La reforma de ciberseguridad del IRS responde al trabajo de la GAO en materia de protección de datos

El Servicio de Impuestos Internos ha lanzado nuevas medidas de seguridad cibernética para proteger los datos de los contribuyentes después de que los auditores del gobierno federal señalaran graves debilidades en sus sistemas de información. Basándose en la labor de la GAO y bajo la supervisión reiterada del Congreso, la agencia ha tomado medidas para reforzar los controles de acceso y la protección de la tecnología, al tiempo que promete una mayor rendición de cuentas en sus operaciones.

Fortalecimiento de los sistemas de información y la seguridad de los datos

El IRS anunció diez importantes mejoras de seguridad en mayo de 2024, lo que refleja años de recomendaciones de la Oficina de Responsabilidad Gubernamental. Para los contribuyentes, las reformas tienen por objeto establecer una mayor protección de los números de Seguro Social, la información bancaria y otros archivos almacenados en los sistemas de la agencia.

Controles de acceso y supervisión de auditorías

El acceso a los datos confidenciales de los contribuyentes se ha reducido considerablemente. Solo los empleados con la aprobación explícita de un alto nivel pueden ver ciertos archivos. La agencia también inició nuevos procesos de auditoría y mantuvo copias probatorias de las consultas a las bases de datos para que la administración pudiera determinar el acceso adecuado. Estos métodos tienen como objetivo mejorar la integridad en todos los programas y operaciones.

Actualizaciones de monitoreo y tecnología de la información

El IRS ha introducido el monitoreo las 24 horas del día mediante análisis avanzados. Las actualizaciones de la tecnología de la información incluyen nuevos firewalls y paneles que permiten a la administración revisar la actividad de los usuarios en tiempo real. Las mejoras, respaldadas por la Ley de Reducción de la Inflación, reflejan el objetivo del gobierno federal de modernizar los sistemas de información y garantizar que la seguridad siga siendo coherente con las regulaciones gubernamentales.

Estándares de supervisión de contratistas y capital humano

La supervisión limitada de los contratistas ha sido un problema persistente. Los hallazgos de la GAO mostraron que las tasas de finalización de la capacitación estaban muy por debajo de las expectativas. El IRS exige que todos los profesionales y empresas que manejan datos de los contribuyentes establezcan planes escritos de seguridad de la información (WISP). Las políticas de capital humano también exigen que al menos el 90 por ciento de los contratistas completen la capacitación en ciberseguridad.

Controles sobre la distribución de medios y datos

Los medios extraíbles, como las memorias USB, están básicamente prohibidos. La agencia ahora monitorea toda la impresión de la información de los contribuyentes y restringe la distribución a los destinos aprobados. Estas medidas se diseñaron para reflejar los hallazgos de auditorías anteriores y garantizar la rendición de cuentas en la gestión de datos.

El trabajo de la GAO y las conclusiones del Contralor General sobre la ciberseguridad del IRS

El trabajo de la GAO ha sido fundamental para impulsar las reformas. Desde 2010, la oficina ha emitido 451 recomendaciones sobre la ciberseguridad del IRS. En marzo de 2023, 77 seguían incompletas. La contraloría general ha declarado en repetidas ocasiones que tales brechas en los sistemas de información representan un riesgo para la misión de la agencia y socavan el cumplimiento tributario voluntario.

El Congreso y sus comités han solicitado constantemente actualizaciones sobre el progreso, presionando al IRS para que informe los hallazgos y establezca objetivos de seguridad. Las revisiones realizadas en enero, septiembre y noviembre destacaron el alcance del desafío. Un informe de la GAO señaló que se omitieron siete sistemas de procesamiento de impuestos en los inventarios oficiales de seguridad, lo que limitó la capacidad de la agencia para evaluar las vulnerabilidades.

La supervisión también se ha centrado en los contratistas. La GAO descubrió que la agencia carecía de autoridad y mecanismos de rendición de cuentas para monitorear al personal externo. Esta capacidad de revisión limitada creó puntos ciegos que los auditores del gobierno federal instaron al IRS a abordar rápidamente.

Voces de rendición de cuentas: el Contralor General y el IRS sobre los riesgos de ciberseguridad

En su plan de modernización, el IRS prometió:»El IRS protegerá los datos de los contribuyentes mediante herramientas y análisis avanzados y se alineará con los estándares y prioridades de ciberseguridad de todo el gobierno». La declaración refleja la misión de la agencia de garantizar la integridad de los datos y, al mismo tiempo, mantener una administración tributaria eficaz.

El informe de 2023 de la GAO fue más contundente. Advirtió que»las debilidades continuas representan un riesgo para la información de los contribuyentes». El contralor general señaló que la supervisión limitada de los contratistas y las revisiones incompletas del sistema reducían la eficacia de los métodos de la agencia.

Varios representantes del Congreso se hicieron eco de esas preocupaciones, y algunos comités protestaron por el ritmo del cambio. Argumentaron que el hecho de no iniciar antes medidas de protección más estrictas dejaba al medio ambiente vulnerable. Al completar nuevos programas y contratos ahora, el IRS tiene como objetivo reflejar la responsabilidad y la eficacia al tiempo que responde a las investigaciones gubernamentales de larga data.

Lo que los contribuyentes y las empresas deben saber sobre los cambios de ciberseguridad del IRS

Las reformas prometen protecciones más fuertes para los archivos personales de los contribuyentes. La mejora de la supervisión y los controles de acceso reducen el riesgo de uso no autorizado, y las mejoras tecnológicas mejoran el entorno general para la presentación digital de informes fiscales. El gobierno federal ha aclarado que restaurar la confianza pública es un objetivo fundamental.

Los requisitos de cumplimiento son más estrictos para las empresas y los profesionales de impuestos. Todos los contratistas deben establecer un plan escrito de seguridad de la información (WISP, por sus siglas en inglés), y las sanciones por el mal manejo de los datos de los contribuyentes han aumentado en virtud de la ley federal. Los contratistas ahora se enfrentan a controles de auditoría, a normas de capacitación más estrictas y a un consentimiento limitado para acceder a los sistemas confidenciales, a menos que puedan demostrar que cumplen con los requisitos.

De cara al futuro, el IRS aún debe completar docenas de recomendaciones de la GAO. Su misión es mejorar la tecnología y demostrar una gestión y una responsabilidad consistentes. Se alienta a los contribuyentes a apoyar estos esfuerzos solicitando un PIN de protección de identidad, habilitando la autenticación multifactorial y monitoreando las cuentas en línea del IRS.

Fuentes oficiales sobre el trabajo de la GAO y los sistemas de información del IRS

Varios recursos oficiales proporcionan un contexto detallado y actualizaciones continuas para los lectores que desean revisar las conclusiones del gobierno federal directamente. Estos documentos son esenciales para entender cómo la agencia aborda los desafíos de seguridad, cómo el trabajo de la GAO sigue dando forma a las reformas y qué pueden esperar los contribuyentes de ahora en adelante.

• Sala de prensa del IRS: La sala de prensa es la plataforma central de la agencia para los comunicados oficiales. Publica declaraciones sobre nuevas medidas de ciberseguridad, actualizaciones de los servicios al contribuyente y cambios en las operaciones. Los contribuyentes, los contratistas y las empresas pueden confiar en él como el primer punto de referencia del departamento para los anuncios.
  
  
• Plan de modernización del IRS: Este plan multianual explica cómo la agencia establecerá sistemas más sólidos, actualizará la tecnología de la información y cumplirá los objetivos de protección de los archivos de los contribuyentes. Describe los programas diseñados para fortalecer las funciones de administración, mejorar la prestación de servicios y garantizar que los estándares de seguridad sean consistentes con las regulaciones gubernamentales más amplias.
  
  
• El trabajo de la GAO en materia de seguridad del contribuyente: Este informe de la Oficina de Responsabilidad Gubernamental proporciona conclusiones detalladas sobre la ciberseguridad del IRS, incluidos los casos en los que la supervisión ha sido limitada y las recomendaciones que siguen sin completarse. Refleja el alcance del trabajo de la GAO a lo largo de una década e incluye las evaluaciones, revisiones y objetivos establecidos por los comités del Contralor General y del Congreso.
  
  
• Recursos sobre el primer acto para el contribuyente: Esta ley fue iniciada por el Congreso para fortalecer la integridad del entorno tributario. Creó nuevos requisitos para la protección de la identidad, aumentó las sanciones por el mal manejo de datos y formalizó las asociaciones entre el sector público y el privado. Sigue siendo una ley fundamental para comprender la ley y los reglamentos que guían los esfuerzos del IRS en materia de ciberseguridad.
  
  
• Oficina del Contralor General de la GAO: Esta oficina es responsable de la rendición de cuentas en todo el gobierno y continúa publicando sus conclusiones sobre la eficacia de los métodos del IRS. Las revisiones del contralor general determinan si los programas reflejan los objetivos del gobierno y si las operaciones de la agencia se alinean con las normas federales.