Acest articol a apărut inițial în Rețeaua globală de informații a IFAC: www.ifac.org/Gateway. Vizitați Rețeaua pentru a găsi conținut adițional pe o varietate de teme legate de profesia contabilă.

Criminalitatea informatică amenință încrederea în mediul de afaceri – cum pot ajuta contabilii

de Sylvia Tsen, Director executiv, Informații, operațiuni și tehnologie, IFAC, și Stathis Gould, Director adjunct, Profesioniști contabili angajați, IFAC

Criminalitatea informatică amenință în fiecare zi încrederea și transparența în mediul de afaceri și guverne. În calitate de consumatori, contribuabili, furnizori sau alte părți interesate, ne întrebăm dacă putem avea încredere în organizații în ceea ce privește asigurarea unei protecții eficiente a datelor noastre. Publicul se așteaptă din ce în ce mai mult la o mai mare deschidere în legătură cu problemele de etică aferente breșelor de securitate cibernetică și în legătură cu modul în care sunt protejate datele personale.

În rolurile lor de protectori și administratori ai valorii, contabilii trebuie să se implice în soluțiile de securitate cibernetică, indiferent dacă acționează drept consultanți pentru clienții lor, într-o echipă financiar-contabilă sau într-un rol strategic sau operațional mai general.

Webinarul privind securitatea cibernetică organizat de IFAC prezintă perspective relevante privind aspectele pe care profesioniștii contabili trebuie să le aibă în vedere în legătură cu rolul pe care îl au în securitatea cibernetică. Acestea includ utilizarea aptitudinilor și a cunoștințelor lor pentru a proteja datele și informațiile, precum și pentru a raporta cu privire la programul și controalele asociate gestionării securității cibernetice a unei companii.

Peisajul securității cibernetice se schimbă rapid, pe măsură ce organizațiile stochează mai multe date, iar hackeri au mai multe oportunități de a pătrunde în sisteme. Consecințele breșelor de securitate, sub forma amenzilor și acțiunilor în justiție și, în final, a pierderii clienților, sunt, de asemenea, din ce în ce mai semnificative.

Al nouălea studiu privind costurile criminalității informatice realizat de Accenture și Institutul Ponemon arată că furtul de informații reprezintă cea mai costisitoare consecință a criminalității informatice, având totodată și cea mai rapidă creștere (deși datele nu reprezintă singura țintă). Companiile nu stau pe gânduri în ceea ce privește asigurarea clădirilor lor, însă, în multe situații, sunt expuse la pierderea și deteriorarea datelor pe care le dețin. În cel mai bun caz, datele furate, sistemele sparte și aplicațiile malware generează perturbări semnificative ale operațiunilor. În cel mai rău caz, este afectată reputația.

Întreprinderile trebuie să plece de la premisa că securitatea lor va fi compromisă. Pentru consiliile de administrație și alte părți interesate, securitatea cibernetică trebuie tratată ca un risc de afaceri semnificativ. Persoanele aflate în funcții de supraveghere sau conducere au nevoie, prin urmare, de mai multe informații cu privire la modul în care organizațiile pot gestiona securitatea cibernetică ca parte a programelor lor de gestionare a riscurilor.

Având în vedere că securitatea cibernetică reprezintă un risc de afaceri complex, multidimensional, este importantă implicarea directorilor și a conducerii în asigurarea unei abordări cuprinzătoare, orientate spre afaceri, care să integreze aspectele de securitate cibernetică în întregul proces decizional și în toate operațiunile care implică datele și rețelele de informații ale companiei.

Gestionarea holistică a riscurilor, în loc de o abordare fracționată, este singura modalitate eficientă de a trata un mediu de afaceri în continuă schimbare și amenințările și riscurile în permanentă evoluție care vizează oamenii, procesele și tehnologia din întreaga întreprindere. Implicarea tuturor nivelurilor unei organizații ajută la asigurarea existenței unui cadru general înțeles de toată lumea și a faptului că diferitele linii de apărare pot gestiona și atenua împreună, în permanență, riscurile de securitate cibernetică.

O abordare proactivă și pragmatică bazată pe riscuri implică identificarea lacunelor, concentrarea resurselor în vederea tratării principalelor amenințări și extinderea activităților de securitate cibernetică mai departe de simpla prevenire, pentru a include colectarea de informații, detectarea și reacția. Pașii principali includ înțelegerea rolurilor și capacităților de securitate cibernetică și identificarea, atenuarea și monitorizarea riscurilor specifice, cum ar fi riscurile asociate confidențialității datelor sau securității în cloud. Identificarea și atenuarea riscurilor cibernetice necesită cartografierea principalelor procese, sisteme și fluxuri de informații și evaluarea planului de remediere a riscurilor și a controalelor corespunzătoare, precum și monitorizarea continuă.

