Seguro comercial suplementario

A medida que el 2022 llega a su fin, se puede afirmar que la palabra que más escucharon las empresas durante este año fue "inflación". La buena noticia es que noviembre marcó el quinto mes consecutivo en que la tasa se ralentizó en los Estados Unidos y llegó a un 7,1 % (la más baja desde enero [7,5 %] y una mejora en comparación con el 9,1 % de junio).

Según la Oficina de Estadísticas Laborales de los Estados Unidos, la desaceleración de la inflación se puede atribuir a que se disminuyeron los costos de energía para combustibles y electricidad, aunque los índices de alimentos y vivienda subieron. Las tasas continúan siendo más altas de lo que les gustaría a los economistas y las empresas, pero el alivio es bienvenido.

De cara al 2023, entre los retos adicionales para los que nos debemos preparar se incluyen la posible legislación y las normativas gubernamentales sobre las empresas que podrían afectar la forma de clasificar a los trabajadores, pagarles y proporcionarles tiempo libre pagado.

Cientos de profesionales de cumplimiento internos de Paychex elaboraron una lista de los problemas reglamentarios que podrían afectar más a las empresas en 2023 para ayudar a los empleadores y al personal de Recursos Humanos a prepararse para el futuro. Los problemas reglamentarios son aquellos que implican cualquier interacción con una autoridad reguladora, por ejemplo, el Departamento Federal o Estatal de Trabajo, o el Servicio de Impuestos Internos, o el cumplimiento de los requisitos normativos de dichos organismos gubernamentales.

<iframe allow="autoplay *; encrypted-media *; fullscreen *; clipboard-write" frameborder="0" height="175" style="width:100%;max-width:660px;overflow:hidden;background:transparent;" sandbox="allow-forms allow-popups allow-same-origin allow-scripts allow-storage-access-by-user-activation allow-top-navigation-by-user-activation" src="https://embed.podcasts.apple.com/us/podcast/top-regulatory-issues-facing-businesses-in-2023/id1507824762?i=1000590970291"></iframe>

¿Cuáles son algunos ejemplos de problemas reglamentarios? Estos son los principales problemas que Paychex identificó para 2023:

Financiación para pequeñas empresas

A pesar de la ausencia de nuevos programas federales, las empresas aún pueden aprovechar las oportunidades de obtener fondos para sus negocios, incluidos algunos que se han trasladado de la pandemia de COVID-19. Algunos de estos fondos existen como créditos fiscales, por ejemplo, el crédito fiscal por retención de empleados (ERTC, por sus siglas en inglés). Las empresas que pagaron salarios calificados para mantener el trabajo de sus empleados desde el 12 de marzo de 2020 hasta el 30 de septiembre de 2021 (y en el caso de algunas empresas identificadas como nuevas empresas en recuperación, los salarios podían pagarse hasta el 31 diciembre de 2021) tienen hasta el 15 de abril de 2024 (para tres trimestres de 2020) o el 15 de abril de 2025 (para todos los trimestres elegibles de 2021) a fin de presentar declaraciones modificadas y solicitar el crédito de forma retroactiva.

Las empresas han recibido desde decenas de miles hasta cientos de miles, incluso millones, de dólares en crédito para reinyectar en sus negocios a medida que continúan recuperándose de los desafíos financieros que trajo aparejados la pandemia.

La legislación en 2021, particularmente la Ley de Reducción de la Inflación, duplicó el monto máximo del crédito fiscal para investigación y desarrollo, lo que les brinda a las empresas una oportunidad de reclamar hasta USD 500 000 anuales en el año fiscal 2023 para actividades de investigación que califiquen.

Algunos estados también continúan patrocinando programas que mejoran los esfuerzos de financiación para ayudar a las empresas, incluidos 48 programas de crédito para pequeñas empresas. El Departamento del Tesoro de los Estados Unidos ha inyectado millones de dólares en cada estado para mejorar los programas de acceso al capital, de garantía de préstamos y de capital de riesgo. El propósito de la mayoría de estas iniciativas es apoyar a las comunidades marginadas que han tenido dificultades para conseguir financiación.

Las empresas también deben analizar con la debida diligencia las vías de financiación estatales y locales, incluidas las oportunidades específicas para cada industria.

Equidad salarial

En 2020, el Departamento de Trabajo de los Estados Unidos (USDOL, por sus siglas en inglés) informó que las mujeres de todas las categorías ganaban anualmente solo un 81 % de lo que ganaban los hombres. La equidad salarial continúa siendo un tema de debate a nivel estatal y local, incluso en 2022, y se espera que se aprueben más leyes en 2023. El objetivo de la equidad salarial es reducir la diferencia en la remuneración. Además, es una herramienta efectiva de reclutamiento y retención.

A fines de 2022, siete estados y varias jurisdicciones locales ya tienen leyes que requieren transparencia del empleador, incluidas las enmiendas en Rhode Island, Washington y California que entrarán en vigencia en 2023. Para atenerse a este requisito regulatorio, los empleadores cubiertos de estos estados deben cumplir ciertas normas que podrían incluir publicar rangos salariales en las ofertas de trabajo y proporcionar escalas salariales a los candidatos y empleados existentes que se postulen a puestos vacantes.

Otra forma más frecuente de abordar la discriminación salarial a nivel estatal y local es implementar prohibiciones con respecto al historial salarial. En general, estas suelen impedir que un empresario o director de contratación pregunte sobre el historial salarial de un candidato a un puesto de trabajo antes de ofrecerle empleo o, en algunos casos, en cualquier circunstancia. Esta práctica se utilizó para excluir a las personas de un grupo de candidatos, así como para determinar la posible compensación, lo que ayudó a ampliar la brecha salarial entre hombres y mujeres.

A partir de diciembre de 2022, hay 28 estados y dos territorios, incluido el Distrito de Columbia, que tienen prohibiciones en cuanto al historial salarial.

Al inicio de 2023, los empleadores también deberán mantenerse al tanto de los esfuerzos continuos a nivel federal y estatal para contrarrestar la discriminación salarial a través de leyes de informes anuales de datos salariales para mitigar la discriminación racial y de género en el pago.

• California tiene una ley de informes de datos salariales
• Illinois tiene la Ley de Igualdad Salarial

Directrices para la clasificación de empleados

A mediados de octubre de 2022, el Departamento de Trabajo de los Estados Unidos publicó una reglamentación propuesta para revisar la guía actual sobre cómo determinar si una persona es un empleado o un contratista independiente en virtud de la Ley de Normas Justas de Trabajo (FLSA, por sus siglas en inglés). La propuesta revocaría la norma actual: la alinearía con las interpretaciones judiciales de la FLSA e implementaría un análisis de diversos factores de la “totalidad de las circunstancias”. Este enfoque pretende garantizar que a ningún factor se le asigne previamente más relevancia que a otro y que todos sean tenidos en cuenta antes de determinar la clasificación de un individuo.

Al haberse completado el período de comentarios públicos, se espera que el Departamento de Trabajo de los Estados Unidos emita su regla final en 2023, lo que afectaría el cumplimiento normativo por parte de las empresas. Comprenda que la norma solo se aplica al determinar la clasificación de los trabajadores en virtud de las leyes salariales y de horas laborales. Por eso, los empleadores deben esforzarse por mantenerse al día con respecto a las obligaciones de cumplimiento sobre las complejas pruebas para determinar la condición de un trabajador en virtud de las muchas otras regulaciones y leyes federales, estatales, locales y específicas de la industria.

Esta regla podría tener importantes consecuencias financieras para los empleadores en que las personas anteriormente clasificadas como contratistas independientes pasen a ser clasificadas como empleados y tal vez tengan derecho a la cobertura de salud y los beneficios de jubilación del empleador.

Fomentar el ahorro para la jubilación

La Ley SECURE 2.0 de 2022, promulgada el 29 de diciembre de 2022 como parte del paquete de gastos generales, proporciona a las empresas y a sus empleados incentivos adicionales con sus planes de jubilación.

La ley se basa en la Ley SECURE (Preparación de cada comunidad para la mejora de la jubilación), que entró en vigor a finales de 2019 para ayudar a contrarrestar la crisis jubilatoria en los Estados Unidos, y la amplía.

La Ley SECURE 2.0 amplía la elegibilidad y permite que ciertas pequeñas empresas califiquen para un crédito equivalente al 100 % de los costos administrativos a fin de establecer un plan de jubilación en el lugar de trabajo. Además, en 2023, hay disponible un crédito de contribución del empleador para las empresas que cumplen los requisitos según sus aportes de igualación de empleados o de participación en las ganancias. La inscripción automática de empleados en el plan de jubilación de una compañía es obligatoria a partir de 2025, lo que pretende alentar a más personas a participar en el ahorro para la jubilación.

Entre los cambios adicionales, se incluyen un aumento de la edad para comenzar la distribución mínima obligatoria, más oportunidades para que los trabajadores a tiempo parcial participen en un plan y una opción para igualar los pagos de los préstamos estudiantiles que pretende contrarrestar dos crisis: la deuda por préstamos estudiantiles y el ahorro para la jubilación al mismo tiempo.

Los profesionales de cumplimiento de Paychex también continúan monitoreando la expansión y la implementación de los mandatos jubilatorios a nivel estatal. En 2023, Colorado, Connecticut, Illinois, Maine, Oregón y Virginia tienen fechas límite para sus planes establecidos o planifican lanzar sus programas. Consulte qué sucede en su estado.

• Podcast: Ocho maneras en que la Ley SECURE 2.0 podría afectar sus planes de jubilación en el lugar de trabajo

Reglamentos de salarios y horas

De acuerdo con las sesiones de escucha celebradas a mediados de 2022, se prevé que el Departamento de Trabajo de los Estados Unidos publicará los cambios propuestos sobre las regulaciones federales de horas extras. Los cambios reflejarían el mercado laboral actual, incluido un aumento en el umbral salarial para los trabajadores exentos. Paychex continuará supervisando la situación para ayudar a las empresas a resolver cualquier problema de cumplimiento normativo que pueda producirse a partir de los cambios.

A nivel estatal y local, el panorama salarial y de horarios permanece activo con un incremento del salario mínimo que entrará en vigor en casi la mitad de los estados. Todos estos aumentos, salvo unos pocos, ya estaban programados para aplicarse. Sin embargo, en Nevada, el electorado tuvo que votar en 2022 sobre el salario mínimo de dos niveles que tenía en cuenta si las empresas proporcionaron beneficios de salud calificados. La propuesta para establecer un salario mínimo de $12 independientemente de los beneficios de salud ofrecidos fue aprobada y entrará en vigor el 1 de julio de 2024.

En Michigan, el salario mínimo de 2023 dependerá, en última instancia, del resultado de los litigios en curso.

En ciertas jurisdicciones, eliminar el salario por debajo del mínimo y los créditos de propinas también está dando forma al debate en torno a los salarios.

Las empresas también deben estar al tanto de los requisitos normativos específicos del sector en relación con los salarios y las horas trabajadas en la industria de comercio minorista, hospitalidad y cuidado médico. El movimiento preventivo surgió en California cuando se promulgó la Ley de Responsabilidad y Recuperación de Estándares de Comida Rápida (FAST, por sus siglas en inglés) en septiembre de 2022. El objetivo de la ley es establecer un consejo con autoridad para fijar normas en toda la industria que promuevan la salud y la seguridad de los trabajadores de comida rápida en el estado.

Los opositores a la ley presentaron un referéndum para bloquearla y consiguieron más del número requerido de firmas verificadas antes del 5 de diciembre de 2022. La intención era bloquear la posible entrada en vigor de la ley el 1 de enero de 2023 y ponerla como medida electoral en las elecciones generales de 2024. Consulte qué sucede en su estado.

Licencia pagada

A falta de un movimiento significativo para adoptar un programa federal de licencia paga, obstaculizado, además, por los estrechos márgenes del partido mayoritario en ambas cámaras del Congreso, los estados se han vuelto más activos en este ámbito. Cuando comenzó 2022, nueve estados y el Distrito de Columbia tenían leyes sobre licencia familiar paga obligatoria, a los que se unieron más recientemente Maryland y Delaware.

El programa de cada estado es diferente, incluidos los requisitos de elegibilidad, la cobertura y las fechas de implementación, pero cada uno es o será financiado a través de impuestos de nómina pagados por los empleados. En algunos casos, los impuestos de nómina pagados por el empleador también ayudarán a financiar los programas.

El 1 de enero de 2023, Nuevo Hampshire inicia el período de inscripción para el primer programa de seguro voluntario de licencia familiar paga del país. El programa de licencias médicas y familiares pagadas por este estado estará disponible para los empleadores o para los empleados de forma directa. El plan del mercado privado no requerirá un impuesto sobre la renta ni una deducción automática de la nómina. Del mismo modo, Vermont anunció planes para crear el programa de seguro de licencia familiar y médica de Vermont, que también será un programa de licencia médica voluntario. Los beneficios estarán disponibles a partir de julio de 2023.

Privacidad/ciberseguridad

Con el crecimiento y las continuas regulaciones de una fuerza laboral híbrida y remota, las empresas se enfrentan a nuevos desafíos, incluida la necesidad de adaptar las políticas de privacidad y las prácticas de ciberseguridad. Estas deben equilibrar las necesidades de la empresa con las expectativas de los empleados y clientes con respecto a la protección de la información personal.

Ninguna industria o sector empresarial estuvo a salvo de los ciberataques en 2022. Un vistazo rápido a los titulares nacionales e internacionales constató que el distrito escolar unificado de Los Ángeles tuvo una importante interrupción de la infraestructura. Una empresa australiana de telecomunicaciones sufrió la mayor violación de la seguridad en la historia del país. Aseguradoras de salud, instituciones educativas e, incluso, una empresa de consultoría de servicios de TI: todas sufrieron ciberataques.

Según la Conferencia Nacional de Legislaturas Estatales, los estados continuaron presentando o evaluando la legislación sobre ciberseguridad, incluidos, al menos, 40 estados que elaboraron más de 250 proyectos de ley o resoluciones. Sin embargo, solo poco más de la mitad de esos estados se unió para promulgar 41 de los proyectos de ley en 2022, la mayoría centrados en la capacitación sobre ciberseguridad y el financiamiento para programas de ciberseguridad.

Al no contar con una ley federal en cuanto a la privacidad, los estados han buscado ampliar el alcance de las leyes de protección de datos. Al mismo tiempo, el mercado ha experimentado una avalancha de soluciones tecnológicas diseñadas para ayudar a las empresas a cumplir sus obligaciones. Sin embargo, las empresas deben tener en cuenta que el uso de estas soluciones puede implicar nuevas consideraciones sobre la privacidad, por lo que es imprescindible confirmar que la solución cumpla con las normas y regulaciones de sus jurisdicciones estatales y locales.

• Artículo: Un plan de seguridad cibernética puede ser una solución clave para la productividad en su empresa
• Artículo: Qué es un seguro de responsabilidad cibernética y por qué es importante
• Podcast: Seguridad cibernética: lo que las pequeñas empresas deben saber
• Paychex puede ayudarlo: Seguro de responsabilidad cibernética

Otros ámbitos de interés para las empresas

Nuevas leyes impositivas: Muchos estados están revisando los posibles ajustes inflacionarios de las tasas de retención de impuestos sobre la renta de personas físicas, por lo que los empleadores deben permanecer alerta a los cambios que afectan los cálculos de las retenciones de impuestos de los empleados.

La pandemia de COVID-19 obligó a muchos estados a pedir fondos prestados al gobierno federal para pagar las prestaciones de desempleo. Es posible que los empleadores de los estados donde no se reembolsan estos préstamos del Título XII antes del 10 de noviembre de 2023 adeuden montos adicionales del impuesto de la FUTA en enero de 2024. Esto se conoce comúnmente como reducción del crédito FUTA.

Una práctica presupuestaria útil es prepararse para una factura fiscal adicional si el estado no reembolsa el monto del préstamo pendiente en la fecha límite. A partir de diciembre de 2022, podrían verse afectados los siguientes estados: California, Connecticut, Illinois y Nueva York.

Trabajo híbrido y remoto: En el entorno pospandémico, el modelo remoto e híbrido es una estructura del personal que los empleadores deberían tener en cuenta y a la que deberían adaptarse, incluidas las obligaciones de cumplimiento que puedan existir si sus empleados no viven en la misma área geográfica que la empresa. Las normas laborales basadas en la ubicación de un empleado pueden variar de un estado a otro e, incluso, a nivel local.

Las leyes y la interacción entre geografías pueden ser complejas, lo que afecta las consideraciones fiscales, como la presentación de informes y las remesas, la cobertura de la compensación para trabajadores, las licencias por enfermedad pagadas, las licencias familiares y médicas, las leyes sobre salarios y horarios, así como las protecciones contra la discriminación y la equidad salarial.

• Contenido relacionado: Nuevos beneficios para los trabajadores remotos

Reforma de cuidado médico: Los empleadores cubiertos tienen obligaciones de declaración sobre la responsabilidad compartida del empleador (ESR, por sus siglas en inglés) en virtud de la Ley del Cuidado de Salud a Bajo Precio y deben garantizar el suministro y la presentación de declaraciones de información correctas y oportunas, especialmente con un mayor escrutinio por el IRS. Este mayor escrutinio se produce después de la interrupción de la asistencia para la transición de buena fe de las sanciones que comenzó en 2021, luego de varios años en que a las empresas no se las sancionó por declaraciones incompletas o incorrectas.

A partir de los años del plan que comienzan en 2023, existe una tasa de asequibilidad más baja y un mayor riesgo de una evaluación de la ESR debido a la continuación del crédito fiscal mejorado para primas, por lo que los empleadores grandes aplicables (ALE, por sus siglas en inglés) podrían querer reevaluar las contribuciones de salud de los empleados para determinar si se ofrece una cobertura asequible adecuada a los empleados a tiempo completo.

En la actualidad, leemos sobre los ciberataques casi a diario en las noticias. En los grandes titulares, figuran aquellos casos que paralizan las operaciones de algunas de las principales corporaciones del mundo. Los ataques que son mucho más frecuentes y que no se mencionan demasiado son los que afectan a las pequeñas y medianas empresas.

Las cifras pueden variar de un año a otro y de un estudio a otro, pero según la investigación realizada por Paychex para su guía sobre seguridad cibernética, los ataques cibernéticos a las pequeñas y medianas empresas van en aumento por arriba del 70 % en 2020. Sin embargo, un reciente informe de la CNBC basado en su estudio mostró que el 56 % de los propietarios de pequeñas empresas afirman no estar preocupados por ser víctimas de un hackeo dentro de los próximos doce meses, y solo el 28 % tiene un plan de respuesta en caso de un ataque cibernético.

Esta confianza en que no se producirá un ataque choca con el Informe Hiscox 2021 de riesgo cibernético para pequeñas empresas que reveló que muchas empresas experimentaron más de un ataque cibernético durante el último año, y que una de cada seis empresas afirmó que un ataque amenazó su supervivencia. El informé encontró que las pequeñas empresas en particular sintieron un impacto sustancial por el crimen cibernético, ya que algunas de ellas sufrieron pérdidas de hasta $308 000.

¿Su empresa está preparada para resistir un ataque cibernético? Tener una postura firme de seguridad cibernética puede ayudar a su organización a defenderse de los ataques cibernéticos, a proteger información pertinente relacionada con la empresa y sus clientes, y a mantener la integridad de su negocio.

<iframe allow="autoplay *; encrypted-media *; fullscreen *; clipboard-write" frameborder="0" height="175" style="width:100%;max-width:660px;overflow:hidden;background:transparent;" sandbox="allow-forms allow-popups allow-same-origin allow-scripts allow-storage-access-by-user-activation allow-top-navigation-by-user-activation" src="https://embed.podcasts.apple.com/us/podcast/cyber-security-what-small-businesses-need-to-know/id1507824762?i=1000583429510"></iframe>

Consejos de seguridad cibernética para su empresa

La seguridad cibernética se puede definir como la práctica de defender computadoras, servidores, dispositivos móviles, sistemas electrónicos, redes y datos contra ataques maliciosos, acceso no autorizado o uso criminal. La Administración de Pequeñas Empresas (SBA, siglas en inglés), la Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA, siglas en inglés) y la Comisión Federal de Comercio son excelentes recursos que ofrecen consejos adicionales para combatir los ataques cibernéticos.

Los expertos en TI concuerdan en que los empleados suelen ser el eslabón más débil en la lucha contra el crimen cibernético. A menudo cometen errores críticos porque carecen de los conocimientos y la formación necesarios para reconocer las señales de advertencia o evitar comportamientos inadecuados mientras trabajan en línea.

Esta es una lista de consejos para contribuir a la capacitación en seguridad cibernética y mejorar en gran medida la seguridad de los datos de su empresa:

Lo que se debe hacer en seguridad cibernética

• Utilice contraseñas seguras y cámbielas de forma periódica. Además, utilice administradores de contraseñas seguros (preguntas de seguridad).
• Use buenas prácticas de navegación por Internet
• Mantenga el software actualizado, incluido el software antivirus y antispyware más reciente, que protege sus computadoras, teléfonos y tabletas.
• Habilitar herramientas de autenticación, por ejemplo, aplicaciones de autenticación, autenticación multifactor y más.
• Habilite el firewall de su sistema operativo, lo que puede evitar que personas externas accedan a los datos en una red privada.
• Limite el acceso a PII y PHI. Se debe conceder acceso solo a los empleados cuyas responsabilidades laborales requieran explícitamente el acceso a Información de Identificación Personal, por ejemplo, número de seguro social, número de cuenta bancaria, e Información Médica Protegida, como historiales médicos, otra información médica.

Un componente clave es proporcionar consejos de seguridad cibernética a los empleados, por ejemplo mediante formación, así como fomentar la denuncia de correos electrónicos o contenido en línea sospechosos. Implemente cursos de forma periódica a través de un Sistema de Gestión de Aprendizaje y actualice la capacitación de forma periódica.

Lo que no se debe hacer en seguridad cibernética

• Descargar software de Internet o hacer clic en enlaces de Internet que activen sitios web o anuncios web.
• No responda a correos electrónicos, no abra archivos adjuntos de correo electrónico ni haga clic en los enlaces insertados en correos electrónicos que incluyan errores tipográficos, errores ortográficos, gramática incorrecta o ventanas emergentes. Tenga cuidado con las líneas de asunto sospechosas y las solicitudes "urgentes" para actuar.
• No introduzca información personal o financiera en formularios web que no provengan de una fuente de confianza.
• No responda al IRS por correo electrónico o por redes sociales. El IRS no inicia contacto con contribuyentes por correo electrónico, por redes sociales o, incluso, por teléfono. Cualquier contacto de esta manera es una estafa.

¿Cuáles son los riesgos de una amenaza a la seguridad cibernética?

Las amenazas de seguridad cibernética acechan a todas las empresas, ya sean grandes o pequeñas. Y la proliferación de sistemas y dispositivos conectados hace que el crimen cibernético y la irrupción sean algo más tentador para quienes pretenden cometer un delito. Un artículo publicado por la BBC en febrero de 2022 citó un nuevo análisis que develó que casi el 75 % del dinero generado por los ataques de ransomware en 2021 fue a parar a hackers vinculados con Rusia, y otras estadísticas reportan que el ransomware en Rusia es una industria proyectada de USD 21 000 millones en 2022.

En caso de que se produzca una violación de la seguridad cibernética de una empresa, existen muchas posibles ramificaciones para una organización. Algunas de las consecuencias podrían incluir estas:

• Pérdida de ingresos: Cerrar un sitio web comprometido podría obstaculizar las ventas o hacer que los visitantes del sitio web se vayan a hacer negocio a otra parte. La reparación de sistemas dañados podría tener un precio elevado. Hiscox identificó que el 71 % de las empresas estadounidenses objeto de un ataque de ransomware pagó un rescate para recuperar datos o para evitar que se publique información confidencial.
• Daños en la reputación: El informe de Hiscox también señaló que casi una cuarta parte de las empresas que fueron atacadas recibieron publicidad negativa como resultado.
• Costos regulatorios: Con las recientes leyes promulgadas, como la Ley de Privacidad del Consumidor en California (CCPA, siglas en inglés), las empresas podrían enfrentar sanciones después de una violación de seguridad. Hiscox reportó que el 18 % de las empresas estadounidenses objeto de ataque pagaron una sanción sustancial que tuvo un impacto significativo en la salud financiera de la empresa.
• Pérdida de clientes: Una violación de seguridad puede obstaculizar la capacidad de una organización para atraer y conservar clientes. Hiscox reportó que el 19 % de los encuestados que sufrieron un ataque cibernético perdieron clientes y casi el mismo número (18 %) afirmaron que tuvieron más dificultades para atraer a nuevos clientes después del suceso.

Tipos de ataques cibernéticos que debe conocer

Los ataques maliciosos digitales adoptan diversas formas. Cada día se liberan al público innumerables virus informáticos, códigos y aplicaciones de malware. Algunas de las formas más comunes y peligrosas emplean tácticas similares.

Smishing

El smishing es la técnica más reciente de malos actores para acceder a la información. Es como el phishing, pero llega a través de texto, medio por el que hay menos protecciones, y utiliza todas las marcas distintivas del phishing: demandas urgentes, texto que parece provenir de una fuente confiable, enlaces a sitios web maliciosos.

Compromiso de correo electrónico comercial o phishing

Uno de los consejos de seguridad cibernética empresarial más valiosos es tratar con sumo cuidado cualquier correo electrónico sospechoso. Los expertos instan a las personas a que, ante correos electrónicos dudosos, pasen el cursor por encima de los hipervínculos, sin hacer clic en ellos, para determinar si los enviarán a una página web desconocida o sospechosa. Si se trata de un correo electrónico procedente de su ISP, banco o compañía de tarjetas de crédito, recuerde que estas instituciones nunca le pedirán información confidencial, como su contraseña o número de seguro social. Según las estadísticas del FBI para 2019, el compromiso de correo electrónico empresarial representó 1700 millones de dólares en pérdidas por fraude.

Malware (adware, spyware, ransomware)

Estos ataques insidiosos adoptan muchas formas, la más perniciosa se denomina "ransomware". Al abrirlo, este software malicioso se apodera de archivos cruciales y los mantiene como archivos "rehenes" hasta que la víctima paga el rescate para desencriptarlos. El ransomware se introduce en un sistema empresarial cuando usuarios desprevenidos:

• Descargan materiales de un sitio web comprometido.
• Abren un archivo adjunto de correo electrónico fraudulento.
• Emplean una memoria USB o algún otro dispositivo multimedia externo no autorizados.

Ingeniería social (robo de identidad)

Los cibercriminales se aprovechan de nuestra tendencia natural a confiar en un mensaje que recibimos o a ayudar a alguien que creemos que lo necesita. Si alguien que usted conoce le envía un correo electrónico con un enlace en el que le piden que haga clic, o si un archivo adjunto contiene lo que le dicen que es una foto u otro archivo adjunto que desean que vea, no lo haga si existe la menor sospecha de que algo está mal.

