U kunt zien of uw Facebook-account is gehackt als u meldingen ontvangt van een inlogpoging, merkt dat de persoonlijke gegevens van uw account zijn gewijzigd, meer
Veel van de meest kritieke bedrijfs- en personeelsgegevens van een organisatie gaan door de handen van financiële en boekhoudkundige professionals.
Het is een van de belangrijkste redenen waarom cyberbedreigingen een aanzienlijk risico vormen voor financiële en boekhoudteams. Dit geldt vooral voor kleine accountantskantoren die rechtstreeks verantwoordelijk zijn voor hun beveiliging. In deze blog bekijken we enkele van de cyberrisico’s die uniek zijn voor F&A-teams (Finance and Accounting) en welke rol informatiebeveiliging kan spelen om F&A-teams en organisaties als geheel veilig te houden.
De cruciale rol van financiën en boekhouding
Hoewel de locatie en branche van een organisatie invloed hebben op de manier waarop een financiële en boekhoudkundige afdeling werkt, blijft de missie om de financiële en fiscale informatie van een bedrijf te beheren dezelfde. F&A werkt met een reeks externe en interne belanghebbenden om ervoor te zorgen dat de financiële gegevens nauwkeurig, conform en up-to-date zijn.
Hun werk is cruciaal om inzichtelijke bedrijfsplanning en besluitvorming mogelijk te maken. Naast andere verantwoordelijkheden maakt F&A gebruik van financiële informatie om samen te werken met het management, de raad van bestuur, investeerders en toezichthouders om bedrijfsactiviteiten zoals financiering, naleving en fusies en overnames te ondersteunen. F&A werkt vaak ook samen met en stelt budgetten op voor interne teams, zoals marketing of human resources (HR), en controleert het rendement op investeringen om de juiste toewijzing van middelen te garanderen.
Gegevens die worden verwerkt door financiële en boekhoudteams
Om al deze activiteiten uit te voeren, vertrouwt F&A op gevoelige financiële informatie. Die gegevens kunnen het volgende omvatten:
- Bankrekeningnummers
- Datums van geboorte (DVG), burgerservicenummers (BSN’s), informatie over de belastingbetaler en salarisgegevens van werknemers
- Namen van bedrijfsfunctionarissen
- Financiële en fiscale gegevens van het bedrijf
- Intellectueel eigendom
- Bedrijfsplannen
- Bedrijfscertificaten
- Nalevingsaudits
- Klantgegevens
Kwetsbare inloggegevens voor F&A-teams
Omdat alle bovengenoemde gevoelige financiële gegevens het verleden, het heden en de toekomst van een organisatie weerspiegelen, en deze informatie regelmatig wordt opgeslagen in boekhoudsoftware, wordt die software een belangrijk doelwit voor cybercriminelen. Deze gevoelige informatie kan afkomstig zijn van verschillende bronnen, waaronder klanten, werknemers en derden, waardoor veilige en geauthenticeerde toegang een cruciaal onderdeel van de bedrijfsbeveiliging is.
Zonder een manier om inloggegevens veilig op te slaan en te gebruiken, laten financiële en boekhoudteams hun software en gegevens onbeschermd achter. Het opslaan van wachtwoorden op niet-beveiligde locaties (zoals de ingebouwde wachtwoordmanager van een browser, in een spreadsheet of op papier) stelt gevoelige financiële en belastinggegevens bloot aan cyberaanvallen waarbij credential stuffing en account-overname wordt gebruikt. En wanneer teamleden inloggegevens moeten delen, maken niet-versleutelde methoden zoals e-mail, sms of instant messaging inloggegevens kwetsbaar voor inbreuken.
In de afgelopen jaren hebben inbreuken op populaire boekhoudsystemen organisatorische en klantgegevens op het dark web blootgesteld. Zelfs organisaties die samenwerken met accountantskantoren lopen het risico dat hun informatie wordt gestolen.
Omdat meer dan 80% van de inbreuken het gevolg is van zwakke of gestolen inloggegevens, moeten IT-teams een oplossing voor wachtwoordbeheer voor ondernemingen kiezen om hun F&A-departement en de rest van de organisatie te ondersteunen.
De bedreiging van insiders (of contractanten)
F&A-teams zijn gewend aan interne boekhoudkundige controles, zodat alleen geautoriseerd personeel toegang heeft tot gevoelige gegevens en dat financiële informatie geldig is. Net als bij interne boekhoudcontroles hebben F&A-teams een manier nodig om de toegang te beperken tot noodzakelijk personeel. Als er geen bescherming is, kunnen ontevreden werknemers toegang krijgen tot kritieke systemen of deze misbruiken om schade toe te brengen aan een organisatie.
Ongeautoriseerde toegang van medewerkers van leveranciers brengt ook financiële gegevens in gevaar. Contractanten of leveranciers met onbeperkte toegang tot kritieke informatie voegen nog een laag complexiteit toe aan het beschermen van inloggegevens.
Verantwoording afleggen voor de totale kosten van cyberaanvallen
Slechte acteurs kunnen een hoge tol eisen na een inbreuk, zoals het openen van frauduleuze bankrekeningen, kredietlijnen en het verkopen van gestolen gegevens op het dark web.
Volgens het rapport “Cost of a Data Breach 2022” van IBM en het Ponemon Institute, kunnen organisaties verwachten gemiddeld 4,35 miljoen dollar te betalen in de nasleep van een inbreuk. Voor sommige sectoren, zoals de gezondheidszorg en de financiële dienstverlening, zijn de kosten van een gegevenslek nog hoger.
