Puede saber si su cuenta de Facebook ha sido hackeada si recibe notificaciones de intentos de inicio de sesión, si observa que la información personal de
Gran parte de los datos empresariales y de empleados más importantes de una organización se pasan a través de profesionales de finanzas y contabilidad.
Es una de las principales razones por las que las amenazas cibernéticas representan un riesgo significativo para los equipos de finanzas y contabilidad, especialmente para las pequeñas empresas de contabilidad que son directamente responsables de su seguridad. En este blog, analizaremos algunos de los riesgos cibernéticos exclusivos de los equipos de finanzas y contabilidad (F & A) y qué papel puede desempeñar la seguridad de la información para permitir que los equipos de F & A, y las organizaciones en general, se mantengan seguros.
Papel fundamental de las finanzas y la contabilidad
Si bien la ubicación de una organización y la industria influyen en la forma en que opera un departamento de finanzas y contabilidad, la misión de administrar la información financiera y fiscal de una empresa sigue siendo la misma. F&A trabaja con una variedad de partes interesadas externas e internas para garantizar que los registros financieros sean precisos, cumplan con la normativa y estén actualizados.
Su trabajo es crucial para permitir una planificación empresarial y la toma de decisiones detalladas. Además de otras responsabilidades, F&A aprovecha la información financiera para trabajar con la dirección, el consejo de administración, los inversores y los reguladores para respaldar la actividad corporativa, como la financiación, el cumplimiento y las fusiones y adquisiciones. F&A a menudo también colabora y establece presupuestos para equipos internos, como marketing o recursos humanos (RR. HH.), y supervisa el rendimiento de la inversión para garantizar la asignación adecuada de los recursos.
Datos gestionados por equipos de finanzas y contabilidad
Para llevar a cabo todas estas actividades, F&A depende de información financiera confidencial. Esos datos pueden incluir cualquiera de los siguientes:
- Números de cuentas bancarias
- Fechas de nacimiento de los empleados (DOB, por sus siglas en inglés), números de seguridad social (SSN, por sus siglas en inglés), información de los contribuyentes e información de nóminas
- Nombres de los responsables corporativos
- Registros financieros y fiscales corporativos
- Propiedad intelectual
- Planes de negocios
- Certificados empresariales
- Auditorías de cumplimiento
- Datos de clientes
Credenciales de inicio de sesión vulnerables para equipos de F&A
Como todos los datos financieros confidenciales anteriores reflejan el estado pasado, actual y futuro de una organización, y esta información se almacena regularmente en un software de contabilidad, este se convierte en un objetivo principal para los cibercriminales. Esta información confidencial puede provenir de una variedad de fuentes, incluidos clientes, empleados y terceros, lo que hace que el acceso seguro y autenticado sea un componente crítico de la seguridad empresarial.
Sin embargo, sin una forma de almacenar y de utilizar de forma segura las credenciales de inicio de sesión, los equipos de finanzas y contabilidad tienen tanto el software como los datos faltos de protección. El almacenamiento de contraseñas en ubicaciones no seguras, como el gestor de contraseñas integrado de un navegador, en una hoja de cálculo o en papel, abre los datos financieros y fiscales confidenciales a posibles ataques cibernéticos derivados del relleno de credenciales y la apropiación de cuentas. Y cuando los miembros del equipo tienen que compartir credenciales, los métodos no cifrados como el correo electrónico, los mensajes de texto o la mensajería instantánea hacen que las credenciales de inicio de sesión sean vulnerables a las violaciones.
En los últimos años, las violaciones de los sistemas de contabilidad populares han expuesto datos de organizaciones y de clientes en la dark web. Incluso las organizaciones que se asocian con empresas de contabilidad se arriesgan a que le roben su información.
Los equipos de TI, que cuentan con más del 80 % de las violaciones que resultan de credenciales de inicio de sesión poco seguras o robadas, deben adoptar una solución para la gestión de contraseñas empresariales para apoyar a su departamento de F&A y al resto de la organización.
La amenaza del informante interno (o del contratista)
Los equipos de F&A están acostumbrados a los controles internos de contabilidad, que garantizan que solo el personal autorizado tenga acceso a datos sensibles y que la información financiera sea válida. Al igual que con los controles internos de contabilidad, los equipos de F&A necesitan una forma de restringir el acceso al personal necesario. Si no existen protecciones, los empleados descontentos pueden obtener acceso o aprovechar el acceso a sistemas críticos para dañar una organización.
El acceso no autorizado de los empleados de los proveedores también pone en riesgo los datos financieros. Los contratistas o proveedores con acceso sin restricciones a información crítica añaden otra capa de complejidad para proteger las credenciales de inicio de sesión.
Contabilizar el costo total de los ataques cibernéticos
Los malos actores pueden cobrar un alto precio después de una violación, abrir cuentas bancarias fraudulentas, líneas de crédito y vender datos robados en la dark web.
Según el informe de IBM y Ponemon Institute sobre el coste de una violación de datos 2022, a las organizaciones, el sufrir una violación les puede suponer un promedio de 4,35 millones de dólares. Para algunas industrias, como la salud y los servicios financieros, el coste de una violación de datos es aún mayor.
