Directorii financiari și securitatea cibernetică: Principalele amenințări și cum să le prevenim
Mark Jackley | Strateg de conținut | 27 martie 2024
Deoarece atacurile cibernetice reprezintă un risc financiar imens pentru majoritatea organizațiilor, directorii financiari joacă un rol important în securitatea cibernetică. Aceștia colaborează îndeaproape cu directori pentru securitatea informațiilor (CISO) pentru a prioritiza potențialele amenințări în funcție de riscul lor financiar, pentru a menține apărarea în consecință și, în cele din urmă, pentru a contribui la atenuarea acestor riscuri.
De ce ar trebui să le pese directorilor financiari de securitatea cibernetică?
Atacurile cibernetice pot costa organizațiile în mai multe moduri. În general, costul mediu al unei încălcări a securității datelor pentru organizațiile din întreaga lume a fost de 4,45 milioane de dolari în 2023, conform unui studiu realizat de IBM și Ponemon Institute. Conform raportului Verizon Data Breach Investigations Report 2023, aproape 95 % din atacuri sunt lansate în scopuri financiare, nu din motive politice, sociale sau personale.
Datele confidențiale, cum ar fi numerele cardurilor de credit ale clienților și parolele de rețea ale angajaților, sunt o țintă preferată. La fel se întâmplă și cu banii cash, obținuți prin facturi false ale furnizorilor, escrocherii cu salariile și atacuri ransomware. Aproape jumătate dintre directorii executivi cred că atacurile asupra contabilității și finanțelor se vor înrăutăți, conform unui studiu realizat în 2023 de Deloitte Center for Controllership. Apoi, există costul financiar al deteriorării reputației unei organizații ca urmare a unei breșe de securitate.
Noile reglementări U.S. Securities and Exchange Commission au atras, de asemenea, atenția directorilor financiari. SEC a adoptat norme care impun societăților publice să ofere investitorilor informații „utile pentru luarea deciziilor” cu privire la incidentele de securitate cibernetică, precum și actualizări periodice ale programelor lor de securitate cibernetică. De asemenea, normele par să impună ca SEC să fie notificată în termen de patru zile de la stabilirea de către o societate a faptului că un incident de securitate cibernetică este „material”, adică unul pe care majoritatea investitorilor l-ar considera important.
Un alt mandat de reglementare este Federal Information Security Management Act (FISMA), care impune agențiilor federale din Statele Unite să elaboreze, să documenteze și să pună în aplicare măsuri de securitate la nivelul întregii agenții. Conformitatea cu legea este în principal responsabilitatea directorului de securitate informatică (CISO), dar directorii financiari guvernamentali trebuie să fie atenți la cerințele acesteia.
Concluzii cheie
- În calitate de experți în gestionarea riscurilor, directorii financiari ar trebui să colaboreze cu directorii de securitate informatică pentru a prioritiza amenințările cibernetice și apărarea în funcție de riscul financiar al întreprinderii.
- Pentru a evalua riscul cibernetic, directorii financiari trebuie să dobândească cunoștințe solide despre tehnicile de atac cibernetic, precum și despre strategiile și tehnologiile utilizate pentru combaterea acestora.
- Din ce în ce mai des, directorii financiari contribuie la planurile de securitate cibernetică, analizează bugetele de securitate și monitorizează eficacitatea pregătirilor de securitate.
Directorii financiari și securitatea cibernetică explicate
Directorii financiari nu sunt experți în securitate cibernetică, dar sunt experți în gestionarea riscurilor. Acest lucru îi face aliați naturali ai directorului de securitate informatică, care este responsabil pentru protejarea sistemelor și datelor organizației. Directorii financiari ar trebui consultați cu privire la planurile de securitate cibernetică, asigurându-se că acestea reflectă riscul financiar general al companiei. Protejează suficient sistemele care procesează și stochează cele mai sensibile și valoroase date ale organizației? Ajută angajații din întreaga organizație să identifice e-mailurile, apelurile și alte înșelătorii frauduloase? În calitate de supraveghetor principal al gestionării riscurilor, directorul financiar trebuie să fie convins că nivelul de risc cibernetic al organizației este acceptabil.
