Al entrar formalmente en la discusión sobre ciberseguridad por primera vez, el 14 de abril de 2021, el Departamento de Trabajo de EE. UU. (DOL) publicó en su sitio web un conjunto de nuevas directrices, que incluyen Consejos para contratar a un proveedor de servicios con sólidas prácticas de ciberseguridad , Programa de ciberseguridad Best Prácticas y consejos de seguridad en línea para participantes y beneficiarios .
Antilavadodedinero / natlawreview
Como antecedentes, la ciberseguridad se ha convertido durante la última década en un área de importancia crítica para los patrocinadores y administradores de los planes de beneficios para empleados, así como para los participantes del plan.
En pocas palabras, esto se debe a que los planes (que el DOL estima que tienen $ 9.3 billones en activos) son un objetivo principal de los ladrones cibernéticos, dado que generalmente contienen cantidades significativas de datos confidenciales de los participantes, a menudo permiten el acceso electrónico a los fondos (piense en distribuciones 401 (k) ) y dependen de proveedores de servicios externos, que proporcionan puntos de acceso adicionales para las infracciones.
Este riesgo solo se vio exacerbado por los cierres de COVID-19, donde el personal de beneficios y sus proveedores de servicios tuvieron que pasar rápidamente a trabajar de forma remota y comenzar a depender del acceso electrónico más que nunca.
Frente a estos desafíos de seguridad cibernética, muchos patrocinadores y administradores de planes han considerado formas de mitigar el riesgo, tanto internamente ( por ejemplo , a través de la educación de su personal y participantes de beneficios) como externamente (principalmente a través de la gestión de sus relaciones con los proveedores de servicios).
En los últimos años, se ha sugerido (incluso por parte de la Oficina de Responsabilidad Gubernamental en un informe de febrero de 2021 ) que el DOL debería proporcionar su perspectiva sobre las responsabilidades fiduciarias con respecto a la ciberseguridad. Hasta ahora, el DOL se ha mantenido en gran parte en silencio sobre estos asuntos, pero ahora ha entrado en la discusión con las siguientes tres piezas de orientación dirigidas a tres audiencias diferentes.
Mejores prácticas del programa de ciberseguridad: Este documento contiene una lista de las 12 mejores prácticas para que las utilicen los administradores de registros y otros proveedores de servicios del plan responsables de la tecnología de la información y los datos. Esta guía proporciona detalles bastante extensos para cada uno de los 12 elementos, que van desde una descripción de lo que el DOL espera ver en un programa de ciberseguridad formal y documentado hasta enfatizar la importancia de las evaluaciones de riesgos internas anuales junto con las auditorías externas de los controles de seguridad.
El documento también detalla las acciones que deben tomarse en caso de que se produzca una infracción o incidente de seguridad cibernética. Si bien este documento está dirigido principalmente a los controles para los proveedores de servicios, aún sería relevante para los planes que mantienen los sistemas de tecnología de la información internamente. Incluso para planes que no mantienen sistemas internos, el DOL indicó que estas mejores prácticas son para uso de los fiduciarios del plan en sus decisiones de contratación de proveedores.
En particular, el DOL tiene una declaración general en este documento de que «los fiduciarios del plan tienen la obligación de garantizar la mitigación adecuada de los riesgos de seguridad cibernética».
Consejos para contratar a un proveedor de servicios con sólidas prácticas de ciberseguridad : El DOL luego se centró directamente en los fiduciarios del plan, emitiendo un documento que proporciona algunas sugerencias sucintas sobre los pasos que los patrocinadores y administradores del plan podrían tomar con respecto a la diligencia y la contratación del plan. proveedores de servicio. Por ejemplo, la guía del DOL sugiere los siguientes pasos:
- Pregunte sobre el programa de ciberseguridad del proveedor y compárelo con los estándares de la industria. Como se señaló anteriormente, las doce mejores prácticas del programa de ciberseguridad del DOL pueden servir como una guía útil sobre la visión del DOL de lo que constituye un programa de ciberseguridad sólido.
- Busque proveedores que contraten a un auditor externo para revisar y validar anualmente su programa de ciberseguridad. El DOL sugiere además que los fiduciarios del plan incluyan una disposición en el contrato con el proveedor que requiera que se lleve a cabo una auditoría anual de cumplimiento de ciberseguridad por parte de un tercero.
- Evalúe el historial del proveedor en la industria revisando la información disponible públicamente sobre incidentes de seguridad pasados y procedimientos legales que involucren al proveedor.
- Pregunte sobre las brechas de seguridad pasadas y cómo respondió el proveedor.
- Pregunte acerca de las pólizas de seguro del proveedor que cubrirían las pérdidas causadas por violaciones de seguridad cibernética y robo de identidad y considere exigir al proveedor que mantenga un seguro de responsabilidad profesional y de responsabilidad por errores y omisiones, un seguro de responsabilidad cibernética y violación de la privacidad, y / o una fianza de fidelidad / cobertura general contra delitos.
- Negociar disposiciones claras en el contrato con respecto a la obligación del proveedor de mantener la privacidad de la información privada y cumplir con un estricto estándar de atención para proteger la información confidencial.
- El contrato del proveedor debe exigir el cumplimiento continuo del proveedor con los estándares internos de seguridad cibernética y seguridad de la información, así como el cumplimiento de las leyes de retención y destrucción de registros, privacidad y seguridad de la información.
- Incluya en el contrato del proveedor cuánto tiempo tiene el proveedor para notificar al fiduciario de una violación de seguridad y exija que el proveedor investigue y aborde razonablemente la causa de la violación. El DOL también establece que los fiduciarios del plan deben revisar cuidadosamente las disposiciones del contrato que limitarían la responsabilidad del proveedor por violaciones de seguridad cibernética.
Consejos de seguridad en línea para participantes y beneficiarios : aparentemente reconociendo que los participantes y beneficiarios representan una vulnerabilidad primaria desde una perspectiva de seguridad cibernética, el DOL proporcionó estos consejos de seguridad para que los participantes los consideren a fin de reducir el riesgo de fraude o robo cibernético con respecto a sus beneficios.
Esta lista contiene muchos temas predecibles, pero importantes, como el uso de contraseñas seguras, la conciencia sobre el phishing, la actualización de la información de contacto personal y la supervisión de cuentas. Si bien el DOL no sugirió esto específicamente, los patrocinadores y administradores del plan pueden considerar la posibilidad de difundir esta guía (o su propia versión de la guía) a los participantes para mejorar su conciencia de seguridad cibernética y ayudar a evitar crisis futuras.
La vista desde Proskauer
Dada la amenaza que representa el ciberdelito para los planes en el mundo posterior a COVID, es un momento excelente para que los patrocinadores y administradores del plan analicen sus propias vulnerabilidades y establezcan un plan de acción para mitigar el riesgo de pérdida asociado con las violaciones de seguridad de datos.
La diligencia y contratación de proveedores es un componente crítico, aunque no el único, de dicho plan de acción. La guía del DOL proporciona una mirada útil a la perspectiva del DOL sobre este tema y debe considerarse como un punto de datos útil en el análisis más amplio.