您可以保护自己的社保号码和其他敏感文档,定期查看您的
组织中大部分最重要的企业和员工数据都经过财务和会计专业人士的手。
这是为什么网络威胁给财务和会计团队带来重大风险的主要原因之一,特别是对于直接负责安全的小型会计师事务所来说。 在本博客文章中,我们将了解财务和会计(F&A)团队独有的网络风险,以及信息安全在这里可以发挥的作用,从而使 F&A 团队和组织整体保持安全。
财务和会计的关键作用
虽然组织的位置和行业会改变财务和会计部门的运作方式,但它们在管理公司的财务和税务信息的使命上仍然是不会变的。 财务与会计部门与一系列外部和内部利益相关方合作,确保财务记录准确、合规且及时更新。
他们的工作对于实现富有洞悉的业务规划和决策至关重要。 除了其他职责外,F&A 还利用财务信息与管理层、董事会、投资者和监管机构合作,以支持融资、合规、兼并和收购等企业活动。 F&A 通常还会与内部团队合作并为其设定预算,如营销或人力资源部等,以及监控投资回报,以确保资源分配得当。
财务和会计团队处理的数据
为了开展所有这些活动,F&A 要依赖于敏感的财务信息。 这些数据可能包括以下任何一项:
- 银行账户号码
- 员工出生日期 (DOB)、社会保障号码 (SSN)、纳税人信息和工资单信息
- 公司官员的名字
- 公司财务和税务记录
- 知识产权
- 业务计划
- 业务证书
- 合规审计
- 客户数据
F&A 团队的易受攻击登录凭证
综上所述,所有敏感的财务数据都反映了组织的过去、现在和未来状态,而且这些信息定期存储在会计软件中,因此这些软件成为网络犯罪分子的主要目标。 这些敏感信息可以来自各种来源,包括客户、员工和第三方,这使得安全和经身份验证的访问成为企业安全的关键。
然而,如果没有安全地存储和使用登录凭证的方法,财务和会计团队就没办法对他们的软件和数据进行保护。 将密码存储在非安全位置(如浏览器的内置密码管理器、电子表格或纸张)中,会使敏感的财务和税务数据受到凭证填充和账户接管网络攻击。 当团队成员不得不共享凭证时,电子邮件、短信或即时消息等未加密的方法会让登录凭证容易受到入侵。
近年来,流行的会计系统漏洞已经在暗网上泄漏了组织和客户数据。 即使是与会计师事务所合作的组织也有信息被盗的风险。
超过 80% 的泄漏是因为登录凭证弱或被盗引起的,IT 团队应该采用一套企业密码管理解决方案,从而支持他们的 F&A 部门以及组织其他部门。
内部人(或承包商)威胁
F&A 团队用于内部会计控制,该控制确保只有授权人员才能访问敏感数据,以及确保有效的财务信息。 与内部会计控制一样,F&A 团队也需要一种只限制必要人员访问的方法。 如果没有保护措施,心怀不满的员工可能会获得或利用关键系统的访问权限来损害组织。
合作商员工未经授权的访问也会使财务数据面临风险。 对关键信息进行不受限制访问的承包商或合作商为保护登录凭证增加了另一层复杂度。
计算网络攻击的总成本
不良行为者可能会在数据泄露后对组织造成高额损失,包括开立欺诈性银行账户、信用额度以及在暗网上出售被盗数据等。
根据 IBM 和 Ponemon Institute 的 2022 年数据泄露成本报告,众多组织预计在数据泄露事件发生后平均损失 435 万美元。 对于医疗和金融服务等一些行业来说,数据泄露的损失仍然更高。
勒索软件攻击平均每个事件损失 462 万美元,甚至比数据泄露的损失更高,而且这还没有包括赎金。
在 2023 年,数据泄露的平均损失可能会突破 500 万美元大关。 这各数字包括监管违规后罚款和诉讼成本的不断增加。GDPR、CCPA 和类似的数据保护法对泄漏和无意披露等行为处以巨额罚款。
除了直接业务和监管损失外,声誉损失和业务损失也会增加到网络攻击的损失中,无论是因为勒索软件还是泄漏。 确切的损失成本很难估计,但结果不言而喻。 在遭受网络攻击的 6 个月内,有60% 的中小型企业倒闭。
以职责分离来满足基于角色的访问控制
会计师的受托责任与网络安全专业人员保护关键信息和系统的责任之间存在相似之处。 该共同的思维方式在许多组织的治理、风险和合规(GRC)部门中找到共同之处。
例如,责任分离(SOD)分别分配财务和会计领域的关键责任,这是为了防止利益冲突、以及任何一方对会计流程产生过度影响。
Keeper 密码管理器中的基于角色的访问控制(RBAC)为组织以及财务或会计团队确保了用户访问与 SOD 符合。
当 F&A 或 GRC 团队需要排除某些用户看到信息时,Keeper 会提供管理功能来限制其访问权限。 Keeper 中设有的 RBAC 策略实施,如多因素身份验证 (MFA) 或 IP 列表等确保只有经过验证的授权用户才能访问关键的会计信息。
IT 管理员以及各个团队的授权共享管理员也可以根据团队和个人贡献者的责任调整登录实施。 RBAC 还适用于用户对敏感文件或数据的访问,确保只有需要访问该信息的人才有权访问。
Keeper 如何帮助财务和会计团队
RBAC 只是 Keeper 密码管理器中财务和会计团队认为有用的其中一个功能。
虽然密码帮助台支持票的成本通常是 IT 预算的一个痛点,但控制者可以依赖 Keeper 能有效地支持他们的 IT 团队和整个组织的生产力。
用户只需要记住一个密码,即他们的主密码。 只要用户通过任何实施政策(如 MFA 等)的验证,Keeper 就会负责其余的工作。
- 浏览器扩展 KeeperFill® 能在任何设备上自动填充登录凭证,并在不影响安全的情况下提高用户的工作效率。
- 库对库共享允许财务和会计团队安全地发送和接收关键软件的登录凭证,包括工资系统、计费和发票工具以及企业资源规划(ERP)软件等。
- 一次性共享是一个特别受欢迎的工具,它允许财务和会计团队共享加密的记录,而接收者无需拥有 Keeper。
- 安全文件存储使用零知识加密方法,确保只有用户才能访问和解密存储文件。 财务和会计团队使用此功能来保护和存储财务记录、税务文书工作、关键业务计划、银行账户对账单和其他敏感文档。
- 合规报告简化了 HIPAA、Sarbanes-Oxley (SOX)、PCI DSS 和其他需要访问控制监控和事件审计的法规的合规报告。 通过结合高级报告和警报模块 (ARAM) ,InfoSec 管理员和 GRC 人员可以跟踪可疑的用户活动。
免费试用 Keeper 密码管理器
无论您是正在为公司寻找简单而安全的密码管理工具的财务和会计专业人员,还是正在评估密码管理工具来保护财务与会计部门的 IT 管理员,Keeper 都为您提供保护您组织的关键密码、机密信息的解决方案。
我们很乐意您与我们的网络安全专家联系。 您还可以免费试用 Keeper 14 天。