Directorii financiari au, de asemenea, obligații de raportare care includ securitatea cibernetică. Aceștia sunt implicați îndeaproape în respectarea normelor stabilite de U.S. Securities and Exchange Commission, de Regulamentul general privind protecția datelor al Uniunii Europene și de California Consumer Privacy Act, printre altele. Directorii financiari colaborează cu consilierii generali, auditorii interni, directorii de securitate informatică și alții pentru a asigura conformitatea. Aceștia se confruntă cu întrebări din partea consiliului de administrație cu privire la dezvăluirea oricăror incidente cibernetice, precum și cu dezvăluiri anuale privind gestionarea riscurilor cibernetice, strategia și guvernanța.
În vederea respectării legislației, directorii financiari trebuie să echilibreze o serie de factori-cheie. De exemplu, SEC solicită publicarea oricăror „incidente semnificative” pe care investitorii le consideră importante. Desigur, directorii financiari utilizează măsuri financiare pentru a decide ce este semnificativ și, prin urmare, ce trebuie să divulge, dar ar trebui să ia în considerare și factori mai calitativi, cum ar fi impactul asupra reputației chiar și al unui mic atac asupra informațiilor clienților.
Principalele cinci riscuri de securitate cibernetică pentru directorii financiari
În această lume a business-ului online, factorul de amenințare la dispoziția atacatorilor cibernetici se extinde pe măsură ce companiile lansează aplicații mai rapid și pentru mai mulți utilizatori decât oricând înainte. De asemenea, companiile integrează din ce în ce mai mult aplicațiile cu sistemele furnizorilor, partenerilor și altor persoane din exterior.
Indiferent de mediile pe care le țintesc, atacatorii testează mereu noi modalități de a eluda apărarea cibernetică. Directorii financiari nu trebuie să înțeleagă fiecare nuanță tehnică, dar trebuie să înțeleagă cele mai eficiente tehnici ale atacatorilor. Multe atacuri sunt modificări ale următoarelor cinci tipuri de bază.
1. Compromiterea contului de e-mail business
Compromiterea contului de e-mail business (BEC) este un atac cibernetic care utilizează e-mailul pentru a manipula oamenii. De exemplu, atacatorii încearcă să păcălească destinatarul să trimită bani prin intermediul unei cereri frauduloase de transfer de fonduri sau al unei facturi false de furnizor. Astfel de BEC-uri vizează de obicei echipele de contabilitate și finanțe, achiziții și statul de plată. BEC este un tip de atac de phishing. Alte escrocherii de tip phishing încearcă să păcălească destinatarii să dezvăluie parole, să furnizeze numere de carduri de credit sau să acceseze linkuri malware.
Abnormal Security, o companie de securitate a e-mailurilor, raportează că în prima jumătate a anului 2023, atacurile BEC au crescut cu 55 % față de prima jumătate a anului 2022.
2. Atacuri asupra lanțurilor de aprovizionare
După cum sugerează termenul, atacurile asupra lanțurilor de aprovizionare vizează ceva ce o companie cumpără de la furnizori, de obicei un program software. Exploatând o vulnerabilitate a unui program software, atacatorul poate obține acces prin ușa din spate la mai multe companii care utilizează software-ul respectiv. Atacatorul obține acces la rețelele private, inclusiv la proprietatea intelectuală, datele clienților și alte active informaționale.