Ransomware-aanvallen, die ongeveer 4,62 miljoen dollar per incident kosten, nog vóór de betaling van losgeld, zijn nog duurder dan datalekken.
In 2023 zullen de gemiddelde kosten van een gegevenslek waarschijnlijk de grens van 5 miljoen dollar overschrijden. Dat bedrag omvat de stijgende kosten van boetes en rechtszaken in de nasleep van een overtreding van de regelgeving. GDPR, CCPA en soortgelijke wetten inzake gegevensbescherming brengen hoge boetes met zich mee voor inbreuken en onbedoelde openbaarmaking.
Bovenop de directe bedrijfs- en regelgevingskosten dragen de reputatieschade en verloren omzet bij aan de kosten van een cyberaanval, of het nu gaat om ransomware of om een inbreuk. De exacte kosten zijn moeilijk te schatten, maar de resultaten spreken voor zich. Binnen 6 maanden na een cyberaanval moet 60% van de mkb-bedrijven hun deuren sluiten.
Functiesplitsing voldoet aan op rollen gebaseerde toegangscontroles
Er zijn overeenkomsten tussen de fiduciaire plicht van accountants en de verantwoordelijkheid van cybersecurity-professionals om kritieke informatie en systemen te beschermen. De gedeelde denkwijze vindt praktische weerklank in de governance-, risk- en compliance-afdelingen (GRC) van veel organisaties.
De scheiding van taken (Segregation of Duties, SOD) verdeelt bijvoorbeeld cruciale verantwoordelijkheden in financiën en boekhouding om belangenvermenging te voorkomen en om te voorkomen dat één acteur buitensporige invloed heeft op een boekhoudproces.
Een op rollen gebaseerde toegangscontrole (Role-Based Access Control of RBAC) in Keeper Password Manager biedt een organisatie, maar ook specifiek een financieel of boekhoudkundig team, de mogelijkheid ervoor te zorgen dat gebruikerstoegang compatibel is met SOD.
Wanneer een F&A- of GRC-team bepaalde gebruikers moet uitsluiten van het zien van informatie, biedt Keeper administratieve functies om toegangsrechten te beperken. Het afdwingen van RBAC-beleid dat in Keeper is ingesteld, zoals multifactorauthenticatie (MFA) of IP-listing, zorgt ervoor dat alleen geverifieerde, geautoriseerde gebruikers toegang hebben tot kritieke boekhoudinformatie.
IT-beheerders en gedelegeerde deelbeheerders voor individuele teams kunnen aanmeldingsverplichtingen ook aanpassen op basis van de verantwoordelijkheden van teams en individuele medewerkers. RBAC is ook van toepassing op gebruikerstoegang tot gevoelige bestanden of gegevens, zodat alleen de mensen die toegang nodig hebben tot de informatie daartoe bevoegd zijn.
Zo helpt Keeper financiële en boekhoudteams
RBAC is slechts één functie in Keeper Password Manager die financiële en boekhoudteams waardevol vinden.
Hoewel de kosten van helpdesktickets voor wachtwoorden vaak een pijnpunt vormen in het IT-budget zijn, kan de controller erop rekenen dat Keeper zijn IT-team en de productiviteit van de rest van hun organisatie efficiënt inschakelt.
Gebruikers hoeven maar één wachtwoord te onthouden: hun hoofdwachtwoord. Zodra gebruikers zijn geverifieerd met een handhavingsbeleid, zoals MFA, zorgt Keeper voor de rest.
- De browserextensie, KeeperFill®, vult inloggegevens op elk apparaat automatisch in, waardoor de productiviteit van de gebruiker mogelijk wordt zonder de beveiliging in gevaar te brengen.
- Delen van kluis naar kluis stelt financiële en boekhoudkundige teams in staat om veilig inloggegevens te verzenden en te ontvangen voor kritieke software, waaronder salarissystemen, tools voor facturering en facturatie en ERP-software (Enterprise Resource Planning).
- Eenmalig delen is een bijzonder populaire tool waarmee financiële en boekhoudteams versleutelde records kunnen delen zonder dat de ontvanger Keeper hoeft te hebben.
- Veilige bestandsopslag maakt gebruik van zero-knowledge encryptiemethoden die ervoor zorgen dat alleen de gebruiker toegang heeft tot opslagbestanden en deze kan ontcijferen. Financiële en boekhoudteams gebruiken deze functie om financiële gegevens, belastingpapieren, kritieke bedrijfsplannen, bankrekeningafschriften en andere gevoelige documenten te beschermen en op te slaan.
- Nalevingsrapporten stroomlijnen nalevingsrapportage met HIPAA, Sarbanes-Oxley (SOX), PCI DSS en andere regelgeving die toegangscontrole en gebeurtenisaudit vereisen. In combinatie met de geavanceerde rapportage- en alarmmodule (ARAM) kunnen InfoSec-beheerders en GRC-personeel verdachte gebruikersactiviteiten opsporen.
Probeer Keeper Password Manager gratis
Of u nu een financieel en boekhoudkundige professional bent die op zoek is naar eenvoudig en veilig wachtwoordbeheer voor uw bedrijf of een IT-beheerder die wachtwoordmanagers evalueert voor de F&A-afdeling, Keeper heeft oplossingen om de kritieke wachtwoorden, geheimen en informatie van uw organisatie te beschermen.
We brengen u graag in contact met een van onze cybersecurity-experts. U kunt Keeper ook 14 dagen gratis uitproberen.