Veritas Online

Recientes

Responsabilidad Profesional: Puede llevarla a cualquier parte

Responsabilidad Profesional: Puede llevarla a cualquier parte
octubre 01
00:22 2014

Con la cantidad de datos que circula en los dispositivos móviles y sus diferentes usos, el riesgo de seguridad de la información es latente para cualquier compañía, pero hay principios básicos que le servirán para mitigar el peligro.

Se ha dicho que con un gran poder viene una gran responsabilidad. Los dispositivos móviles y la computación en la nube facultan a los Contadores Públicos Certificados (CPC) a trabajar sobre una base de a cualquier hora y lugar, pero esto demanda una mayor responsabilidad para la seguridad de la información.

La obligación de un CPC de proteger la información confidencial de un cliente está regulada no sólo por el Código de Conducta Profesional del Instituto Americano de Contadores Públicos Certificados (AICPA) y la Secc. 7216 del Código de Ingresos Internos, sino también por los estatutos y regulaciones federales y estatales que gobiernan la seguridad de la información. Esta obligación es la misma, independientemente de cómo o dónde se almacene o transmita la información.

La violación de la información confidencial del cliente supone varios riesgos, incluyendo una exposición de responsabilidad profesional si esa información se usa en forma maliciosa y se incurre en daños. El riesgo también surge en relación con el cumplimiento obligatorio de los estatutos y regulaciones federales y estatales aplicables a notificaciones de incumplimiento. Más aún, los daños a la reputación o de otra naturaleza se presentan por la falla en proteger la información del cliente.

El incremento en el uso de dispositivos móviles por parte de los CPC para realizar negocios aumenta el número de puntos potenciales de fuga de la información. Además, las apps se han convertido en el camino por el que los hackers obtienen el acceso a los dispositivos móviles.

Con más información para proteger, más leyes de seguridad para acatar, y más formas en las que la información puede ser liberada o comprometida –¿qué debe hacer una firma de CPC? Como la tecnología avanza a la velocidad del rayo, el reto de asegurar la información puede parecer desalentador. La prohibición del uso de dispositivos móviles no es una opción práctica. Dado que ningún programa o software de seguridad puede garantizar que la información nunca se perderá o será robada, la aplicación de unos cuantos principios básicos puede ayudar a manejar los riesgos de seguridad móvil y a mitigar la exposición de la responsabilidad profesional.

  • Entienda el perfil de riesgo de seguridad de la información de la empresa. El uso de dispositivos móviles crea oportunidades adicionales para que la información se pierda o sea robada. Revise la forma en que la empresa recibe, usa y mantiene la información, incluyendo cómo y dónde se almacena, el tipo de información transmitida hacia y desde los dispositivos móviles, y las prácticas que pueden colocar a su empresa en un riesgo mayor por fuga o pérdida de información. Por ejemplo, ¿permite la empresa el uso de memorias USB sin encriptar?
  • Reconsidere las necesidades de información. Antes de aceptar información confidencial de un cliente, determine si existe una razón de negocios para recabarla. ¿Podría usted desempeñar los servicios profesionales de conformidad con el acuerdo de compromiso sin recibir dicha información? Los CPC deben estar conscientes de la responsabilidad que adquieren de proteger la información del cliente al solicitarles determinada información o el acceso a sus sistemas. Tener acceso a información que no es realmente necesaria incrementa el riesgo para la responsabilidad profesional que asume el CPC. Al limitar el tipo de información que se recibe del cliente, la firma puede reducir también la necesidad de proteger y asegurar dicha información.

