El IRS debe abordar las debilidades críticas de las salvaguardias para proteger adecuadamente la información confidencial de los contribuyentes, dijo la Oficina de Responsabilidad Gubernamental (GAO) en un informe, al tiempo que culpa a la agencia tributaria por no implementar 77 de sus recomendaciones, incluidas dos que considera “de alta prioridad”.
“En la última crítica al tratamiento de los datos de los contribuyentes por parte del IRS, el informe de la GAO (pdf) encontró una serie de deficiencias, incluida una capacitación insuficiente para los contratistas del IRS y deficiencias en la seguridad de la información que plantean riesgos para la información confidencial de los contribuyentes.
El organismo de control descubrió que, mientras que los empleados del IRS tenían una tasa de finalización del 97 por ciento en cuatro cursos de capacitación para proteger la información de los contribuyentes, esa tasa era inferior al 75 por ciento para los contratistas del IRS.
Por ejemplo, sólo el 66 por ciento de los aproximadamente 14.000 contratistas que fueron asignados para completar el curso de capacitación “Concienciación sobre amenazas internas” en realidad lo terminaron.
“Como resultado, los contratistas del IRS corren un mayor riesgo de no estar preparados para manejar la información de los contribuyentes”, dijo el organismo de control en el informe.
Parte del problema es que el IRS no tiene objetivos de finalización de capacitación para los contratistas en toda la agencia, que fue una de las 15 recomendaciones del organismo de control a la agencia tributaria para proteger mejor los datos de los contribuyentes.
De hecho, desde 2010, el organismo de control hizo 451 recomendaciones al IRS destinadas a salvaguardar la información de los contribuyentes.
Si bien el IRS ha adoptado la mayoría de las recomendaciones de la GAO, 77 de ellas no se han implementado, incluidas dos que el organismo de control considera de alta prioridad: actualizar un plan de modernización del sistema para evaluar el riesgo de manera más completa y desarrollar reglas para proteger mejor la información del contribuyente mientras está en manos de terceros. proveedores.
“La implementación total de estas recomendaciones podría mejorar significativamente la capacidad del IRS para salvaguardar la información de los contribuyentes”, dijo el organismo de control.
Las 15 nuevas recomendaciones presentadas por el organismo de control incluyen que el IRS establezca objetivos de capacitación para los contratistas, mantenga un inventario completo de los sistemas que almacenan datos de los contribuyentes y monitoree los casos de acceso intencional y no autorizado (o intento de acceso) a las declaraciones de impuestos o a la información de las declaraciones por parte de los contratistas.
El IRS estuvo de acuerdo con prácticamente todas las recomendaciones del organismo de control en una carta dirigida a la GAO obtenida por The Epoch Times, que señaló que el 83 por ciento de las recomendaciones hechas desde 2010 se han implementado.
La agencia tributaria culpó a la falta de recursos por no cumplir con más recomendaciones, al tiempo que insiste en que se preocupa por proteger los datos de los contribuyentes y garantizar que sus sistemas sean lo suficientemente seguros.
“A pesar de estos desafíos, los sistemas del IRS son seguros y estamos comprometidos a mejorar nuestra postura de seguridad en el futuro”, escribió en la carta Jeffrey Tribiano, comisionado adjunto de apoyo a operaciones del IRS.
Dos organismos de control, la GAO y el Inspector General del Tesoro para la Administración Tributaria (TIGTA), han informado repetidamente de deficiencias en la forma en que la agencia tributaria salvaguarda la información de los contribuyentes.
En octubre de 2022, TIGTA dijo que proteger los datos de los contribuyentes era un desafío importante para el IRS.
En noviembre de 2022, la GAO descubrió que el IRS tenía deficiencias continuas en el control de seguridad del sistema de TI en áreas como el cifrado y la configuración de ajustes de seguridad que aumentaban el riesgo de acceso no autorizado a datos confidenciales de los contribuyentes.
Los acontecimientos recientes han planteado preocupaciones similares, dijo la GAO en el informe, incluso cuando en diciembre de 2022, el IRS descubrió que había revelado accidentalmente en su sitio web cierta información de los contribuyentes que debía mantenerse confidencial.
En su último informe, la GAO encontró una serie de deficiencias relacionadas con la TI.
Una de estas brechas es el desarrollo inadecuado de documentos de autorización y evaluación de seguridad para el sistema que rastrea los riesgos de cumplimiento tributario para los contribuyentes adinerados.
Otro es la insuficiencia de procedimientos para determinar cuándo la información del contribuyente ya no debe almacenarse en dos de los sistemas de investigación de la agencia tributaria.
El organismo de control también descubrió que el IRS no evalúa adecuadamente el riesgo de los métodos que utiliza para compartir datos con entidades externas.
“A menos que el IRS remedie las deficiencias de control de TI, seguirá teniendo información limitada sobre los riesgos para la seguridad de la información de los contribuyentes y cómo responder a esos riesgos”, dijo la GAO en el informe.
Acceso no autorizado
Otro área señalada por el organismo de control es el área de la UNAX, o acceso no autorizado a la información de las declaraciones de impuestos.
La GAO descubrió que, si bien varias oficinas del IRS supervisan a los contratistas, no existe un proceso de supervisión a nivel de toda la agencia relacionado con el contratista del IRS, UNAX.
“Como resultado, el IRS tiene un conocimiento limitado de las tendencias de los contratistas UNAX y asume un mayor riesgo de perder oportunidades para mejorar los esfuerzos de prevención de la agencia”, dijo el organismo de control en el informe.