Dyrektorzy finansowi i cyberbezpieczeństwo — największe zagrożenia i metody przeciwdziałania
Mark Jackley | Strateg ds. treści | 27 marca 2024 r.
Ze względu na poważne ryzyko finansowe, jakie niosą ze sobą cyberataki dla większości przedsiębiorstw, dyrektor finansowy odgrywa ważną rolę w obszarze cyberbezpieczeństwa. Ściśle współpracuje z dyrektorem ds. bezpieczeństwa informacji (CISO), aby nadać priorytety potencjalnym zagrożeniom na podstawie związanego z nimi ryzyka finansowego, odpowiednio dbać o zabezpieczenia i ostatecznie pomagać w minimalizowaniu skutków tych zagrożeń.
Dlaczego dyrektor finansowy powinien dbać o cyberbezpieczeństwo?
Cyberataki mogą kosztować przedsiębiorstwo na wiele sposobów. Według przeprowadzonego przez IBM i Ponemon Institute badania średni koszt naruszenia bezpieczeństwa danych w przedsiębiorstwach na całym świecie wyniósł w 2023 r. 4,45 mln USD. Z raportu Verizon Data Breach Investigations Report 2023 wynika, że prawie 95% ataków przeprowadzono w celu uzyskania korzyści finansowych, a nie z pobudek politycznych, społecznych lub osobistych.
Ulubionym celem ataków są dane poufne, w tym numery kart kredytowych klientów i hasła sieciowe pracowników. Celem jest również kradzież zwykłej gotówki za pomocą fałszywych faktur od dostawców, oszustw płacowych i ataków z użyciem oprogramowania wymuszającego okup. Z przeprowadzonego w 2023 r. przez Deloitte Center for Controllership badania wynika, że prawie połowa członków ścisłego kierownictwa uważa, że ataki na dział księgowości i dział finansowy będą się nasilać. Do tego dochodzą koszty finansowe związane z utratą reputacji organizacji w wyniku naruszenia zabezpieczeń.
Nowe przepisy Amerykańskiej Komisji Papierów Wartościowych i Giełd (SEC) również przykuwają uwagę dyrektorów finansowych. Komisja SEC przyjęła przepisy wymagające od spółek publicznych przekazywania inwestorom „użytecznych decyzyjnie” informacji na temat incydentów związanych z cyberbezpieczeństwem oraz do okresowego przekazywania najnowszych informacji o swoich programach cyberbezpieczeństwa. Przepisy te wydają się również wymagać, aby SEC była powiadamiana w ciągu czterech dni od stwierdzenia przez przedsiębiorstwo, że dany incydent związany z cyberbezpieczeństwem jest „istotny”, czyli taki, który większość inwestorów uznałaby za ważny.
Kolejną istotną ustawą jest ustawa FISMA (Federal Information Security Management Act), która nakłada na agencje federalne obowiązek przygotowania, udokumentowania i wdrożenia środków bezpieczeństwa obejmujących całą agencję. Zapewnienie zgodności z przepisami prawa leży głównie w gestii dyrektora ds. bezpieczeństwa informacji, ale dyrektor finansowy organu administracji rządowej również musi o tym pamiętać.
Kluczowe wnioski
- Jako specjalista ds. zarządzania ryzykiem, dyrektor finansowy powinien współpracować z dyrektorem ds. bezpieczeństwa informacji w celu ustalenia priorytetów dla cyberzagrożeń i środków obrony na podstawie ryzyka finansowego dla przedsiębiorstwa.
- Aby ocenić ryzyko cyberataków, dyrektor finansowy musi zdobyć solidną wiedzę na temat technik cyberataków, a także strategii i technologii stosowanych do ich zwalczania.
- Coraz częściej dyrektor finansowy współtworzy plany cyberbezpieczeństwa, dokonuje przeglądu budżetów bezpieczeństwa i monitoruje efektywność działań mających na celu zapewnienie bezpieczeństwa.