La violación de la información confidencial del cliente supone varios riesgos, incluyendo una exposición de responsabilidad profesional

  • Decida qué tipo de programa para móviles se ajusta mejor a la firma. ¿Se proporcionarán dispositivos de propiedad de la firma a sus socios y empleados, o ellos proporcionarán sus propios dispositivos como parte de un programa “traiga su propio dispositivo” (BYOD, por sus siglas en inglés)? Cada programa tiene riesgos y beneficios. Cuando la firma proporciona los dispositivos tiene más control sobre su uso y seguridad. Un programa BYOD podría ser menos costoso, pero es menos seguro y puede resultar en situaciones en que los empleados tengan dos dispositivos, uno para el trabajo y otro para uso personal. Algunas características serán iguales para ambos programas, pero otras serán diferentes. Las firmas deberán decidir qué programas se ajustan mejor a su presupuesto y atienden a sus necesidades culturales y de seguridad.
  • Tome en serio la seguridad de los móviles. No permita que los socios y empleados usen el dispositivo que quieran, con programas que ellos seleccionen, ni crea que estos dispositivos son seguros si usan una contraseña. Las contraseñas no constituyen un programa de seguridad. Use a un proveedor de administración de dispositivos móviles, que pueda proporcionar una plataforma de software que asegure y soporte los diferentes dispositivos de los empleados. Hay diferentes plataformas disponibles para controlar la manera en que la información se mueve a y desde los dispositivos, la nube y los servidores. Una plataforma de dispositivos móviles también tendrá características de seguridad como la encriptación y la capacidad de localizar, cerrar y limpiar los dispositivos en forma remota. Un programa así deberá también manejar medios removibles, como las memorias USB.
  • Tenga una política de la firma, o un acuerdo de uso que establezca los términos y condiciones del programa de móviles y las expectativas de los socios y empleados. Cree una política comprensiva de dispositivos móviles (incluyendo guías detalladas) para todos los socios, empleados, contratistas, y terceras partes proveedoras de servicios. La política deberá identificar y abordar los riesgos de seguridad de la información y los procedimientos que se deberán seguir si ocurre una pérdida de información. Comunique a los socios y empleados la forma en que pueden usar sus dispositivos y lo que se espera de ellos. Explique puntualmente las expectativas de privacidad que ellos deberán tener cuando usen un dispositivo móvil para el trabajo. Debido a que las leyes de uso y de privacidad varían en cada estado, las firmas de CPC deberán consultar a un abogado para redactarlas.

  • Eduque a socios y empleados sobre comportamientos riesgosos. Informe al personal sobre la importancia de salvaguardar los dispositivos móviles. El comportamiento riesgoso incluye bajar aplicaciones y programas gratis de tiendas en línea no autorizadas que pueden contener virus informáticos, apagar la configuración de seguridad, no encriptar información en tránsito o inactiva, y no reportar con prontitud los dispositivos perdidos o robados que puedan contener información confidencial y sensible.

  • Integre a profesionales de Tecnologías de la Información (TI), de recursos humanos y de asuntos legales en el desarrollo del programa de dispositivos móviles. Todo programa deberá tener aspectos que emanan de cada una de estas disciplinas. Por ejemplo, un profesional de TI puede atender problemas de software de seguridad, pero él o ella probablemente no sabría si ciertas prácticas violan las leyes de uso. Tenga una persona clave para coordinar el esfuerzo, pero asegúrese de obtener información de cada una de estas áreas de especialización.

Aunque hay muchos más detalles que acompañan todas estas consideraciones para lograr un efectivo programa de móviles, estos principios son un buen comienzo para poner a las firmas de Contadores Públicos en el camino para establecer un programa de móviles que controle el riesgo de seguridad de la información y el riesgo de responsabilidad profesional correspondientes.

>Este artículo es una reseña del original titulado “Data security risk: you can take it anywhere”, publicado en Journal of Accountancy, abril 2014. Traducido para Veritas, del Colegio de Contadores Públicos de México, por Pilar Vidal.

AUTORES ORIGINALES: Richard Sheinis (rscheinis@hallboothsmith.com) es abogado en Hall Booth Smith PC en Atlanta. Sarah Beckett Ference es directora de consultoría de control de riesgos en CNA (sarah.ference@cna.com).

Redacción Grupo Medios

veritas@colegiocpmexico.org.mx

Facebook Comments

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

A %d blogueros les gusta esto: