Guida alla sicurezza informatica per contabili e commercialisti

La frase "Meglio prevenire che curare" non è mai stata più vera per quanto riguarda la sicurezza fiscale. Basta chiedere ai professionisti di Deloitte Touche Tohmatsu Ltd., che si stanno ancora riprendendo da un attacco subito a fine settembre, la cui portata è ancora ignota. Gli hacker che hanno preso di mira Deloitte sono riusciti a ottenere l'accesso al cloud Microsoft Entra ID (Azure) dell'azienda perché l'account era protetto soltanto da un'unica password debole senza l'implementazione dell'autenticazione a due fattori.

Misure semplici per gli addetti alla contabilità per ottimizzare la sicurezza informatica

I sistemi informatici per la contabilità sono stracolmi di informazioni che interessano agli hacker. Per fortuna, la maggior parte degli attacchi può essere evitata mettendo in atto qualche semplice misura. Leggete questa guida per conoscere alcuni modi facili applicati da un gestore di password con cassetta di sicurezza digitale per impedire simili violazioni dei dati. I vostri clienti vi ringrazieranno.

1 Imponete rigide politiche sulle password

Sebbene gran parte dei prodotti software per l'amministrazione commerciale siano pensati per essere abbastanza sicuri, la regolamentazione degli accessi a tali sistemi ricade nelle mani dell'utente ed è proprio questo l'anello debole della sicurezza. È fondamentale che tutto ciò che contiene dati sicuri venga protetto da una password forte. Un gestore di password come Keeper, dotato anche di cassetta di sicurezza digitale, può creare in automatico delle password casuali ad elevata sicurezza che rendono il sistema difficilmente violabile.

Inoltre, un gestore di password consente agli amministratori di assegnare una password complessa a un dipendente senza che questi sia in grado di visualizzare i caratteri che la compongono. Il dipendente può quindi accedere ai servizi Web senza essere tentato di annotarsi la password o condividerla con altri dipendenti. Inoltre, se un dipendente lascia l'organizzazione, basterà eliminare o cambiare la voce della password.

2 Aumentate la sicurezza dei vostri documenti

Come nella maggior parte dei settori, le società di contabilità hanno portato online i loro documenti per una questione di maggiore velocità, efficienza e comodità. La differenza sta nel fatto che chi si occupa di contabilità conosce informazioni sui clienti estremamente riservate. Spesso i documenti che contengono tali dati vengono scaricati e conservati in locale come semplici file di testo non protetti. Inoltre, vengono condivisi internamente e con i clienti tramite e-mail, un mezzo notoriamente poco sicuro. Insieme, tali pratiche permettono a informazioni riservate di essere alla mercé degli hacker e dei loro fini fraudolenti.

Un metodo molto più sicuro è quello di condividere i file all'interno della cassetta di sicurezza crittografata di Keeper. Quando si condividono delle informazioni riservate, o internamente o con un cliente esterno, basterà posizionare il file all'interno della cassetta digitale e condividere la voce crittografata con chiunque abbia un account gratuito di Keeper.

3 Estendere le misure di sicurezza ai dispositivi in possesso dei dipendenti

Con l'aumento delle politiche BYOD e l'implementazione di smartphone e tablet in azienda, le società di contabilità devono assicurarsi che l'uso del dispositivo mobile di un dipendente non indebolisca la loro sicurezza informatica. Sebbene estremamente comodi, senza un'adeguata precauzione sulla sicurezza, i dispositivi in possesso dei dipendenti possono essere una pericolosa porta d'ingresso ai dati dei vostri clienti. Questo problema è sempre più diffuso, come illustrato nel resoconto 2018 State of SMB Cybersecurity (Stato della sicurezza cibernetica per PMI nel 2018) del Ponemon Institute, nel quale risulta che il 50% dei dati di un'impresa di piccole dimensioni è accessibile da uno smartphone.

Le società di contabilità non dovrebbero mai accedere o conservare informazioni sensibili su un dispositivo mobile a meno che questo sia protetto da un metodo di autenticazione a due fattori. Per amor di comodità, molte persone si proteggono usando un PIN semplice, meccanismi di pattern matching o i dati biometrici. Vari studi hanno dimostrato che i PIN e i pattern possono essere scoperti dall'osservazione umana o video e che persino i sistemi di riconoscimento facciale o dell'impronta digitale non forniscono alcuna protezione assoluta. Come minimo è necessario combinare i due elementi per proteggere adeguatamente un dispositivo mobile. Keeper DNA^® è stato sviluppato come metodo di autenticazione a due fattori avanzata per aggiungere la necessaria sicurezza del dispositivo ed è integrato in tutte le applicazioni per dispositivi mobili di Keeper.

