Los directores financieros deben convertirse en expertos en seguridad de TI

“Falta un millón de dólares de la cuenta bancaria”, le dijo suavemente el contador de Kevin, mirando a su alrededor para asegurarse de que nadie esté escuchando. “Parece que alguien hackeó el sistema AP y envió pagos por cable a China”. La noticia hizo que a Kevin se le revolviera el estómago… como director financiero de la empresa, sabía que la empresa estaba al borde de la insolvencia y que esto podría ser un golpe fatal. De todas las cosas que podrían haberlos empujado al límite, nunca imaginó que serían los piratas informáticos. Kevin se convirtió en uno de nuestros clientes de transformación empresarial (el nombre cambió por el anonimato) y se vio obligado a realizar una costosa reestructuración debido a la falta de supervisión de TI. Su historia es trágicamente común. Kevin estaba concentrado en los aspectos fundamentales de la empresa: gestión de la pandemia, control de costes, crecimiento de las ventas, déficit de caja, etc.

La digitalización de la contabilidad

El director financiero original era el jefe del extenso departamento de contabilidad: administraba a cientos de empleados en un sistema de comando y control. Sus equipos pasaron miles de horas contando registros en papel, utilizando máquinas de sumar para agregar cifras y registrando transacciones en sistemas de contabilidad basados ​​en servidores. Eran verdaderamente contadores de frijoles y su práctica requería trabajo duro y disciplina. El director financiero controlaba este departamento con experiencia y autoridad.

¿Cómo previno el fraude un director financiero? Considere los pagos de facturas de proveedores. Cuando comenzó su carrera hace 25 años, Kevin controló el fraude de AP al:

• Bloqueo de existencias de cheques en una bóveda u oficina con acceso limitado.
• Exigir dos firmas en los cheques.
• Requerir una coincidencia de tres vías en facturas, recibos y órdenes de compra.
• Emitir límites de gastos discretos para todo el personal.

Dos empleados trabajaban todos los días haciendo coincidir el papeleo para cumplir con los estrictos requisitos de Kevin. Y Kevin era el mejor guardián, literalmente sosteniendo la llave de la habitación con cheques. Pero el mundo de Kevin era caro y lento. Imagine el desperdicio: los empleados con educación universitaria literalmente unen trozos de papel, los engrapan y los mueven a la bandeja de entrada de otra persona. Día tras día.

En el mundo moderno de la contabilidad, el software de contabilidad en la nube automatiza la recopilación de datos a través de integraciones. La comparación de transacciones se realiza instantáneamente mediante AI. Los deberes de un CFO son la transición de administrar personas y ecuaciones a administrar sistemas de TI y acceso.

Kevin digitalizó su proceso de pago AP hace cinco años, eliminando efectivamente un FTE y acelerando los pagos a los proveedores en 7 días. Ahora su negocio no tiene stock de cheques. La sala cerrada que solía contener cheques ahora está abierta y se usa como sala de descanso.

Amenazas de fraude fuera del departamento de contabilidad

Los viejos controles de candado y llave de Kevin fueron diseñados para prevenir el fraude interno: los empleados (generalmente contadores) robaban a la empresa. Los forasteros apenas eran una amenaza de fraude, ya que no podían entrar al edificio, dejar la habitación con cheque de stock. Pero el mundo digital no es tan simple…

El contador de Kevin, Joe, viajaba por trabajo y tenía una escala de 3 horas en el aeropuerto de Dallas. Se conectó al Wifi del aeropuerto y utilizó el tiempo para ponerse al día con los correos electrónicos y emitir pagos a los proveedores. Joe no sabía que la red Wifi llamada “Free-DFW-Wifi” era en realidad una farsa: un punto de acceso de piratas informáticos destinado a atraer a viajeros de negocios como Joe. Una vez conectado, el pirata informático supervisó el 100% del tráfico web de Joe, incluidos sus inicios de sesión y contraseñas. Unas semanas más tarde, se transfirieron más de un millón de dólares de la cuenta bancaria utilizando las credenciales robadas de Joe.

Todo el asunto podría haberse evitado usando una conexión VPN o enseñándole a Joe a reconocer las estafas de piratas informáticos comunes. Joe no tenía las herramientas ni los conocimientos y, sin darse cuenta, entregó la clave del sistema AP.