Denegación de servicio distribuido (DDoS)

Los cibercriminales bombardean el servidor de una empresa sobrecargándolo de forma que se ralentiza significativamente o, incluso, se bloquea. El sistema deja de funcionar en este punto. Esta es quizás la forma más común de asalto a la infraestructura y el almacenamiento en la nube.

Ataques de contraseñas (o fuerza bruta)

Este tipo de ataque cibernético se produce cuando un hacker utiliza software para determinar y, luego, robar contraseñas operativas válidas.

Fugas de datos

Una fuga de datos, que es la liberación intencional o no intencional de información segura o confidencial a un tercero que no es de confianza, puede dañar tanto a una empresa como a sus empleados y clientes.

Virus

Hay muchas formas en que un virus informático puede propagarse: un usuario puede abrir un archivo adjunto en un correo electrónico de phishing, iniciar un archivo ejecutable, visitar un sitio web infectado o usar dispositivos de almacenamiento extraíbles infectados, como una unidad USB.

Elabore un plan efectivo de seguridad cibernética

La seguridad cibernética para su empresa podría simplificarse hasta significar, simplemente, una buena toma de decisiones. Y no solo por los empleados, sino también por los propietarios de las empresas. Piénselo bien. ¿Se ha tomado las amenazas a la seguridad cibernética lo suficientemente en serio? ¿Dispone de un software actualizado para proteger su empresa de los tipos de ataques cibernéticos que podrían dañarla de manera catastrófica? Si la respuesta es "no" o si no está seguro, elabore un plan de seguridad cibernética.

Estos consejos podrían aumentar las probabilidades de una protección de datos adecuada a su favor:

1. Evalúe periódicamente los riesgos existentes y actualice los sistemas de TI.

Es esencial realizar una evaluación exhaustiva una vez al año (o cada seis meses, preferentemente) haciendo hincapié en exponer las vulnerabilidades de aquellos activos clave que contengan información confidencial y propiedad intelectual. Además, comprométase a realizar el mantenimiento de rutina y las actualizaciones periódicas de software en todos los dispositivos de la empresa.

2. Haga una copia de seguridad de sus sistemas en la nube.

Las empresas con un plan de seguridad cibernética que almacenan datos correctamente son mucho menos vulnerables al ransomware. Debe realizar copias de seguridad diarias de los archivos en varias ubicaciones seguras, como la nube o un centro de datos híbrido, para asegurarse de disponer de un acceso continuo e ininterrumpido a los datos que necesita en caso de que sucediera un ataque.

3. Realice un programa agresivo de formación en seguridad cibernética para empleados.

Con frecuencia, la seguridad se ve comprometida por errores o por falta de atención de los usuarios. Considere la posibilidad de implementar un programa de formación en seguridad cibernética que tenga lugar de forma periódica para que los empleados comprendan la importancia crítica que tiene mantener la vigilancia y utilizar el buen juicio con los datos sensibles de la empresa.

4. Instale medidas de seguridad para dispositivos móviles.

El uso de dispositivos móviles para trabajar y comunicarse en toda la empresa aumenta la probabilidad de un ataque malicioso porque los canales no son seguros. Establezca políticas para lo siguiente:

• Restringir los tipos de información a los que estos dispositivos pueden acceder y que pueden compartir.
• Determinar si los dispositivos móviles proporcionados por la empresa se pueden utilizar fuera del sitio.
• Establezca un control de acceso a la red para que los empleados puedan acceder a la VPN y al correo electrónico de su empresa de forma segura y fiable.

5. Planifique una respuesta a una intrusión no autorizada.

Un plan integral de respuesta a incidentes que haga hincapié en la necesidad de contactar inmediatamente con el servicio de asistencia o el equipo de TI podría reducir de forma significativa los efectos de un intento de violación de datos. Tomar una postura proactiva y estratégicamente defensiva, por lo general, puede minimizar el riesgo para su empresa y sus clientes, lo que le permite seguir centrándose en otros aspectos vitales de las operaciones.

Asegúrese de que su empresa esté protegida contra un ataque cibernético

Es posible que su cobertura de seguro empresarial actual no incluya el rango de gastos incurridos por muchos tipos de ataques cibernéticos, desde la interrupción de las operaciones comerciales y la necesidad de notificaciones a los clientes hasta las actualizaciones de seguridad integrales y el esfuerzo necesario para restaurar la marca dañada de su empresa. Por estos motivos, considere el seguro de responsabilidad cibernética como parte de un plan de seguridad cibernética más amplio y en conjunto con sus políticas periódicas de seguro de negocios y responsabilidad laboral.

Una política eficaz de seguridad cibernética puede ayudar a asegurar la protección contra interrupciones del negocio y a cubrir los honorarios legales en los que se incurra por juicios o liquidaciones. Póngase en contacto con un profesional para obtener más detalles sobre la cobertura de responsabilidad cibernética.

¿Su organización tiene obligaciones en virtud de la ley HIPAA? De ser así, deberá entender por completo la ley HIPAA actual, y los empleadores deben saber qué medidas tomar para proteger la información personal de salud de los empleados.

¿Qué significa "HIPAA"?

HIPAA es la sigla de "Ley de Portabilidad y Responsabilidad de los Seguros de Salud", promulgada en 1996.

¿Qué es la ley HIPAA y qué protege?

Según el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS, por sus siglas en inglés), la HIPAA permite compartir la información necesaria para garantizar que las personas tengan acceso a un cuidado de salud de alta calidad, sin dejar de proteger su derecho a la privacidad. Cualquier proveedor o empresa con acceso a información médica protegida debe implementar las medidas para cumplir la HIPAA.

