate de que cumplan con estándares de seguridad y privacidad. Esto es particularmente importante para los servicios basados en la nube.
• ‍Mejora Continua: Revisa y actualiza regularmente tu WISP en función de los cambios en la tecnología, las regulaciones y el panorama de amenazas en evolución.

¿Cuánto cuesta lograr el cumplimiento de WISP?

• Inversión en Software: Obtener el cumplimiento de WISP a menudo implica invertir en software de seguridad robusto. Esto incluye herramientas de cifrado, protección contra incendios, sistemas de detección/prevención de intrusiones y plataformas de gestión de datos. Puedes consultar nuestra solución de Seguridad y Actualización de Windows aquí.
• Inversión en Hardware: Asegurar tu red y tu infraestructura física es vital para el cumplimiento de WISP. Esto puede implicar invertir en servidores seguros, enrutadores y otros componentes de hardware diseñados para proteger datos sensibles.
• Servicio de Auditoría Profesional: Contratar los servicios de profesionales de TI para una auditoría exhaustiva es un aspecto clave del cumplimiento de WISP. Los profesionales de TI pueden evaluar sus sistemas existentes, identificar vulnerabilidades y recomendar medidas de seguridad. El costo de dichos servicios depende del alcance de la auditoría, la complejidad de su red y la profundidad del análisis requerido. Ver Precios
• Costos Asociados: Más allá de software, hardware y servicios profesionales, hay costos asociados a considerar. Esto incluye programas de capacitación para empleados para garantizar que el personal esté bien versado en los protocolos de seguridad, así como gastos continuos de monitoreo y mantenimiento. Además, se deben tener en cuenta consideraciones presupuestarias para posibles actualizaciones o expansiones de su infraestructura de seguridad a medida que evoluciona la tecnología.