Charakterystyka związku między dyrektorem finansowym a cyberbezpieczeństwem
Dyrektor finansowy nie jest specjalistą od cyberbezpieczeństwa, ale jest specjalistą od zarządzania ryzykiem. To czyni go naturalnym sprzymierzeńcem dyrektora ds. bezpieczeństwa informacji, który odpowiada za ochronę systemów i danych przedsiębiorstwa. Z dyrektorem finansowym należy konsultować plany dotyczące cyberbezpieczeństwa, upewniając się, że uwzględniają one ogólne ryzyko finansowe dla danego przedsiębiorstwa. Że wystarczająco chronią systemy, które przetwarzają i przechowują najbardziej wrażliwe i cenne dane przedsiębiorstwa. Że pomagają pracownikom w całej organizacji wykrywać fałszywe wiadomości e-mail, fałszywe połączenia telefoniczne i inne oszustwa. Jako główny strażnik procesu zarządzania ryzykiem, dyrektor finansowy musi mieć pewność, że poziom cyberzagrożeń w przedsiębiorstwie jest akceptowalny.
Dyrektor finansowy ma również wynikające z przepisów zobowiązania sprawozdawcze, które obejmują cyberbezpieczeństwo. Musi być ściśle zaangażowany w przestrzeganie zasad określonych m.in. przez SEC, ogólne rozporządzenie o ochronie danych osobowych Unii Europejskiej oraz przyjętą w Kalifornii ustawę o ochronie prywatności konsumentów. Dyrektor finansowy współpracuje z radcami prawnymi, audytorami wewnętrznymi, dyrektorami ds. bezpieczeństwa informacji i innymi osobami w celu zapewnienia zgodności z przepisami. Ponadto odpowiada na pytania rady dyrektorów dotyczące ujawniania wszelkich incydentów związanych z cyberbezpieczeństwem, a także corocznych raportów na temat zarządzania, strategii i nadzoru w obszarze cyberbezpieczeństwa.
Dążąc do zapewnienia zgodności, dyrektor finansowy musi wyważyć szereg kluczowych czynników. Na przykład SEC wymaga ujawnienia wszelkich „istotnych incydentów”, które inwestorzy uznaliby za ważne. Rzecz jasna dyrektor finansowy używa miar finansowych na potrzeby decydowania o tym, co jest istotne i co w związku z tym należy ujawnić, ale powinien również uwzględniać czynniki bardziej jakościowe, takie jak wpływ na reputację przedsiębiorstwa nawet niewielkiego ataku na dane klientów.
Pięć największych zagrożeń związanych z cyberbezpieczeństwem dla dyrektora finansowego
W dzisiejszym świecie biznesu opartym na Internecie wektory zagrożeń dostępne dla cyberprzestępców rozszerzają się, ponieważ przedsiębiorstwa wdrażają aplikacje szybciej i dla większej liczby użytkowników niż kiedykolwiek wcześniej. Ponadto przedsiębiorstwa coraz częściej integrują aplikacje z systemami dostawców, partnerów i innych podmiotów zewnętrznych.
Niezależnie od atakowanych środowisk, przestępcy zawsze testują nowe sposoby omijania cyberzabezpieczeń. Dyrektor finansowy nie musi orientować się w każdym niuansie technicznym, ale musi znać najbardziej skuteczne techniki stosowane przez atakujących. Wiele ataków to odmiany podanych poniżej pięciu podstawowych typów.
1. Naruszenie bezpieczeństwa służbowej poczty elektronicznej
Naruszenie bezpieczeństwa służbowej poczty elektronicznej (business email compromise, BEC) to cyberatak wykorzystujący pocztę elektroniczną do manipulowania odbiorcami. Na przykład atakujący próbuje nakłonić odbiorcę do wysłania pieniędzy za pomocą fałszywego żądania przelewu środków lub fałszywej faktury od dostawcy. Ataki BEC są zazwyczaj wymierzone w dział księgowości, dział finansowy, dział zaopatrzenia i dział płacowy. BEC to odmiana ataku phishingowego. Celem innych ataków phishingowych jest nakłonienie odbiorców do ujawnienia haseł, podania numerów kart kredytowych lub kliknięcia złośliwych łączy.
Z danych firmy Abnormal Security, która zajmuje się bezpieczeństwem poczty elektronicznej, wynika, że w pierwszej połowie 2023 r. liczba ataków BEC wzrosła o 55% w porównaniu z pierwszą połową 2022 r.