¿A quién se aplica la HIPAA?

El cuidado de salud es uno de los sectores más regulados en lo que respecta a la protección de la información privada. Los pacientes y los empleados esperan que los doctores y otras empresas de cuidado médico adopten medidas adecuadas para proteger sus datos personales. Las empresas también pueden estar sujetas a las normas de privacidad de la HIPAA si se las considera una entidad cubierta o un socio comercial, o a través de la administración de un plan de salud grupal. Los empleadores deben comprender todas las reglas aplicables de la HIPAA, particularmente durante emergencias de salud pública como la pandemia del COVID-19 y poner en práctica las herramientas y los protocolos adecuados para proteger la información médica de sus empleados.

¿Cuáles son algunos de los conceptos erróneos sobre las leyes y las normas de la HIPAA?

Existen algunos mitos sobre las leyes y las normas de la HIPAA para las empresas. El HHS aclara, en su sitio, que HIPAA no hace lo siguiente:

• Impide que un empleador solicite un certificado médico por una ausencia, aunque esta práctica puede suponer otros riesgos para los empleadores.
• Afecta su capacidad de solicitar la información necesaria para administrar programas de beneficios, como la cobertura médica, los reclamos de compensación de los trabajadores o las licencias por enfermedad, aunque los empleadores deberían tener en cuenta otros factores de riesgo en torno a este tipo de solicitudes.
• Cubre toda la información sobre los beneficios de los empleados. Por ejemplo, los seguros de vida de los empleados, las indemnizaciones por discapacidad, la compensación de los trabajadores y los programas de bienestar no suelen estar cubiertos por esta legislación.
• Cubre la protección de los datos que se conservan en los registros de empleo. Las normas de la HIPAA para las empresas solo se aplican a los historiales médicos o de planes de salud de los empleados que participan como afiliados del plan de salud de la empresa.

¿Cuál es la finalidad de las leyes y las reglas de la HIPAA en el lugar de trabajo?

Las leyes y los reglamentos de la HIPAA se utilizan en el lugar de trabajo para proteger la salud y los historiales médicos de los empleados que participan en un plan de salud patrocinado por la empresa. Las leyes regulan el modo en que la información médica protegida de las personas que conserva un plan de cuidado médico puede compartirse con las empresas.

¿Qué organizaciones se ven afectadas por la ley HIPAA?

Existen dos tipos de organizaciones que están sujetas a la HIPAA: entidades cubiertas y socios comerciales. Los planes de salud patrocinados por la empresa se consideran entidades cubiertas. Esto significa que el intercambio de información entre empleadores y planes de salud puede estar sujeto a medidas de protección adicionales frente a otros planes de beneficios.

¿Qué es una entidad cubierta en virtud de la HIPAA?

Se refiere a las organizaciones de cuidado médico, incluidos, entre otros, los proveedores de cuidado médico, los hospitales, los planes de salud patrocinados por la empresa y las farmacias.

¿Qué son los socios comerciales en virtud de la HIPAA?

Se trata de una categoría que hace referencia a cualquier persona o empresa que preste servicios o trabaje con entidades cubiertas u otros socios comerciales. Si usted presta servicios en nombre de una entidad cubierta o de un socio comercial que suponen el uso o la divulgación de información médica protegida (PHI, por sus siglas en inglés) y pertenece a categorías como las de proveedores de servicios —por ejemplo, contadores—, consultores o asistencia técnica —como el almacenamiento en la nube—, es probable que su contrato de socio comercial contenga disposiciones relacionadas con la HIPAA.

¿La ley HIPAA se aplica a todos los empleadores?

Debido a la complejidad de las regulaciones de la HIPAA, los empleadores deben asumir que, si poseen información de salud de los empleados, deberán dedicar tiempo a garantizar su cumplimiento. La HIPAA establece una serie de requisitos, pero las disposiciones que son pertinentes para todas las entidades sujetas se refieren a la seguridad y privacidad de la información relacionada con la salud. Si conoce las normas de la HIPAA aplicables a las empresas, podrá identificar sus riesgos potenciales y poner en marcha un plan para ayudar a mitigar su exposición.

Cumplimiento de la HIPAA

Aunque el objetivo principal de la HIPAA es mejorar la portabilidad y la continuidad de los planes de cuidado médico, los empleadores deben conocer la ley y las posibles áreas que pueden afectarlos. El cumplimiento de la HIPAA por las empresas con frecuencia puede resultar en una mayor seguridad de los datos y en procesos estandarizados que benefician a los procedimientos de administración de beneficios de una empresa.

¿Cuáles son algunas de las infracciones más comunes de la HIPAA que cometen los empleadores?

Los incidentes notificados suelen clasificarse en los siguientes tipos:

• Piratería informática o incidentes informáticos: Acceso indebido a los datos como consecuencia de una intrusión externa en forma de malware u otras irrupciones en el sistema.
• Robo o pérdida: Por ejemplo, cuando los dispositivos que almacenan información médica protegida se pierden o se roban.
• Acceso o divulgación no autorizados: La divulgación de la información privada de una persona a una entidad sin la debida aprobación para recibirla.
• Eliminación inadecuada: Cuando la información de salud protegida se elimina sin aplicar medidas de protección razonables, como triturar los documentos en papel.

Cinco normas importantes de la HIPAA para las empresas

Existen cinco normas a las que hay que prestar mucha atención con respecto a la ley HIPAA. Los empresarios deben analizar detenidamente cada una de estas normas a la hora de cumplirlas.