3. Bază de date expusă public
O bază de date expusă public este o bază de date care susține un site web sau o aplicație publică și care nu este protejată prin măsuri de securitate, cum ar fi solicitarea acreditărilor de utilizator, configurarea sigură, setările de securitate adecvate sau supravegherea implementării bazelor de date, ceea ce le face o pradă ușoară. Creșterea muncii remote în timpul pandemiei COVID-19 a contribuit la o creștere a numărului de date nesecurizate și a atacurilor rezultate. În 2023, firma de securitate Group IB, cu sediul în Singapore, a descoperit aproape 400.000 de astfel de baze de date pe internetul liber. După ce au aflat de problemă, proprietarii bazelor de date au avut nevoie în medie de 170 de zile pentru a o remedia, riscând încălcări ale securității datelor și atacuri ulterioare asupra angajaților sau clienților, a constatat Group IB. Într-un studiu realizat în 2022 de furnizorul de securitate Kroll, 53 % dintre organizații au declarat că atacurile asupra bazelor de date expuse au dus la compromiterea rețelei.
4. Amenințări din interior („Insider threats”)
Un insider este un angajat, un fost angajat, un contractor, un furnizor sau o altă parte al cărei acces special la sistemele și rețelele unei companii ar putea reprezenta o amenințare la adresa securității. Insiderii se împart în două categorii: cei care acționează în mod intenționat pentru a distruge sistemele unei companii și a-i fura datele și cei care provoacă în mod neintenționat o breșă de securitate deoarece nu sunt instruiți în materie de securitate sau pur și simplu nu respectă procedurile. Costul total mediu pentru o organizație al unui incident de amenințare din interior a crescut de la 15,4 milioane de dolari în 2022 la 16,2 milioane de dolari anul trecut, conform unei cercetări realizate de furnizorul IT DTEX Systems și Ponemon Institute, pe baza unui eșantion de organizații din diferite industrii și de diferite dimensiuni.
5. Ransomware
Ransomware este un tip de malware utilizat de atacatori pentru a cripta datele unei companii, adesea transmise prin software compromis sau e-mailuri false, și pentru a cere apoi o răscumpărare financiară în vederea eliminării criptării. Atunci când ransomware-ul este activat, angajații nu pot accesa sistemele și datele cheie, nu pot lucra, iar operațiunile se opresc până când organizația plătește răscumpărarea solicitată și accesul revine la normal. Unele companii decid că plata răscumpărării este mai puțin costisitoare decât întreruperea operațiunilor, mai ales dacă asigurarea cibernetică acoperă o parte din pierderi. Cu toate acestea, nu există nicio garanție că atacatorii, odată plătiți, vor furniza o cheie de decriptare pentru a elibera datele. Potrivit furnizorului de securitate Sophos, plata medie pentru ransomware în 2023 a fost de 1,54 milioane de dolari. În octombrie anul trecut, Counter Ransomware Initiative, un grup de organizații guvernamentale din 50 de țări, condus de SUA, a promis că nu va plăti niciodată răscumpărare infractorilor cibernetici.
| Atacurile cibernetice: Statistici cheie |
|---|
| 55 % : Creșterea procentuală a atacurilor de compromitere a e-mailurilor de business din ianuarie până în iunie 2023 |
| 138 miliarde USD : Costul global estimat al atacurilor asupra lanțurilor de aprovizionare în 2023 |
| 74 %: Procentajul organizațiilor considerate de la moderat la extrem de vulnerabile la amenințările din interior în 2023 |
| 1,54 milioane USD: Plata medie a răscumpărării necesare în caz de ransomware în 2023 |
Sources: Abnormal Security, Cybersecurity Insiders, Sophos
Rolul directorului financiar în securitatea cibernetică
Pe lângă colaborarea cu directorii de securitate informatică pentru a prioritiza riscurile cibernetice, directorii financiari îi ajută din ce în ce mai mult să elaboreze un plan de securitate, să dezvolte un buget de securitate și să monitorizeze performanțele și pregătirile în materie de securitate.