Mitos sobre el fraude que los directores financieros se dicen a sí mismos

El fraude de piratas informáticos es como un accidente automovilístico: estadísticamente es poco probable que ocurra, pero es fatal si no usa el cinturón de seguridad. Nos subimos a nuestros autos todos los días y nos ponemos los cinturones de seguridad aunque no esperamos tener un choque. Del mismo modo, un director financiero debería invertir tiempo de forma rutinaria en seguridad de TI, aunque no espere tener un accidente.

Desafortunadamente, la mayoría de los directores financieros actúan como Kevin y subestiman el riesgo de fraude de piratas informáticos. Esta cultura de ignorancia es perpetuada por una serie de mitos que los directores financieros se cuentan a sí mismos.

Mito: los piratas informáticos se dirigen principalmente a las grandes corporaciones, no a las pequeñas empresas. Realidad: Más del 55% de las infracciones ocurren en pequeñas empresas, el 93% de las cuales están motivadas financieramente.

Mito: la contratación de expertos en TI, como los proveedores de servicios gestionados (MSP), garantizará la protección de su empresa.

Hecho: Contratar a un MSP de buena reputación no solucionará su mayor vulnerabilidad: sus empleados. También tenga en cuenta que el reciente hackeo de Kaseya se perpetuó a través del software MSP.

Mito: Mi empresa no tiene datos valiosos como números de seguridad social, por lo que no somos un objetivo para los piratas informáticos.

Realidad: El robo de datos es solo una forma de delito de piratas informáticos. El fraude de AP es igualmente desenfrenado y no tiene nada que ver con datos de identificación personal (PII).

Mito: Mi equipo de TI está gestionando la seguridad, por lo que mi director financiero debería centrarse en las finanzas.

Realidad: Su equipo de TI no tiene autoridad sobre los sistemas de pago AP, un objetivo común del fraude.

Qué tan buenos directores financieros gestionan el riesgo de fraude en Internet

Estas son las buenas noticias: cuando se administran correctamente, los sistemas de pago y contabilidad en la nube son en realidad más seguros que los sistemas tradicionales basados ​​en papel. Pero la seguridad del sistema depende de la configuración y el mantenimiento adecuados. ¿Qué nivel de conocimientos digitales tiene su director financiero? Estas son las mejores prácticas que debe seguir un director financiero para gestionar el riesgo de estafadores en Internet:

Estudie ejemplos de fraude y eduque al personal. Capacite a su personal para identificar el fraude cuando lo vean. Los directores financieros deben estudiar los esquemas de fraude de piratas informáticos, como phishing, spear phishing, sistemas Wifi falsos y facturas de proveedores falsas. (Lea aquí más ejemplos de fraudes comerciales). Más importante aún, deben realizar capacitaciones periódicas para los empleados para compartir sus conocimientos.

Implemente una administración de contraseñas sólida y 2FA. La generación de contraseñas únicas sólidas con autenticación de 2 factores habilitada para teléfonos celulares evita que las vulnerabilidades se propaguen sin control. Un software económico como Lastpass y 1password facilitan esta tarea.

Implemente una coincidencia de 3 vías en los sistemas AP. Con demasiada frecuencia veo que las pequeñas empresas configuran sistemas AP sin los controles y contrapesos adecuados para evitar el fraude. Consulte el sitio web de su software de AP o un contador forense para asegurarse de que su software esté configurado correctamente.

En caso de duda, levante el teléfono. Los piratas informáticos se aprovechan de nuestra dependencia de los correos electrónicos. Los piratas informáticos chinos utilizaron un simple correo electrónico para engañar al fabricante de juguetes Matel para que regalara $ 3 millones. Antes de enviar una transferencia, cambiar la información ACH de un proveedor o crear un nuevo archivo de proveedor, es mejor levantar el teléfono y hablar con alguien para confirmar la solicitud.

Adquiera el plan de seguro contra fraude y robo de datos adecuado. El seguro puede ser una herramienta útil para compensar los gastos de robo o recuperar parcialmente el dinero perdido, pero muchas pólizas de seguro no cubren lo que usted cree que deberían cubrir. Trabaje con su corredor de seguros para buscar el nivel de cobertura adecuado.