2. Atak na łańcuch dostaw
Jak sama nazwa wskazuje, celem tego typu ataków jest coś, co przedsiębiorstwo kupuje od dostawców, zazwyczaj oprogramowanie. Wykorzystując podatności oprogramowania, atakujący może uzyskać niewidoczny dostęp do danych przedsiębiorstw używających danego oprogramowania. Chodzi tu m.in. o dostęp do prywatnych sieci, w tym do własności intelektualnej, danych klientów i innych zasobów informacyjnych przedsiębiorstwa.
3. Publicznie dostępna baza danych
Publicznie dostępna baza danych to baza danych, która obsługuje publiczną witrynę internetową lub aplikację, ale nie chronią jej takie środki bezpieczeństwa, jak wymóg podania danych uwierzytelniających, bezpieczna konfiguracja, odpowiednie ustawienia zabezpieczeń lub nadzór nad wdrażaniem baz danych, co czyni ją łatwym łupem dla przestępców. Upowszechnienie się pracy zdalnej podczas pandemii COVID-19 przyczyniło się do wzrostu ilości niezabezpieczonych danych i związanych z tym ataków. W 2023 r. singapurska firma z branży zabezpieczeń, Group IB, odkryła prawie 400 tys. takich baz danych w otwartej sieci. Z jej ustaleń wynika, że dowiedziawszy się o problemie, właściciele baz danych potrzebowali średnio 170 dni na jego naprawienie, narażając się na naruszenia bezpieczeństwa danych i dalsze ataki na pracowników lub klientów. W przeprowadzonym w 2022 r. przez firmę Kroll badaniu dotyczącym bezpieczeństwa 53% przedsiębiorstw stwierdziło, że ataki na odsłonięte bazy danych doprowadziły do naruszenia bezpieczeństwa ich sieci.
4. Zagrożenia ze strony osób z wewnątrz
Stanowiąca zagrożenie osoba z wewnątrz (insider) to pracownik, były pracownik, wykonawca, dostawca lub inna osoba, której specjalny dostęp do systemów i sieci przedsiębiorstwa może stanowić zagrożenie dla bezpieczeństwa tegoż przedsiębiorstwa. Osoby takie można podzielić na dwie kategorie: osoby z wewnątrz działające umyślnie w celu doprowadzenia do awarii systemów przedsiębiorstwa i kradzieży jego danych, oraz osoby z wewnątrz, które nieumyślnie tworzą lukę w zabezpieczeniach, ponieważ brakuje im odpowiedniego przeszkolenia z zakresu bezpieczeństwa lub po prostu nie przestrzegają procedur. Średni łączny koszt incydentu związanego z zagrożeniem ze strony osób z wewnątrz przedsiębiorstwa wzrósł z 15,4 mln USD w 2022 r. do 16,2 mln USD w ubiegłym roku (według badań przeprowadzonych przez IT DTEX Systems i Ponemon Institute na podstawie próby przedsiębiorstw z różnych branż i o różnej wielkości).
5. Oprogramowanie wymuszające okup
Oprogramowanie wymuszające okup (ransomware) to odmiana złośliwego oprogramowania, które atakujący wykorzystują do zaszyfrowania danych przedsiębiorstwa, często za pośrednictwem zainfekowanego oprogramowania lub fałszywych wiadomości e-mail, aby następnie zażądać okupu za odszyfrowanie tych danych. Po aktywacji oprogramowania wymuszającego okup pracownicy nie mogą uzyskać dostępu do kluczowych systemów i danych, nie są w stanie pracować, a operacje ustają, dopóki przedsiębiorstwo nie zapłaci żądanego okupu i dostęp nie zostanie przywrócony do poprzedniego stanu. Niektóre przedsiębiorstwa uważają, że zapłacenie okupu jest mniej kosztowne niż przestój operacyjny, zwłaszcza jeśli ubezpieczenie na wypadek cyberataków pokrywa część strat. Niemniej jednak nie ma gwarancji, że po zapłaceniu atakujący przekaże klucz deszyfrujący dane. Według dostawcy zabezpieczeń, firmy Sophos, średni okup za odszyfrowanie danych w związku z atakiem ransomware w 2023 r. wyniósł 1,54 mln USD W październiku ubiegłego roku Counter Ransomware Initiative, kierowana przez Stany Zjednoczone grupa organizacji z administracji rządowych 50 krajów, podjęła zobowiązanie, że jej członkowie nigdy nie zapłacą okupu cyberprzestępcom.
