A cada dia acontecem novas fusões e aquisições ou M&A que vem do inglês Mergers & acquisitions. Isso movimenta a inovação, evolução e o crescimento do mercado.
Do ponto de vista tecnológico isso também movimenta o mercado de softwares e serviços, principalmente frente a complexidade atual dos ambientes de rede corporativas, afinal, existem muitos recursos necessários e importantes para estar em dia com as demandas atuais como IoT, Byod, Cloud e muitos outros recursos que no final acabam por criar uma complexidade necessária.
E quando ocorre uma M&A além de um planejamento cuidadoso e soluções de softwares que permitam fazer com que ocorra com o menor impacto na produtividade dos usuários, temos hoje que levar em consideração os riscos de cibersegurança associados.
As violações de segurança estão se tornando cada vez mais comuns e os ataques cada vez mais sofisticados.
Due diligence é um processo de investigação usado comumente para avaliar uma aquisição em relação aos seus ativos e outros aspectos, em cybersecurity é o processo avaliação risco, que deve incluir testes de penetração e auditorias de controle de acesso no processos de fusões e aquisições.
A Due Diligence refere-se às etapas adotadas para identificar os riscos existentes no ambiente. Isso é baseado nas melhores práticas, padrões como ISO 27001, ISO 17799 e outros.
Em resumo, temos pensar em Due Diligence como:
- Preparação;
- pesquisa;
- trabalho em equipe;
- conhecimento ;
- entendimento.
Due Diligence e tudo o que é feito antes que as decisões sejam tomadas.
Isso se faz necessário pois existe uma grande change de herdar os risco de segurança da empresa, um exemplo bem comum é durante as fusões haver a integração de sistemas legados, e isso pode abrir novas superfícies de ataque que não estavam presentes, isso sem dizer o que é novo como IoT, byod e recursos na cloud. E mesmo diante de várias situações ainda existe uma grande resistência em aplicar due diligence pois é certo que envolverá processos de correção.
O que geralmente você deve ter em mente no processo de due diligence?
- Identificar riscos de segurança da informação e deficiências em governança, operações e tecnologia;
- Pesquisar violações de dados não divulgadas ou desconhecidas;
- Quais controles de segurança cibernética e planos de gerenciamento de crises existem;
- Quantificar os custos potenciais de remediação sob vários ângulos: operacional, financeiro e de reputação com base em exposições anteriores ou desconhecidas
Com a Lei Geral de Proteção de Dados deve ser ainda maior a atenção aos controles de segurança aplicados. E por mais assustador que seja é importante ter a mentalidade de “assumir a violação e exposição dos dados” em caso de ataque e ter a certeza que os controles foram bem aplicados.
Os executivos e diretores entendem o impacto das violações e como isso afeta a reputação e a produtividade da organização, por isso vale a pena adotar essa pratica e avaliar adequadamente os e riscos antes de uma fusão ou aquisição.
Seja o primeiro a comentar