¿En qué consiste el texto cifrado?
El texto cifrado se refiere a los datos cifrados e ilegibles. La única forma de leer los datos cifrados es descifrándolos utilizando una clave de cifrado. Dado que el texto cifrado no se puede leer sin...
Gran parte de los datos empresariales y de empleados más importantes de una organización se pasan a través de profesionales de finanzas y contabilidad.
Es una de las principales razones por las que las amenazas cibernéticas representan un riesgo significativo para los equipos de finanzas y contabilidad, especialmente para las pequeñas empresas de contabilidad que son directamente responsables de su seguridad. En este blog, analizaremos algunos de los riesgos cibernéticos exclusivos de los equipos de finanzas y contabilidad (F & A) y qué papel puede desempeñar la seguridad de la información para permitir que los equipos de F & A, y las organizaciones en general, se mantengan seguros.
Si bien la ubicación de una organización y la industria influyen en la forma en que opera un departamento de finanzas y contabilidad, la misión de administrar la información financiera y fiscal de una empresa sigue siendo la misma. F&A trabaja con una variedad de partes interesadas externas e internas para garantizar que los registros financieros sean precisos, cumplan con la normativa y estén actualizados.
Su trabajo es crucial para permitir una planificación empresarial y la toma de decisiones detalladas. Además de otras responsabilidades, F&A aprovecha la información financiera para trabajar con la dirección, el consejo de administración, los inversores y los reguladores para respaldar la actividad corporativa, como la financiación, el cumplimiento y las fusiones y adquisiciones. F&A a menudo también colabora y establece presupuestos para equipos internos, como marketing o recursos humanos (RR. HH.), y supervisa el rendimiento de la inversión para garantizar la asignación adecuada de los recursos.
Para llevar a cabo todas estas actividades, F&A depende de información financiera confidencial. Esos datos pueden incluir cualquiera de los siguientes:
Como todos los datos financieros confidenciales anteriores reflejan el estado pasado, actual y futuro de una organización, y esta información se almacena regularmente en un software de contabilidad, este se convierte en un objetivo principal para los cibercriminales. Esta información confidencial puede provenir de una variedad de fuentes, incluidos clientes, empleados y terceros, lo que hace que el acceso seguro y autenticado sea un componente crítico de la seguridad empresarial.
Sin embargo, sin una forma de almacenar y de utilizar de forma segura las credenciales de inicio de sesión, los equipos de finanzas y contabilidad tienen tanto el software como los datos faltos de protección. El almacenamiento de contraseñas en ubicaciones no seguras, como el gestor de contraseñas integrado de un navegador, en una hoja de cálculo o en papel, abre los datos financieros y fiscales confidenciales a posibles ataques cibernéticos derivados del relleno de credenciales y la apropiación de cuentas. Y cuando los miembros del equipo tienen que compartir credenciales, los métodos no cifrados como el correo electrónico, los mensajes de texto o la mensajería instantánea hacen que las credenciales de inicio de sesión sean vulnerables a las violaciones.
En los últimos años, las violaciones de los sistemas de contabilidad populares han expuesto datos de organizaciones y de clientes en la dark web. Incluso las organizaciones que se asocian con empresas de contabilidad se arriesgan a que le roben su información.
Los equipos de TI, que cuentan con más del 80 % de las violaciones que resultan de credenciales de inicio de sesión poco seguras o robadas, deben adoptar una solución para la gestión de contraseñas empresariales para apoyar a su departamento de F&A y al resto de la organización.
Los equipos de F&A están acostumbrados a los controles internos de contabilidad, que garantizan que solo el personal autorizado tenga acceso a datos sensibles y que la información financiera sea válida. Al igual que con los controles internos de contabilidad, los equipos de F&A necesitan una forma de restringir el acceso al personal necesario. Si no existen protecciones, los empleados descontentos pueden obtener acceso o aprovechar el acceso a sistemas críticos para dañar una organización.
El acceso no autorizado de los empleados de los proveedores también pone en riesgo los datos financieros. Los contratistas o proveedores con acceso sin restricciones a información crítica añaden otra capa de complejidad para proteger las credenciales de inicio de sesión.