| Cyberataki — najważniejsze statystyki |
|---|
| 55% Procentowy wzrost liczby ataków BEC od stycznia do czerwca 2023 r. |
| 138 mld USD Szacowany globalny koszt ataków na łańcuch dostaw w 2023 r. |
| 74% Procent organizacji uznanych za umiarkowanie lub niezwykle podatne na zagrożenia ze strony osób z wewnątrz w 2023 r. |
| 1,54 mln USD Średni okup związany z atakiem ransomware w 2023 r. |
Źródła: Abnormal Security, Cybersecurity Insiders, Sophos
Rola dyrektora finansowego w obszarze cyberbezpieczeństwa
Oprócz współpracy z dyrektorem ds. bezpieczeństwa informacji w celu ustalenia priorytetów w zakresie cyberzagrożeń, dyrektor finansowy coraz częściej pomaga mu w przygotowaniu planu bezpieczeństwa, sporządzeniu budżetu bezpieczeństwa oraz monitorowaniu wydajności i przygotowań w kontekście bezpieczeństwa.
Zrozumienie cyberzagrożeń
Aby zrozumieć zagrożenia dla cyberbezpieczeństwa, dyrektorzy finansowi nadają im priorytety na podstawie ryzyka finansowego. Oznacza to na przykład współpracę z dyrektorami ds. bezpieczeństwa informacji w celu zapewnienia, że kluczowe aplikacje, zwłaszcza aplikacje zarządzające wrażliwymi danymi i płatnościami, są odpowiednio zabezpieczone. Czy różne role wymagają różnych poziomów uprawnień dostępu do danych i przeprowadzania transakcji (zasada minimalnych uprawnień)? Na przykład kierownik ds. łańcucha dostaw może potrzebować uprawnień dostępu do systemu zaopatrzenia w celu dokonywania lub zatwierdzania transakcji. Specjalista ds. księgowości może nie potrzebować uprawnień dostępu do tego systemu, ale potrzebuje uprawnień dostępu do systemów księgowych i finansowych. Analogicznie, tylko upoważnieni pracownicy powinni konfigurować płatności dla dostawców.
Aplikacje o wysokim priorytecie bezpieczeństwa można znaleźć w dziale księgowości i dziale finansowym (należności i zobowiązania), dziale ds. łańcucha dostaw (zaopatrzenie) i dziale kadr (wynagrodzenia). W niektórych branżach, np. w usługach finansowych i opiece zdrowotnej, ochrona aplikacji przetwarzających dane klientów lub pacjentów jest szczególnie ważna.
„Cyberbezpieczeństwo nie ma charakteru uniwersalnego” — powiedział Aman Desouza, starszy dyrektor ds. produktów w Oracle, który wcześniej kierował strategiami w zakresie nadzoru, ryzyka i zgodności w Broadridge Financial Solutions, globalnej firmie z branży technologii finansowych. „Niektóre aplikacje są o wiele ważniejsze od innych. Dyrektorzy ds. bezpieczeństwa informacji powinni współpracować z dyrektorami finansowymi, a czasem także z innymi członkami ścisłego kierownictwa, aby określić priorytety ryzyka dla przedsiębiorstwa i chronić jego najcenniejsze aktywa. Czasami dyrektor finansowy powinien też zakwestionować sposób myślenia dyrektora ds. bezpieczeństwa informacji”.
Oceniając potencjalny wpływ ataków, dyrektor finansowy nie powinien skupiać się wyłącznie na bezpośrednich szkodach finansowych. Musi też uwzględniać trwały wpływ tych ataków na produktywność, reputację marki, relacje z klientami i zgodność z przepisami prawa.
