A pesar de la información disponible sobre las estafas cibernéticas comunes y las formas de gestionar el riesgo cibernético, algunas empresas de contabilidad siguen cayendo en amenazas prevenibles.
En un mes, CPA Mutual investigó las reclamaciones relacionadas con la ingeniería social – es decir, correos electrónicos ficticios enviados con solicitudes de transferir dinero o realizar alguna otra respuesta – de las que los empleados de la empresa de contabilidad han sido presa. Estas estafas pueden dar lugar a violaciones de datos, pagos a cuentas falsas y rescates o malware que se infiltran en los sistemas de la empresa de contabilidad.
A medida que los hackers se vuelven más sofisticados y la inteligencia artificial ayuda a que sus esquemas parezcan más reales, las empresas de contabilidad no pueden afirmar que son demasiado pequeños o demasiado sofisticados para este tipo de violaciones de seguridad. La concienciación debe comenzar a nivel de los empleados y extenderse a los proveedores externos, que siguen siendo el principal medio para las violaciones de seguridad. El año pasado, las demandas cibernéticas de los miembros de CPA Mutual resultaron en poco menos de 200.000 dólares en daños monetarios. El valor de los daños ha aumentado un 76 por ciento desde 2017 y se espera que siga aumentando en 2019.
La prevención de reclamaciones es siempre el mejor camino, así como la inversión en cobertura de responsabilidad cibernética. Algunas empresas de contabilidad todavía confían demasiado en la seguridad interna de IT o de terceros proveedores, pensando que no experimentarán una ciberpérdida. Sin embargo, todavía puede suceder.
El riesgo de confiar en la seguridad subcontratada es que los terceros proveedores tienen acceso a datos confidenciales en la empresa de contabilidad y son vulnerables a las violaciones de la seguridad por sí mismos. Las empresas de contabilidad deben ser muy cuidadosas con los contratos que establecen con los proveedores de tecnología de la información para protegerse en caso de que el proveedor experimente o cause una violación de los datos.
Por ejemplo, el tercer ataque cibernético más frecuente que han sufrido las empresas en los últimos 24 meses se debe al uso indebido o al intercambio de información confidencial de la empresa por parte de terceros. El principal culpable de los ataques sigue siendo la caída de los empleados en estafas de phishing (67%), según el Instituto Ponemon. Una encuesta reciente de Tenable preguntó a más de 2.400 profesionales de la informática y la ciberseguridad en seis países sobre las principales amenazas. La segunda más común era el malware.
Las pólizas de responsabilidad civil cibernética cubren muchos de los costos y honorarios legales asociados con una reclamación por violación de datos. Sin embargo, cada una es diferente; los delitos cibernéticos pueden quedar excluidos, y algunos no cubren a su proveedor de nube o a otros proveedores que puedan acceder a su sistema. Las pólizas de seguro tampoco pueden restaurar la reputación y la confianza.
Se espera que las amenazas cibernéticas se vuelvan más sofisticadas. Un artículo reciente de la MIT Technology Review señaló que las empresas tendrán que centrarse en métodos de cifrado más inteligentes, así como en la formación para detectar futuras estafas como los vídeos falsos y las comunicaciones de voz que parecen y suenan como una persona legítima pero no lo son.
Como mínimo, el conocimiento de las amenazas, una mayor capacitación del personal y la cobertura de los seguros pueden ayudar a manejar los impactos de las amenazas cibernéticas de los empleados y de terceros. Y, como siempre, piensa antes de hacer clic.