Norma sobre privacidad e información personal de salud (45 CFR §164.530)

La HIPAA define la información personal de salud (PHI, por sus siglas en inglés) en un sentido amplio. Sin embargo, algunos ejemplos de PHI según la HIPAA incluyen los datos demográficos y de contacto, como el nombre, la dirección y el número de seguro social, relacionados con el estado de salud pasado, presente o futuro de una persona. La definición de PHI también abarca los datos sobre los pagos efectuados por la prestación de cuidado de salud.

La HIPAA también define específicamente con quién se puede compartir la información médica protegida. Principalmente, las entidades cubiertas y los socios comerciales pueden compartir la PHI solo en las siguientes situaciones:

• Con la persona en cuestión para el tratamiento, la facturación y las operaciones de cuidado médico.
• Con los descendientes en caso de fallecimiento.
• A un representante personal designado.
• En respuesta a una orden judicial.

Las normas de la HIPAA exigen que las entidades cubiertas notifiquen las prácticas de protección de la privacidad y la forma en que puede utilizarse o compartirse la PHI. La ley es muy específica en cuanto a los derechos del paciente, qué debe incluirse y cuándo debe presentarse la información.

Norma de seguridad electrónica (45 CFR §164.308)

Esta norma exige que se implementen protecciones físicas, técnicas y administrativas para proteger la información médica de las personas. La responsabilidad de garantizar la seguridad de la información médica protegida en formato electrónico recae en las entidades cubiertas y sus socios comerciales. Se espera que las organizaciones tomen las medidas necesarias para asegurar la privacidad, protegerse contra las amenazas, garantizar el cumplimiento de los empleados y protegerse contra los usos o las divulgaciones electrónicas prohibidas. Los organismos reguladores se toman muy en serio el cumplimiento de la normativa con sanciones de hasta $50 000 por infracción y con la posibilidad de adoptar medidas coercitivas en casos graves.

Norma de notificación de incumplimiento (45 CFR §§ 164.400-414)

En virtud de esta norma, las entidades cubiertas y los socios comerciales deben comunicar todo incumplimiento que ponga en peligro la información médica protegida de una persona. En caso de incumplimiento, se debe notificar debidamente a las personas afectadas, y la entidad cubierta debe presentar copias de las notificaciones al secretario del HHS.

Reglamento de simplificación administrativa (45 CFR 160, 45 CFR 162 y 45 CFR 164)

Las disposiciones de simplificación administrativa normalizan el intercambio electrónico de información de cuidado médico. Se establecieron normas nacionales para las transacciones electrónicas, los conjuntos de códigos y los identificadores únicos. Los empleadores deben usar su número de identificación del empleador, que se utiliza para la declaración de impuestos, como su identificador para todas las transacciones en virtud de la HIPAA.

Norma general (45 CFR § 164.308, 164.312 y 164.316)

Esta norma amplió la responsabilidad de los socios comerciales e instituyó mayores sanciones en caso de incumplimiento. Otras normas impiden que se comparta cierta información sobre el plan de salud de un empleado cuando paga los servicios médicos de su bolsillo. Las empresas que puedan definirse como socios comerciales deberán comprender cómo cambiaron sus responsabilidades y realizar los ajustes adecuados a sus políticas o procedimientos de la HIPAA.

¿Cómo se aplica la HIPAA a los empleadores durante sucesos que causan problemas de salud pública?

Aunque los requisitos de la HIPAA siguen aplicándose durante las emergencias de salud pública, los empleadores pueden estar autorizados a divulgar la PHI a ciertas personas u organizaciones sin el permiso de un empleado o paciente. Algunos ejemplos son los siguientes:

• Por orden de las autoridades de salud pública, la información puede revelarse a organismos gubernamentales extranjeros.
• Personas con riesgo de propagar la enfermedad.
• Familiares, parientes, amigos u otras personas involucradas en la atención del paciente.

Aunque la HIPAA restringe el intercambio y el uso de información personal de salud por las entidades cubiertas y los socios comerciales, la ley no se aplica a los expedientes laborales. Si tomamos el COVID-19 como ejemplo, la regulación actual de la HIPAA no prohíbe que los empleadores soliciten información sobre vacunas a los empleados. Además, la HIPAA no impide que las personas compartan voluntariamente su estado de vacunación en el lugar de trabajo, ya que las personas no se consideran entidades cubiertas.

Los empleadores deben tener en cuenta que pueden aplicarse otras normas estatales o federales. Para obtener más información sobre la HIPAA y las pautas del empleador sobre la vacuna contra el COVID-19, visite nuestra página Vacuna contra el COVID-19: preguntas frecuentes.

Cumplimiento de la HIPAA en el lugar de trabajo

El cumplimiento de la HIPAA por parte de los empleadores es imprescindible, independientemente de si son una entidad cubierta o un socio comercial, ofrecen un plan de salud grupal u operan durante una emergencia de salud pública. Abordar la HIPAA de manera proactiva puede generar beneficios adicionales a su organización, como una mayor seguridad de los datos y un flujo de información más eficiente derivado del uso de procedimientos estandarizados e identificadores de datos.

Si su empresa opera en el ámbito del cuidado médico o trabaja por contrato con una empresa que lo hace, es importante que determine sus obligaciones en virtud de la HIPAA y su exposición al riesgo. Un profesional de RR. HH. o un abogado con experiencia en empresas puede ayudarlo a identificar los riesgos, así como a desarrollar e implementar un plan para cumplir la HIPAA.