Przygotowanie planu na rzecz cyberbezpieczeństwa
Przedsiębiorstwa różnią się pod względem struktury, niemniej planowanie na rzecz cyberbezpieczeństwa to wysiłek międzyfunkcyjny, który zazwyczaj spoczywa głównie na dyrektorze ds. bezpieczeństwa informacji (CISO). Cyberataki stanowią jednak poważne zagrożenie dla wyników finansowych, dlatego dyrektor ds. bezpieczeństwa informacji powinien podczas przygotowywania wspomnianego planu konsultować się z dyrektorem finansowym. Zgodnie z nowymi przepisami SEC, dyrektor finansowy amerykańskiej spółki notowanej na giełdzie jest również zobowiązany do uwzględnienia w swoich raportach rocznych określonych informacji dotyczących cyberbezpieczeństwa w kontekście zarządzania ryzykiem, strategii i nadzoru, musi zatem ściśle współpracować w tym zakresie z CISO.
Wszystkie plany powinny zawierać ocenę ryzyka związanego z cyberzagrożeniami. Dyrektor finansowy ocenia ryzyko związane z cyberzagrożeniami na podstawie różnych danych oraz potencjalnych kosztów prawnych i kosztów utraty reputacji wynikających z incydentów z zakresu bezpieczeństwa. Ponadto dyrektor finansowy uwzględnia ryzyko związane z outsourcingiem magazynów danych wrażliwych, a zwłaszcza jego implikacje w zakresie ubezpieczenia od cyberzagrożeń oraz ryzyko niezgodności z przepisami SEC lub innymi przepisami.
Kolejnym kluczowym aspektem planowania jest ocena bieżących narzędzi i procesów bezpieczeństwa. Dyrektor ds. bezpieczeństwa informacji ocenia takie narzędzia pod kątem ich funkcji technicznych. Dyrektor finansowy chce się dowiedzieć, że takie narzędzia i powiązane z nimi procesy mogą chronić cenne aktywa, a zwłaszcza aplikacje do obsługi procesów finansowych i płatniczych. Dzięki analizie kosztów i korzyści dyrektor finansowy może również ocenić inwestycje w technologie bezpieczeństwa, co pomaga dyrektorowi ds. bezpieczeństwa informacji, gdy przychodzi czas na przedstawienie budżetu na bezpieczeństwo dyrektorowi generalnemu i radzie dyrektorów.
Najlepsze plany cechuje elastyczność pozwalająca przedsiębiorstwom na dostosowanie się do pojawiających się zagrożeń, np. opartych na sztucznej inteligencji deepfake'ów, które mogą ultrarealistycznie podszywać się pod członków ścisłego kierownictwa. Jak donosi CNN, w przypadku jednego z takich ataków wykorzystano podczas połączenia konferencyjnego deepfake, aby w ten sposób nakłonić pracownika działu finansowego do przesłania 25,6 mln USD na rachunki bankowe atakującego. Plany adaptacyjne zapewniają również miejsce dla najnowszych narzędzi bezpieczeństwa, z których niektóre wykorzystują generatywną sztuczną inteligencję do szybszego wykrywania nieprawidłowości w sieci i złośliwej aktywności.
Zabezpieczenie budżetu na cyberbezpieczeństwo
Podobnie jak w przypadku planu na rzecz cyberbezpieczeństwa, dyrektor ds. bezpieczeństwa informacji przejmuje wiodącą rolę w proponowaniu budżetu na cyberbezpieczeństwo. W większości przedsiębiorstw dyrektor finansowy konsultuje ten proces, dokonując przeglądu budżetu, zadając pytania i formułując zalecenia. Dokonując przeglądu wydatków na bezpieczeństwo, dyrektor finansowy analizuje inwestycje w osoby mające specjalistyczną wiedzę merytoryczną, technologie do wykrywania i zwalczania ataków oraz narzędzia do monitorowania cyberzagrożeń i zgodności z przepisami w obszarze bezpieczeństwa.