Los malos actores pueden cobrar un alto precio después de una violación, abrir cuentas bancarias fraudulentas, líneas de crédito y vender datos robados en la dark web.
Según el informe de IBM y Ponemon Institute sobre el coste de una violación de datos 2022, a las organizaciones, el sufrir una violación les puede suponer un promedio de 4,35 millones de dólares. Para algunas industrias, como la salud y los servicios financieros, el coste de una violación de datos es aún mayor.
Los ataques de ransomware, que suponen de media 4,62 millones de dólares por incidente, incluso antes de incluir el pago de un rescate, resultan incluso más costosos que las violaciones de datos.
En 2023, es probable que el coste medio de una violación de datos supere la marca de 5 millones de dólares. Esa cifra incluye los cada vez mayores costes de las sanciones y los litigios como consecuencia de una violación regulatoria. El RGPD, la CCPA y las leyes similares de protección de datos conllevan fuertes multas por violaciones y divulgaciones involuntarias.
Además de los costos empresariales directos y regulatorios, el daño a la reputación y la pérdida negocio se suman a los costes de un ataque cibernético, ya sea de ransomware o de violación de datos. Los costes exactos son difíciles de evaluar, pero los resultados hablan por sí mismos. En los 6 meses posteriores a un ataque cibernético, el 60 % de las pequeñas y medianas empresas (pymes) cierran la tienda.
Existen similitudes entre el deber fiduciario de los contadores y la responsabilidad de los profesionales de seguridad cibernética de proteger la información y los sistemas críticos. La perspectiva común encuentra repercusión práctica en los departamentos de gobernanza, riesgo y cumplimiento (GRC, por sus siglas en inglés) de muchas organizaciones.
Por ejemplo la segregación de deberes (SOD, por sus siglas en inglés) distribuye responsabilidades críticas en finanzas y contabilidad para evitar conflictos de intereses y que cualquier actor tenga una influencia excesiva sobre un proceso contable.
El control de acceso basado en roles (RBAC, por sus siglas en inglés) de Keeper gestor de contraseñas ofrece una organización, así como un equipo de finanzas o contabilidad específicamente, para garantizar que el acceso de los usuarios sea compatible con la segregación de deberes (SOD).
Cuando un equipo de F&A o GRC necesita evitar que determinados usuarios vean información, Keeper ofrece funciones administrativas para restringir los permisos de acceso. La aplicación de las políticas de RBAC establecidas en Keeper, como la autenticación multifactor (MFA) o el listado de IP, garantiza que solo los usuarios verificados y autorizados puedan acceder a información contable crítica.
Los administradores de TI, así como los administradores de recursos compartidos delegados para equipos individuales, también pueden adaptar las leyes de inicio de sesión en función de las responsabilidades de los equipos y los colaboradores individuales. La RBAC también se aplica al acceso de los usuarios a archivos o datos confidenciales, lo que garantiza que solo las personas que necesitan acceder a la información estén autorizadas para hacerlo.
La RBAC es solo una función de Keeper gestor de contraseñas que los equipos de finanzas y contabilidad consideran valiosa.
Aunque el coste de los tickets del servicio de asistencia las contraseñas a menudo es un factor delicado del presupuesto de TI, el controlador puede contar con Keeper para permitir de forma eficiente a su equipo de TI y la productividad del resto de su organización.
Los usuarios solo tienen que recordar una contraseña: la contraseña maestra. Una vez que los usuarios se verifican con las políticas de cumplimiento, como la MFA, Keeper se ocupa del resto.
Tanto si es un profesional de finanzas y contabilidad que busca una gestión de contraseñas simple y segura para su empresa como si es un administrador de TI que evalúa los gestores de contraseñas para proteger el departamento de F&A, Keeper tiene soluciones para proteger las contraseñas, los secretos y la información fundamentales de su organización.
Estaremos más que encantados de conectarle con uno de nuestros expertos en seguridad cibernética. También puede probar Keeper gratis durante 14 días.