În ceea ce privește tratarea lacunelor substanțiale din nivelurile de securitate cibernetică, este important să fie identificate activele informaționale critice și să se asigure fundamentele corespunzătoare. Pentru multe organizații, aceasta înseamnă abordarea practicilor de securitate fundamentale, inclusiv firewalluri și Internet Gateways; configurații sigure; controlul accesului; protecție antimalware; și gestionarea patch-urilor (pachete de corectare). Disciplina de bază implică reacția la noile standarde și reglementări, înțelegerea punctelor slabe ale sistemelor cu tradiție și identificarea cazurilor în care ar putea fi utile investițiile în tehnologie.

Susținerea întreprinderilor mai mici este o oportunitate importantă pentru firme de a oferi consultanță de afaceri utilă. Profesionistul contabil consultant poate fi deosebit de important pentru:

• A ajuta clienții să își evalueze guvernanța și gestionarea riscurilor – întreprinderile mai mici tind să nu aibă cunoștințe solide de gestionare a riscurilor și control. Contabilii pot asigura o planificare adecvată pentru continuitatea activității și recuperarea în caz de dezastru, în special împotriva amenințărilor ransomware.
• A ajuta clienții să cuantifice riscurile și rentabilitatea investiției pe baza costului breșelor și datelor furate și a factorilor care afectează costul; și
• A ajuta la atenuarea riscurilor prin controale eficiente.

ICAEW oferă niște pași simpli pentru securitatea cibernetică pentru firmele mai mici. Pentru a ajuta contabilii în ceea ce privește gestionarea și atestarea riscurilor, inițiativa AICPA Controale ale sistemelor și organizațiilor (Soc) pentru securitatea cibernetică oferă bazele unei comunicări transparente și consecvente cu privire la eforturile de gestionare a riscului asociat securității cibernetice dintr-o organizație și ale creșterii încrederii părților interesate în informațiile întocmite de conducere cu privire la eforturile unei organizații în legătură cu securitatea cibernetică.

Cadrul general de raportare privind gestionarea riscului asociat securității cibernetice, un element cheie al SOC, include criteriile pe care conducerea trebuie să le folosească pentru descrierea programului de gestionare a riscului de securitate cibernetică al unei entități și componentele cheie ale raportului de atestare a securității cibernetice, care acoperă descrierea de către conducere a programului de gestionare a riscurilor din cadrul entității și declarația acesteia cu privire la eficacitatea operațională a controalelor pentru asigurarea realizării obiectivelor de securitate cibernetică, precum și componentele cheie ale raportului de atestare și raportul profesionistului contabil cu privire la acestea.

Impactul asupra cunoștințelor și aptitudinilor

Un rol sporit în securitatea cibernetică necesită o experiență, cunoștințe și aptitudini relevante. Pentru a permite contabililor să ofere servicii eficiente de gestionare a riscului de securitate cibernetică sau servicii de atestare, cunoștințele și aptitudinile necesare vizează următoarele domenii cheie:

• Sisteme și tehnologii It relevante, precum și capacitatea de a se menține la curent cu schimbările din mediul tehnologic și al sistemelor
• Înțelegerea proceselor și controalelor IT și evaluarea acestora
• Cunoașterea și experiența relevantă în ceea ce privește cadrele generale de securitate cibernetică
• Înțelegerea sectorului și a activității entității și măsura în care este expusă la tipuri specifice de riscuri de securitate cibernetică
• Crearea și implicarea unor echipe multidisciplinare, de exemplu, care includ profesioniști din domeniul securității informatice și auditori.

Profesionistul contabil trebuie, de asemenea, să acorde o atenție sporită principiilor de etică atunci când analizează măsurile care trebuie luate în cazul unei breșe de securitate fie în propria organizație, fie într-o organizație căreia îi oferă consultanță. Având în vedere obligația contabililor de a acționa in interesul public, ar putea fi necesară o informare publică, de exemplu, înștiințarea clienților cu privire la faptul că informațiile lor personale au fost expuse. Dacă a fost cerută o răscumpărare, ar putea fi necesar să se solicite sprijin și consiliere de specialitate.

Mai multe informații privind tratarea securității cibernetice sunt disponibile pe IFAC Gateway, inclusiv resurse elaborate de organismele membre IFAC.

Drepturi de autor © mai 2019 ale International Federation of Accountants (IFAC). Toate drepturile rezervate. Utilizat cu permisiunea IFAC. Contactați permissions@ifac.org pentru permisiunea de a reproduce, stoca sau transmite acest document.