Według przeprowadzonego w 2023 r. przez firmę konsultingową IANS Research badania, w latach 2022–2023 budżety na bezpieczeństwo wzrosły w umiarkowanym stopniu. Na przykład przedsiębiorstwa technologiczne zwiększyły budżety na bezpieczeństwo średnio tylko o 5%, w porównaniu ze wzrostem o ponad 30% w latach 2021–2022. W porównaniu z innymi branżami przedsiębiorstwa technologiczne mają jednak największe budżety na bezpieczeństwo w stosunku do całkowitych wydatków na IT (19,4%). Z kolei branża detaliczna przeznacza średnio 7,2% budżetu IT na cyberbezpieczeństwo.
Gdy brakuje pieniędzy, dyrektor finansowy zadaje trudne pytania. Czy proponowany budżet jest zgodny z celami przedsiębiorstwa? Czy odpowiednio finansuje działania mające na celu ochronę przedsiębiorstwa i ograniczenie ryzyka?
Przydzielenie odpowiednich zasobów na cyberbezpieczeństwo
Po ustaleniu budżetu na cyberbezpieczeństwo dyrektor ds. bezpieczeństwa informacji sprawdza, czy przydziela odpowiednie zasoby tam, gdzie są one najbardziej potrzebne do zmniejszenia ryzyka, niezależnie od tego, czy chodzi o zatrudnienie wykwalifikowanych specjalistów, rozszerzenie programów szkoleniowych dla pracowników w obszarze bezpieczeństwa, zakup nowego oprogramowania zabezpieczającego, czy przeniesienie obsługi przedsiębiorstwa do bezpieczniejszego modelu biznesowego w chmurze. Również w tym przypadku dyrektor finansowy odgrywa rolę doradczą, zapewniając, że przydział zasobów odzwierciedla priorytety związane z ograniczaniem ryzyka finansowego. Przykład: Czy przeznaczając środki na narzędzia uwierzytelniania wieloskładnikowego, przedsiębiorstwo zmniejsza ryzyko udanych ataków i lepiej chroni dane, niż gdyby wydało podobną kwotę na odpowiednich specjalistów lub usprawnienie procesów?
Monitorowanie efektywności cyberzabezpieczeń
Plan na rzecz cyberbezpieczeństwa obejmuje metryki monitorowania wydajności, pokazujące, czy obecne poziomy ryzyka są akceptowalne. Dyrektor ds. bezpieczeństwa informacji obserwuje takie wskaźniki, jak np. średni czas wykrywania ataku i średni czas reakcji na atak. Dyrektor finansowy skupia się bardziej na gotowości do zapewnienia bezpieczeństwa niż na działaniu technologii i procesów. „W większości przypadków dyrektorzy finansowi chcą dowodów na istnienie dojrzałych programów bezpieczeństwa” — ocenił Desouza. „Szukają rozwiązań, takich jak zautomatyzowane narzędzia monitorujące lub szkolenia w obszarze bezpieczeństwa, które nauczą pracowników rozpoznawania ataków BEC i ataków phishingowych. Dyrektor finansowy skupia się bardziej na przygotowaniu organizacji na zagrożenia niż na zdolności do reagowania na incydenty”.
Koszty ignorowania cyberbezpieczeństwa
Jeśli przedsiębiorstwo ignoruje cyberbezpieczeństwo (lub nie poświęca mu wystarczająco dużo uwagi), cena może być wysoka (na przykład utrata danych, środków finansowych lub własności intelektualnej). Ponadto do kosztów takiej ignorancji można zaliczyć spadek zaufania klientów, odwoływane zamówienia, spadki cen akcji, negatywną prasę i sankcje prawne. Serwis Dark Reading podał, że jedno z szeroko nagłośnionych naruszeń bezpieczeństwa z 2017 r. doprowadziło do spadku kursu akcji przedsiębiorstwa o 31% w ciągu tygodnia i że minęły dwa lata, zanim w pełni odzyskało ono swoją wartość. Bardziej powszechne są jednak gwałtowne spadki cen akcji o niskie wartości jednocyfrowe.
Z przeprowadzonego w 2022 r. przez Cybersecurity Ventures badania wynika, że do 2025 r. szkody spowodowane globalną cyberprzestępczością mogą wynieść nawet 10,5 bln USD. Dostawca zabezpieczeń, Deep Instinct, poinformował, że w latach 20220–2023 75% specjalistów ds. bezpieczeństwa zaobserwowało wzrost liczby ataków.