Înțelegerea riscurilor de securitate cibernetică
Pentru a înțelege riscurile de securitate cibernetică, directorii financiari le prioritizează pe baza riscurilor financiare. Acest lucru înseamnă, de exemplu, colaborarea cu directorii de securitate informatică pentru a se asigura că aplicațiile cheie – cele care gestionează date și plăți sensibile – sunt apărate în mod adecvat. Sunt necesare diferite niveluri de permisiune pentru a accesa date și a efectua tranzacții, ceea ce se numește principiul privilegiului minim? De exemplu, un manager al lanțului de aprovizionare ar putea avea nevoie de permisiunea de a intra într-un sistem de achiziții și de a efectua sau aproba tranzacții. Un specialist în contabilitate poate că nu are nevoie de permisiune pentru a lucra în acel sistem, dar are nevoie de permisiune pentru a accesa sistemele contabile și financiare. De asemenea, numai angajații autorizați ar trebui să configureze plățile către furnizori.
Aplicațiile cu prioritate ridicată se regăsesc în contabilitate și finanțe (creanțe și obligații de plată), operațiunile lanțului de aprovizionare (achiziții) și resurse umane (salarizare). În anumite industrii, cum ar fi serviciile financiare și sănătate, protejarea aplicațiilor care gestionează datele clienților sau pacienților este deosebit de importantă.
„Nu există o soluție universală pentru securitatea cibernetică”, spune Aman Desouza, un Senior Product Director de la Oracle care a condus anterior strategiile de guvernanță, risc și conformitate pentru firma globală de fintech Broadridge Financial Solutions. „Unele aplicații sunt mult mai importante decât altele. Directorii de securitate informatică ar trebui să colaboreze cu directorii financiari și, uneori, cu alți directori, pentru a prioritiza riscurile întreprinderii și a proteja cele mai prețioase bijuterii ale coroanei. Și, uneori, directorul financiar trebuie să fie dispus să pună la îndoială gândirea directorului de securitate informatică.”
Atunci când evaluează impactul potențial al atacurilor, directorii financiari ar trebui să privească dincolo de pagubele financiare imediate. De asemenea, aceștia trebuie să ia în considerare efectele de durată asupra productivității, reputației brand-ului, relațiilor cu clienții și conformității juridice.
Elaborați un plan de securitate cibernetică
Deși structura companiilor variază, planificarea securității cibernetice este un efort interdisciplinar care, de obicei, revine în primul rând directorului de securitate informatică. Dar, deoarece atacurile cibernetice prezintă riscuri grave pentru rezultatele financiare, directorii de securitate informatică ar trebui să se consulte cu directorii financiari atunci când elaborează planuri. Odată cu noile norme SEC, directorii financiari de la companiile americane cotate la bursă trebuie să includă anumite informații privind gestionarea riscurilor legate de securitatea cibernetică, strategia și guvernanța lor în rapoartele lor anuale, astfel încât aceștia trebuie să colaboreze îndeaproape cu directorii de securitate informatică în acest sens.
Toate planurile ar trebui să includă o evaluare a riscului de securitate cibernetică. Directorii financiari evaluează riscul cibernetic pe baza valorii diverselor date, la care se adaugă potențialele costuri juridice și reputaționale ale incidentelor de securitate. Directorii financiari iau în considerare, de asemenea, riscurile externalizării stocării datelor sensibile către terți, în special implicațiile pentru acoperirea asigurării de securitate cibernetică, precum și riscurile de nerespectare a normelor SEC sau a altor norme.
Un alt aspect crucial al planificării: evaluarea instrumentelor și proceselor de securitate actuale. Directorii de securitate informatică evaluează instrumentele în funcție de capacitățile lor tehnice. Directorii financiari vor să știe că instrumentele și procesele aferente pot apăra activele de mare valoare, în special aplicațiile financiare și de plăți. Prin analiza cost-beneficiu, directorii financiari pot, de asemenea, să evalueze investițiile în tehnologii de securitate, o perspectivă care îi ajută pe directorii de securitate informatică atunci când este momentul să prezinte bugetul de securitate directorilor executivi și consiliilor de administrație.