Los ataques de ransomware, que suponen de media 4,62 millones de dólares por incidente, incluso antes de incluir el pago de un rescate, resultan incluso más costosos que las violaciones de datos.
En 2023, es probable que el coste medio de una violación de datos supere la marca de 5 millones de dólares. Esa cifra incluye los cada vez mayores costes de las sanciones y los litigios como consecuencia de una violación regulatoria. El RGPD, la CCPA y las leyes similares de protección de datos conllevan fuertes multas por violaciones y divulgaciones involuntarias.
Además de los costos empresariales directos y regulatorios, el daño a la reputación y la pérdida negocio se suman a los costes de un ataque cibernético, ya sea de ransomware o de violación de datos. Los costes exactos son difíciles de evaluar, pero los resultados hablan por sí mismos. En los 6 meses posteriores a un ataque cibernético, el 60 % de las pequeñas y medianas empresas (pymes) cierran la tienda.
La segregación de deberes cumple con los controles de acceso basados en roles
Existen similitudes entre el deber fiduciario de los contadores y la responsabilidad de los profesionales de seguridad cibernética de proteger la información y los sistemas críticos. La perspectiva común encuentra repercusión práctica en los departamentos de gobernanza, riesgo y cumplimiento (GRC, por sus siglas en inglés) de muchas organizaciones.
Por ejemplo la segregación de deberes (SOD, por sus siglas en inglés) distribuye responsabilidades críticas en finanzas y contabilidad para evitar conflictos de intereses y que cualquier actor tenga una influencia excesiva sobre un proceso contable.
El control de acceso basado en roles (RBAC, por sus siglas en inglés) de Keeper gestor de contraseñas ofrece una organización, así como un equipo de finanzas o contabilidad específicamente, para garantizar que el acceso de los usuarios sea compatible con la segregación de deberes (SOD).
Cuando un equipo de F&A o GRC necesita evitar que determinados usuarios vean información, Keeper ofrece funciones administrativas para restringir los permisos de acceso. La aplicación de las políticas de RBAC establecidas en Keeper, como la autenticación multifactor (MFA) o el listado de IP, garantiza que solo los usuarios verificados y autorizados puedan acceder a información contable crítica.
Los administradores de TI, así como los administradores de recursos compartidos delegados para equipos individuales, también pueden adaptar las leyes de inicio de sesión en función de las responsabilidades de los equipos y los colaboradores individuales. La RBAC también se aplica al acceso de los usuarios a archivos o datos confidenciales, lo que garantiza que solo las personas que necesitan acceder a la información estén autorizadas para hacerlo.
Cómo ayuda Keeper a los equipos de finanzas y contabilidad
La RBAC es solo una función de Keeper gestor de contraseñas que los equipos de finanzas y contabilidad consideran valiosa.
Aunque el coste de los tickets del servicio de asistencia las contraseñas a menudo es un factor delicado del presupuesto de TI, el controlador puede contar con Keeper para permitir de forma eficiente a su equipo de TI y la productividad del resto de su organización.
Los usuarios solo tienen que recordar una contraseña: la contraseña maestra. Una vez que los usuarios se verifican con las políticas de cumplimiento, como la MFA, Keeper se ocupa del resto.
- La extensión del navegador, KeeperFill®, rellena automáticamente las credenciales de inicio de sesión en cualquier dispositivo, y permite la productividad del usuario sin comprometer la seguridad.
- El uso compartido de cofre permite a los equipos de finanzas y contabilidad enviar y recibir de forma segura credenciales de inicio de sesión para software crítico, incluidos los sistemas de nóminas, las herramientas de cobro y facturación y el software de planificación de recursos empresariales (ERP).
- La función Compartir una sola vez es una herramienta especialmente popular que permite a los equipos de finanzas y contabilidad compartir registros cifrados sin necesidad de que el destinatario tenga Keeper.
- El almacenamiento de archivos seguro utiliza métodos de cifrado zero-knowledge que garantizan que únicamente el usuario pueda acceder y descifrar los archivos de almacenamiento. Los equipos de finanzas y contabilidad utilizan esta función para proteger y almacenar registros financieros, documentos fiscales, planes de negocios críticos, extractos de cuentas bancarias y otros documentos confidenciales.
- Los informes de cumplimiento agilizan los informes de cumplimiento con HIPAA, Sarbanes-Oxley (SOX), PCI DSS y otras regulaciones que requieren el control de acceso y la auditoría de eventos. En combinación con el módulo de informes avanzados y alertas (ARAM), los administradores de InfoSec y el personal de GRC pueden rastrear actividad sospechosa de los usuarios.
Pruebe Keeper gestor de contraseñas gratis
Tanto si es un profesional de finanzas y contabilidad que busca una gestión de contraseñas simple y segura para su empresa como si es un administrador de TI que evalúa los gestores de contraseñas para proteger el departamento de F&A, Keeper tiene soluciones para proteger las contraseñas, los secretos y la información fundamentales de su organización.
Estaremos más que encantados de conectarle con uno de nuestros expertos en seguridad cibernética. También puede probar Keeper gratis durante 14 días.