Ulteriori informazioni sull'utilizzo di Keeper come gestore di password e cassetta di sicurezza digitale

• Iniziate subito una versione di prova gratuita di Keeper Gestore di password e cassetta digitale per aziende e professionisti
• Il futuro della tecnologia per la contabilità - Offrire soluzioni innovative per la sicurezza informatica: SlideShare
• Resoconto di ricerca esclusivo: Stato della sicurezza cibernetica per PMI nel 2018
• Leggete come in passato Keeper ha aiutato le società di servizi finanziari: caso di studio

4 Aumentate la sicurezza dei vostri documenti

L'e-mail è il punto vulnerabile principale. Come già detto in precedenza, le società di contabilità non dovrebbero utilizzare l'e-mail per inviare ai clienti le certificazioni e altri documenti, ma dovrebbero condividerli dall'interno di una cassetta di sicurezza crittografata. È ugualmente importante assicurarsi che il vostro personale in ufficio sia allertato sulla possibilità di attacchi di phishing, in particolare di "spear phishing", ovvero attacchi rivolti a persone specifiche. Contabili e revisori sono i bersagli principali a motivo del valore delle informazioni che detengono e gli hacker esperti in spear phishing sono talmente bravi a ingannare le loro prede che è quasi impossibile individuare le loro e-mail. Insegnate ai vostri colleghi a controllare l'origine degli indirizzi e-mail nei messaggi che ricevono e a non fare clic su un link a meno che siano davvero certi delle pagine che quel link aprirebbe.

Conservando tutte le credenziali di accesso dei dipendenti in un gestore di password, ci saranno meno probabilità che i dipendenti cadano in un'e-mail-tranello con metodo di phishing. Si abitueranno ad accedere usando URL e password nascoste e quando i dipendenti non sono a conoscenza della password vera e propria, non saranno nemmeno tentati a digitarla in un sito o un'e-mail di phishing.

5 Lavorate in remoto con intelligenza

Il telelavoro è aumentato drasticamente in tutti i settori. Che si tratti di lavorare da casa, viaggiare per lavoro o controllare la posta mentre si è in giro, ormai ai dipendenti si richiede la capacità di lavorare ovunque si trovino. Sebbene offra una flessibilità sempre maggiore, la possibilità di lavorare in mobilità crea anche sempre più occasioni per le violazioni dei dati.

Gli addetti alla contabilità non dovrebbero mai utilizzare servizi Wi-Fi pubblici per accedere o scambiare informazioni riservate. Gli hacker potrebbero tranquillamente entrare nei flussi di dati pubblici e intercettare le informazioni scambiate in formato di testo semplice. Se avete intenzione di usare un computer pubblico, investite i vostri soldi in un software VPN per la crittografia end-to-end o assicuratevi che tutte le informazioni scambiate rimangano all'interno della cassetta di sicurezza crittografata.

Quali informazioni di contabilità sono bersaglio degli attacchi degli hacker?

Chi si occupa di contabilità ha un "posto d'onore" speciale all'interno della comunità degli hacker perché conosce quel tipo di informazioni che controllano alcuni dei premi di maggior valore nel dark Web delle informazioni rubate. Sono pertanto i bersagli preferiti di ogni ladro informatico. Inoltre contabili e commercialisti sono particolarmente vulnerabili ai danni provocati da questi attacchi. I clienti si affidano a loro per il trattamento di informazioni altamente riservate e una qualsiasi violazione può avere effetti devastanti sulla reputazione di una società di contabilità.

I sistemi informatici per la contabilità sono stracolmi di informazioni che interessano agli hacker, tra cui:

Codici fiscali e/o numeri di partita IVA dei clienti

I criminali informatici possono utilizzare queste informazioni per mettere in atto tutta una serie di frodi e furti d'identità, come la registrazione di carte di credito con identità rubate e la messa a rischio di conti bancari e fascicoli sanitari tramite l'ingegneria sociale. Una volta che hanno accesso a determinate informazioni personali, sono già capaci di rovinare la vita della vittima.

Indirizzo, numero di telefono e data di nascita

Tutti campi standard di un modulo 1040, si tratta delle altre informazioni che gli hacker cercano per creare conti bancari fittizi e appropriarsi di quelli esistenti.

Nome del coniuge, dei figli, luogo di lavoro e reddito annuale

Per il furto dell'identità sono tutte informazioni utili che possono essere utilizzate per oltrepassare barriere di sicurezza come le domande di controllo. Insieme alle altre informazioni private menzionate in precedenza, gli hacker possono riuscire a ingannare il servizio clienti di un'azienda e ottenere accesso ai conti finanziari.

Fascicolo sanitario

I moduli 1099-HC e le ricette mediche forniscono una serie di informazioni che gli hacker possono utilizzare per attuare frodi assicurative o mediche. In realtà, i fascicoli sanitari fanno incassare tanti soldi nello scambio di informazioni rubate.

Informazioni sul datore di lavoro

I criminali che riescono ad accedere ai numeri di identificazione del datore di lavoro, alle informazioni dell'ufficio paghe e ai nomi dei contatti nel reparto amministrativo di un'organizzazione possono presentare note spese fraudolenti, fatture e richieste d'indennizzo assicurativo.

Registri finanziari

Solitamente nei documenti fiscali e finanziari di fine anno che i clienti consegnano ai loro commercialisti sono contenuti i numeri di conto corrente bancario. È consuetudine diffusa che i contribuenti condividano anche le ricevute dei pagamenti con carta di credito riportanti le informazioni relative. Tali informazioni possono essere utilizzate per mettere in atto truffe con assegni e carte di credito o per accedere ai conti tramite la cosiddetta "ingegneria sociale".

Indirizzi e-mail

Armati di numero di conto corrente e di indirizzo e-mail, gli hacker possono riuscire a sottrarre i conti bancari e di intermediazione online tramite una semplice procedura di "password dimenticata?". Anche gli indirizzi e-mail possono essere raggirati, consentendo ai criminali di inviare messaggi verosimili ad altre persone che sembrano provenire da un mittente legittimo.