Cele mai bune planuri sunt flexibile, permițând companiilor să se adapteze la riscuri emergente, cum ar fi deepfake-uri cu AI, care pot prezenta imitații ultrarealiste ale unor directori de top. De exemplu, un atac a folosit un video deepfake într-o conferință telefonică pentru a păcăli un angajat din domeniul finanțelor să trimită 25,6 milioane de dolari în conturile bancare ale atacatorului, a raportat CNN. Planurile adaptive fac loc, de asemenea, celor mai recente instrumente de securitate, unele dintre ele folosind, așa este, inteligență artificială generativă pentru a detecta mai rapid anomaliile rețelei și activitățile rău intenționate.
Stabiliți un buget pentru securitatea cibernetică
Ca și în cazul planului de securitate cibernetică, directorul de securitate informatică preia inițiativa în propunerea unui buget de securitate cibernetică. În majoritatea companiilor, directorii financiari sunt consultați în cadrul procesului, revizuind bugetul, punând întrebări și făcând recomandări. Atunci când analizează cheltuielile de securitate, directorii financiari examinează investițiile în persoane cu expertiză specializată, în tehnologii de detectare și combatere a atacurilor și în instrumente de monitorizare a riscurilor cibernetice și a conformității securității.
În ciclul bugetar 2022-2023, bugetele de securitate cibernetică au crescut cu rate modeste, conform unui studiu 2023 realizat de firma de consultanță în securitate IANS Research. De exemplu, companiile din domeniul tehnologiei au majorat în medie bugetele de securitate cu doar 5 %, față de o creștere de peste 30 % în ciclul 2021-2022. Totuși, în comparație cu alte industrii, companiile din domeniul tehnologiei au cele mai mari bugete de securitate ca proporție din totalul cheltuielilor IT, de 19,4 %. Industria de retail, în schimb, alocă în medie 7,2 % din bugetele IT pentru securitate.
Atunci când banii sunt puțini, directorii financiari pun întrebări dificile. Este bugetul propus în concordanță cu obiectivele corporative? Finanțează în mod corespunzător eforturile de apărare a organizației și de reducere a riscurilor?
Alocați resurse pentru securitatea cibernetică
Odată ce bugetul de securitate cibernetică este stabilit, directorii de securitate informatică analizează dacă resursele sunt alocate acolo unde este cea mai mare nevoie de ele pentru a reduce riscul, fie că este vorba de angajarea de profesioniști calificați, extinderea programelor de formare în domeniul securității pentru angajați, achiziționarea de software de securitate nou sau trecerea organizației la un model de business cloud mai sigur. Din nou, directorii financiari joacă un rol consultativ, asigurându-se că alocările reflectă prioritățile de risc financiar. Exemplu: Va reduce organizația riscul de intruziune și va proteja datele mai bine prin alocarea de fonduri pentru instrumentele de autentificare multifactorială decât dacă ar cheltui o sumă similară de bani pentru îmbunătățirea oamenilor sau a proceselor?
Monitorizați performanța securității cibernetice
Planul de securitate cibernetică include metrici de monitorizare a performanței, care arată dacă nivelurile actuale de risc sunt acceptabile sau nu. Directorul de securitate informatică se uită la parametri precum timpul mediu de detectare a atacurilor și de răspuns la acestea. Directorul financiar se concentrează mai mult asupra nivelului de pregătire în materie de securitate față de performanța tehnologiei și a proceselor. „În mare parte, directorii financiari vor să vadă dovezi ale unor programe de securitate mature”, spune Desouza. „Aceștia caută indicatori precum instrumente de monitorizare automată sau cursuri de sensibilizare în materie de securitate care îi învață pe angajați să identifice atacurile BEC și phishing. Pentru directorul financiar, este vorba mai mult de pregătire decât de orice altceva.”
Costul ignorării securității cibernetice
Atunci când companiile ignoră securitatea cibernetică (sau nu-i acordă suficientă atenție), prețul poate fi mare, ducând la pierderea de date, fonduri și/sau proprietate intelectuală. Costurile pot include, de asemenea, scăderea încrederii clienților, anularea comenzilor de business, scăderea prețului acțiunilor, titluri negative și sancțiuni juridice. Dark Reading a raportat că o breșă de securitate larg mediatizată din 2017 a dus la scăderea prețului acțiunilor companiei cu 31 % în decurs de o săptămână și că a fost nevoie de doi ani înainte ca aceasta să-și revină complet. Cu toate acestea, mai frecvente sunt scăderile imediate ale prețului acțiunilor de ordinul cifrelor mici.