Według nowych przepisów SEC przedsiębiorstwa muszą corocznie ujawniać informacje dotyczące zarządzania ryzykiem, strategii i nadzoru w obszarze cyberbezpieczeństwa — powiedział Erik Gerding, dyrektor działu SEC ds. finansów korporacyjnych. Jest to uzupełnienie obowiązku ujawniania wszelkich istotnych incydentów związanych z cyberbezpieczeństwem. Biorąc pod uwagę te wymagania, dyrektor finansowy spółki publicznej musi mieć pewność, że rozumie bieżącą strategię i aktualne praktyki przedsiębiorstwa w obszarze cyberbezpieczeństwa. Ponadto musi wiedzieć i mieć odpowiednie relacje, aby szybko dowiadywać się o istotnych incydentach związanych z cyberbezpieczeństwem, a także umieć ocenić istotność tych ataków. Dyrektor finansowy, który nie spełnia tych wymogów, naraża swoje przedsiębiorstwo na kary wynikające z przepisów prawa.
Cyberbezpieczeństwo od momentu wdrożenia rozwiązania Oracle
Pakiet Oracle Fusion Cloud Enterprise Resource Planning (ERP) obejmujący aplikacje do obsługi procesów z zakresu finansów, zaopatrzenia, zarządzania projektami itp. oferuje bezpieczeństwo już na etapie projektowania. Scentralizowane środki kontroli dostępu mogą pomóc w uproszczeniu autoryzacji w sieci, a wraz z zabezpieczeniami oferowanymi w systemie Oracle Cloud ERP mogą pomóc przedsiębiorstwom w zarządzaniu zgodnością z przepisami i regulacjami.
Oracle Risk Management and Compliance, czyli część pakietu aplikacji Oracle Cloud ERP, to rozwiązanie z zakresu bezpieczeństwa i audytu, które oferuje narzędzia sztucznej inteligencji służące do kontroli dostępu do danych audytowych pakietu, wykrywania podejrzanych transakcji i przekazywania przedsiębiorstwom cennych informacji pomagających w przestrzeganiu przepisów dotyczących bezpieczeństwa.
Dyrektor finansowy a cyberbezpieczeństwo — często zadawane pytania
Jakie działania podejmuje dyrektor finansowy w obszarze cyberbezpieczeństwa ?
Jako osoba odpowiedzialna za zarządzanie ryzykiem w organizacji, dyrektor finansowy dba o to, aby działania w obszarze cyberbezpieczeństwa odzwierciedlały strategie zarządzania finansami. Dyrektor finansowy pomaga dyrektorowi ds. bezpieczeństwa informacji zrozumieć priorytety w zakresie ryzyka w całym przedsiębiorstwie i odpowiednio przygotowywać plany i budżety dotyczące bezpieczeństwa.
Jakie certyfikaty cyberbezpieczeństwa powinien mieć dyrektor finansowy?
Jednym z certyfikatów, którego uzyskanie powinien rozważyć dyrektor finansowy, jest certyfikat Maximizing Digital Operational Excellence Certificate wydawany przez American Institute of Certified Public Accountants i Chartered Institute of Management Accountants. Certyfikat ten potwierdza, że jego posiadacz zna najnowsze metody poprawy nadzoru, bezpieczeństwa i kontroli w obszarze finansów.
Jakie są kluczowe obowiązki dyrektora finansowego w obszarze cyberbezpieczeństwa?
Poza zapewnieniem zgodności działań w obszarze cyberbezpieczeństwa z działaniami w obszarze ryzyka finansowego, dyrektor finansowy powinien pomagać dyrektorowi ds. bezpieczeństwa informacji w dopracowaniu planów i budżetów w obszarze bezpieczeństwa, a także w ustaleniu priorytetów dotyczących ochrony aplikacji służących do zarządzania krytycznymi danymi i płatnościami. Dyrektor finansowy w spółkach publicznych może również podlegać określonym w przepisach krajowych wymogom dotyczącym ujawniania informacji.
Poznaj pięć strategii obniżenia kosztów i poprawy produktywności, które nie stłumią wzrostu.