En el tercer trimestre de 2024, un promedio de 1.876 ataques cibernéticos Por organización se registró, marcando un aumento del 75% en comparación con el mismo período en 2023 y un aumento del 15% del trimestre anterior.
Y la amenaza no se desacelera en el corto plazo.
Se predice que el delito cibernético le costará al mundo $ 10.5 billones anuales para 2025 (Fuente: Accenture, 2021). Ya no es solo un gran problema empresarial. Lo que he notado en los últimos años es que las pequeñas y medianas empresas están cada vez más en el radar precisamente porque a menudo creen que son demasiado pequeños para ser atacados. Y esa ilusión les está costando a lo grande.
He pasado más de dos décadas trabajando con las PYME indias y si hay un patrón que he visto constantemente, es que las empresas se apresuran a cambiar a la conveniencia de las soluciones en la nube sin reconocer los riesgos de seguridad que conlleva. Y cuando se trata de soluciones en la nube, la contabilidad en la nube se está convirtiendo en una de las principales opciones para su flexibilidad, automatización y escala. Pero nada de eso importa si sus datos financieros no son seguros. Y muchas veces, no son solo fugas de datos o hacks externos, sino las brechas internas los que causan el mayor daño de seguridad.
Un joven propietario de un negocio que dirige una firma de servicios en crecimiento con sede en Bangalore había hecho la transición a un sistema de contabilidad basado en la nube pero no pudo implementar la autenticación multifactor (MFA). Cuando una de las credenciales de correo electrónico de sus contadores se vio comprometida en un ataque de phishing, el atacante obtuvo acceso no autorizado al tablero de contabilidad. La violación no se detectó durante días. Los pagos de los proveedores se redirigieron y se exfiltraron los datos financieros confidenciales. Una vez que implementaron las verificaciones de seguridad correctas y habilitaron los controles de acceso basados en roles (RBAC) para limitar la visibilidad y los privilegios de transacciones, desde entonces, no ha habido otra violación.
Esta es la razón por la cual la seguridad de múltiples capas en un sistema de contabilidad basado en la nube no es opcional. Comience con MFA. Es una medida simple pero crítica para prevenir inicios de sesión no autorizados.
Pero la seguridad no se trata solo de amenazas desde afuera. En muchos casos, he visto que la vulnerabilidad vino desde adentro debido a errores involuntarios o, en algunos casos, el mal uso de alguien con demasiado acceso. Es por eso que el control de acceso basado en roles (RBAC) es crítico. Cada miembro del equipo debe tener acceso solo a los datos que necesitan y nada más. La capacidad de definir el acceso por departamento o tipo de usuario debe ser una característica no negociable en cualquier sistema de contabilidad.
Dicho esto, incluso el perímetro más fuerte necesita un mantenimiento regular. Las amenazas de ciberseguridad evolucionan rápidamente, y si su software no está actualizado regularmente, estás jugando con fuego. Un solo parche perdido puede dejarlo vulnerable a las exploits conocidas. Recuerdo un negocio minorista que fue golpeado por una vulnerabilidad conocida que había sido reparada meses antes, pero no habían actualizado su software. La violación era prevenible. Por lo tanto, asegúrese de que su proveedor presione actualizaciones oportunas y, lo que es más importante, que su equipo las instale sin demora.
Junto con eso, si tuviera que nombrar una cosa que pueda salvar un negocio durante una crisis, son copias de seguridad de datos oportunos. No solo exportaciones semanales sino también de copias de seguridad automáticas programadas que viven en servidores seguros y fuera del sitio. Durante las inundaciones de Kerala en 2018, uno de nuestros clientes tuvo daño físico a sus sistemas, pero debido a que su solución de contabilidad en la nube respaldaba datos 4 veces al día, pudieron reanudar las operaciones desde una ubicación remota sin pérdida de datos.
El phishing es otra amenaza persistente, a menudo dirigida a empleados desprevenidos con facturas falsas, páginas de inicio de sesión o solicitudes de pago. Un clic en un enlace de factura falso, y todo su sistema puede verse comprometido. Es por eso que la capacitación en curso para los empleados es tan importante como su firewall.
Todo esto, por supuesto, debe operar dentro del marco del cumplimiento regulatorio. Ya sea que se trate de la Ley de TI de la India, GDPR para empresas globales o PCI-DSS para aquellos que manejan los pagos con tarjeta, el cumplimiento no se trata solo de evitar multas sino también de construir confianza. Su sistema de contabilidad debe estar listo para la auditoría, con registros claros, historial de acceso y senderos seguros de documentos.
Incluso con la mejor tecnología y reglas de cumplimiento, su sistema es tan fuerte como su usuario menos informado. La capacitación en ciberseguridad es para todos, y ya es hora de que las empresas lo enfaticen. Su contador, su cajero, su líder de marketing: todos los que tocan los datos comerciales deben conocer los conceptos básicos de la higiene cibernética porque un clic descuidado puede reducir todo.
Mirando hacia el futuro, la IA y el aprendizaje automático desempeñarán un papel creciente en la ciberseguridad. Detección de amenazas predictivas, alertas basadas en anomalías, biometría conductual: estas características ya no son ideas futuristas. Algo de esto ya está integrado en sistemas de contabilidad avanzados que marcan la actividad sospechosa, como inicios de sesión de nuevas ubicaciones o patrones de transacción poco característicos.
La pregunta no es si Contabilidad basada en la nube es seguro. La pregunta es si su configuración de contabilidad en la nube es lo suficientemente segura. Y si no está seguro de responder eso, es hora de reevaluar sus sistemas antes de que un atacante lo haga por usted.