Pagubele cauzate de criminalitatea cibernetică la nivel mondial se estimează că vor ajunge la 10,5 trilioane de dolari până în 2025, conform studiului 2022 realizat de Cybersecurity Ventures. Furnizorul de securitate Deep Instinct a raportat că 75 % dintre profesioniștii din domeniul securității au asistat la o creștere a atacurilor în perioada 2022-2023.
În conformitate cu noile norme de divulgare a informațiilor privind securitatea cibernetică ale SEC, companiile trebuie „să divulge anual informații privind gestionarea riscurilor de securitate cibernetică, strategia și guvernanța”, a declarat Erik Gerding, director al diviziei de finanțe corporative a SEC, într-un declarație. Acest lucru se adaugă necesității de a dezvălui orice incident semnificativ de securitate cibernetică. Având în vedere aceste cerințe, directorii financiari de la societățile publice trebuie să fie siguri că înțeleg strategia și practicile de securitate cibernetică în curs de desfășurare ale unei societăți. Aceștia trebuie să aibă cunoștințele și relațiile necesare pentru a afla rapid despre incidentele relevante de securitate cibernetică și pentru a evalua importanța acestor atacuri. Directorii financiari care neglijează aceste cerințe expun organizațiile lor la sancțiuni de reglementare.
Preveniți riscurile de securitate cibernetică de la început cu Oracle
Suita Oracle Fusion Cloud Enterprise Resource Planning (ERP) de aplicații financiare, de achiziții, de managementul proiectelor și altele au fost proiectate pentru securitate. Controalele de acces centralizate pot contribui la simplificarea autorizării rețelei și, împreună cu funcțiile de securitate oferite ca parte a Oracle Cloud ERP, pot ajuta organizațiile să își gestioneze conformitatea și obligațiile de reglementare.
Oracle Risk Management and Compliance, parte a suitei Oracle Cloud ERP, este o soluție de securitate și audit care include instrumente AI pentru a controla accesul la datele financiare ale suitei, pentru a detecta tranzacțiile suspecte și pentru a oferi organizațiilor informații valoroase care să le ajute să respecte reglementările de securitate.
Întrebări frecvente despre securitatea cibernetică a directorilor financiari
Ce face directorul financiar în domeniul securității cibernetice?
În calitate de administrator al managementului riscurilor organizației, directorul financiar se asigură că eforturile sale de securitate cibernetică reflectă strategiile de management al riscurilor financiare. Directorul financiar îl ajută pe directorul de securitate informatică să înțeleagă prioritățile de risc din cadrul întreprinderii și să creeze planuri de securitate și bugete în consecință.
Ce certificări de securitate cibernetică ar trebui să aibă un director financiar?
O certificare pe care trebuie să o ia în considerare este Maximizing Digital Operational Excellence Certificate, oferită de American Institute of Certified Public Accountants și de Chartered Institute of Management Accountants. Aceasta afirmă că managerii financiari sunt la curent cu metodele de consolidare a guvernanței, securității și controlului financiar.
Care sunt principalele responsabilități în materie de securitate cibernetică pe care trebuie să le îndeplinească un director financiar?
Pe lângă asigurarea alinierii securității cibernetice la riscul financiar, directorii financiari ar trebui să asiste directorii de securitate informatică în rafinarea planurilor și bugetelor de securitate, precum și în prioritizarea protecției aplicațiilor care gestionează date și plăți critice. Directorul financiar al societăților publice poate avea, de asemenea, cerințe de reglementare în materie de publicare a informațiilor, în funcție de locul în care se află compania.
Descoperiți 5 strategii de reducere a costurilor și de creștere a productivității fără a înăbuși creșterea.