O que é Due Diligence em cybersecurity ?

A cada dia acontecem novas fusões e aquisições ou M&A que vem do inglês Mergers & acquisitions. Isso movimenta a inovação, evolução e o crescimento do mercado.

Do ponto de vista tecnológico isso também movimenta o mercado de softwares e serviços, principalmente frente a complexidade atual dos ambientes de rede corporativas, afinal, existem muitos recursos necessários e importantes para estar em dia com as demandas atuais como IoT, Byod, Cloud e muitos outros recursos que no final acabam por criar uma complexidade necessária.

E quando ocorre uma M&A além de um planejamento cuidadoso e soluções de softwares que permitam fazer com que ocorra com o menor impacto na produtividade dos usuários, temos hoje que levar em consideração os riscos de cibersegurança associados.

As violações de segurança estão se tornando cada vez mais comuns e os ataques cada vez mais sofisticados.

Due diligence é um processo de investigação usado comumente para avaliar uma aquisição em relação aos seus ativos e outros aspectos, em cybersecurity é o processo avaliação risco, que deve incluir testes de penetração e auditorias de controle de acesso no processos de fusões e aquisições.

A Due Diligence refere-se às etapas adotadas para identificar os riscos existentes no ambiente. Isso é baseado nas melhores práticas, padrões como ISO 27001, ISO 17799 e outros.
Em resumo, temos pensar em Due Diligence como:

  • Preparação;
  • pesquisa;
  • trabalho em equipe;
  • conhecimento ;
  • entendimento.

Due Diligence e tudo o que é feito antes que as decisões sejam tomadas.

Isso se faz necessário pois existe uma grande change de herdar os risco de segurança da empresa, um exemplo bem comum é durante as fusões haver a integração de sistemas legados, e isso pode abrir novas superfícies de ataque que não estavam presentes, isso sem dizer o que é novo como IoT, byod e recursos na cloud. E mesmo diante de várias situações ainda existe uma grande resistência em aplicar due diligence pois é certo que envolverá processos de correção.

O que geralmente você deve ter em mente no processo de due diligence?

  • Identificar riscos de segurança da informação e deficiências em governança, operações e tecnologia;
  • Pesquisar violações de dados não divulgadas ou desconhecidas;
  • Quais controles de segurança cibernética e planos de gerenciamento de crises existem;
  • Quantificar os custos potenciais de remediação sob vários ângulos: operacional, financeiro e de reputação com base em exposições anteriores ou desconhecidas

Com a Lei Geral de Proteção de Dados deve ser ainda maior a atenção aos controles de segurança aplicados. E por mais assustador que seja é importante ter a mentalidade de “assumir a violação e exposição dos dados” em caso de ataque e ter a certeza que os controles foram bem aplicados.

Os executivos e diretores entendem o impacto das violações e como isso afeta a reputação e a produtividade da organização, por isso vale a pena adotar essa pratica e avaliar adequadamente os e riscos antes de uma fusão ou aquisição.

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*