Las empresas de contabilidad tienen una gran responsabilidad no sólo en la prestación de los servicios para los que hemos sido contratados, sino también en la protección de los datos que se nos confían contra los ataques cibernéticos. Desafortunadamente, mientras los datos estén alojados en nuestros ordenadores, estaremos bajo ataque.
Desde los correos electrónicos de phishing, hasta los malos actores que nos sondean y nos pinchan para encontrar debilidades que explotar, una ciberguerra está en marcha. ¿Qué estás haciendo para protegerte?
Hay innumerables formas de armar una defensa, pero hay cinco áreas críticas de las que las firmas de contadores públicos deben ser conscientes para mejorar su ciberseguridad:
- Autenticación de dos factores, también llamada autenticación multifactorial
- Gestión segura de contraseñas
- Transmisión y recepción seguras de datos sensibles
- Uso de un modelo de menor privilegio para asegurar los datos
- Colaboración entre los equipos de consultoría y los equipos internos de tecnología y seguridad
La autenticación de dos factores (2FA) es una capa de protección añadida para los inicios de sesión de los usuarios. Con 2FA en su lugar, se requiere un token físico, un mensaje de servicio de mensajes cortos, una aplicación de teléfono celular, una huella dactilar, etc., además de una contraseña para acceder a un sistema o servicio.
Con la publicación 800-63B del Instituto Nacional de Normas y Tecnología, publicada en junio de 2017, la 2FA debe estar en vigor para que se considere una autenticación fuerte, independientemente de la longitud de la contraseña, la complejidad o el período de rotación. Como probador de penetración de seguridad cibernética, robo contraseñas todas las semanas.
Si mi objetivo no usa el 2FA, tan pronto como obtenga una contraseña, revisaré sus correos electrónicos y me conectaré a la red y a otros recursos sensibles. Incluso si se usa 2FA, a menudo no está en todos los recursos externos o está configurado con fallas.
Muchas organizaciones pueden tener 2FA para su red privada virtual, pero no en el correo electrónico, que puede ser igual de sensible. La implementación de 2FA hace que comprometer una red sea más difícil para un atacante al añadir otra capa al proceso de autenticación.
Esperemos que, a estas alturas, seamos conscientes de lo que es una contraseña fuerte. Cuanto más larga sea la contraseña, mejor; la complejidad no importa tanto como la longitud. También necesitamos una contraseña única para cada cuenta. Hoy en día, tenemos tantas cuentas que es imposible recordar una contraseña única para cada una. Ahí es donde entran los administradores de contraseñas.
Un administrador de contraseñas es un servicio o software que almacena de forma segura las contraseñas y las protege utilizando una única y fuerte contraseña maestra y una autenticación multifactorial. En lugar de reutilizar la misma contraseña una y otra vez, utilice un administrador de contraseñas para generar y almacenar en una bóveda contraseñas fuertes creadas al azar.
Cuando necesitas acceso, los administradores de contraseñas ofrecen plug-ins para el navegador y aplicaciones móviles para que siempre tengas acceso fácil a tus contraseñas seguras. Los administradores de contraseñas nos permiten tener contraseñas fuertes y únicas para cada cuenta, lo cual es clave para que las contraseñas sean más difíciles de descifrar. Como beneficio adicional, los administradores de contraseñas reducen el número de restablecimientos de contraseñas que tienes que realizar para todas tus cuentas.
Otra amenaza que enfrentan los contadores públicos cada día es el uso descuidado del correo electrónico. El correo electrónico es una gran tecnología y un método de comunicación eficiente, pero no es seguro.
No puedo decirte cuántas contraseñas, escaneos de licencias de conducir, documentos de impuestos y otros tipos de información sensible y personal he encontrado durante las pruebas de penetración al revisar el correo electrónico. A menudo se descubre suficiente información en el correo electrónico para detener nuestras pruebas ahí mismo y aún así considerarlas una brecha de datos significativa.
Tengan en cuenta lo que comunican por correo electrónico. La forma más fácil de evitar que la información sensible se transmita por correo electrónico inseguro es proporcionar una alternativa y entrenar a sus empleados en cómo utilizarla.
Los clientes también necesitan ser manejados porque pueden proporcionar información sensible a través del correo electrónico. Tener un portal de clientes, una plataforma de mensajería segura u otro recurso fácil de usar para compartir información y archivos sensibles reduce la cantidad de datos sensibles que se transmiten por correo electrónico. Mejore aún más su transmisión de datos sensibles mediante soluciones como el software de prevención de pérdida de datos para bloquear el intercambio indebido de información sensible.
A pesar de sus precauciones, todavía puede ser posible que un mal actor obtenga acceso a una red. Si una cuenta está comprometida, el atacante tiene el mismo acceso que un empleado. Por eso es importante utilizar un modelo de menor privilegio cuando se trata de políticas de acceso a datos y sistemas.
Proporcionar a cada empleado el acceso sólo a los sistemas y recursos requeridos por la función de trabajo del empleado y nada más. El menor privilegio puede limitar el acceso de un atacante si logra entrar en su sistema, y puede proporcionar más tiempo para que la defensa de su empresa detecte y reaccione ante un atacante antes de que se hayan alcanzado mayores niveles de compromiso.
Algunas empresas prestan servicios de consultoría en materia de seguridad de la información, como pruebas de penetración o consultoría de seguridad general. Si esto se aplica a usted, ¿su equipo de consultoría trabaja con los equipos internos de tecnología y seguridad de la empresa?
Si no, la empresa se pierde el asesoramiento de sus propios profesionales de la consultoría que se ocupan de la seguridad en una amplia gama de clientes. Probablemente saben lo que funciona y lo que no funciona cuando se trata de seguridad, y podrían ser capaces de proporcionar una valiosa información a los equipos internos de la empresa que no interactúan externamente tanto.
Pensamientos finales
Es fácil abrumarse y sentir que no hay nada que podamos hacer para prevenir los ciberataques. Pero si damos un paso atrás y descomponemos la seguridad en trozos digeribles, podemos seguir madurando y aumentar la seguridad que nos proporcionamos a nosotros mismos y a nuestros clientes.
El artículo original apareció en el Pennsylvania CPA Journal.
Artículos relacionados
Ciberseguridad para los profesionales de la contabilidad
Cómo responder a ser secuestrado