Evaluaciones de seguridad previas a fusiones y adquisiciones

En 2021, los informes muestran que los volúmenes globales de fusiones y adquisiciones superaron los 5 billones de dólares. Tiene sentido: las organizaciones buscan fusiones y adquisiciones para estimular el crecimiento, obtener una ventaja competitiva, aumentar la participación de mercado mediante la obtención o consolidación de personal, tecnología y propiedad intelectual.

Como parte de su diligencia debida, un componente crítico de cualquier proceso de fusiones y adquisiciones, las organizaciones evalúan los posibles impactos comerciales y los riesgos de la fusión o adquisición, en las áreas financiera, legal y regulatoria. Y si bien la diligencia debida de seguridad cibernética que precede a un proceso de fusión y adquisición a menudo se presenta como una ocurrencia tardía, las consecuencias de una evaluación de seguridad laxa pueden conducir a un mayor riesgo de violación de datos, incumplimiento de las regulaciones, pérdidas financieras y de reputación.

Aquí te contamos por qué y cómo realizar evaluaciones de seguridad previas a fusiones y adquisiciones.

Importancia de la evaluación de seguridad previa a las fusiones y adquisiciones

Si bien la importancia de la ciberseguridad en los procesos de fusiones y adquisiciones es ampliamente reconocida, las innumerables violaciones de datos de alto nivel que rodean las fusiones y adquisiciones dejan muy claro que la ciberseguridad se pasa por alto con frecuencia. Los ciberdelincuentes encuentran atractivo el entorno que rodea a las fusiones y adquisiciones debido a la cantidad de empresas e individuos involucrados, lo que significa que aumenta el potencial de error humano.

Además, la combinación del riesgo cibernético de dos empresas diferentes aumenta el riesgo para ambas y puede conducir a descuidos que resulten en el incumplimiento de los requisitos reglamentarios.

Las áreas principales para la evaluación de seguridad previa a fusiones y adquisiciones incluyen:

  • Determinar el cumplimiento del objetivo para respaldar la debida diligencia regulatoria.
  • La cantidad de activos digitales y datos que poseen.
  • Cómo se protegen esos activos.
  • La superficie de ataque potencial del objetivo y la naturaleza de las vulnerabilidades que puede tener.

Si bien el descubrimiento de amenazas cibernéticas e incluso violaciones de datos reales pueden dañar un acuerdo de fusión y adquisición, a menudo no conducen a la terminación total. Más comúnmente, causan demoras y agregan costes, generalmente debido a violaciones de cumplimiento. Sin embargo, eso puede afectar todo el resultado del trato, incluido el valor que el adquirente otorga a la empresa objetivo.

Para evitar estas consecuencias, la diligencia durante el proceso previo a las fusiones y adquisiciones es crucial. Pero esto en sí mismo presenta algunos desafíos.

El estado actual de las evaluaciones de seguridad previas a las fusiones y adquisiciones implica la falta de formas repetibles de medir los activos de Internet, listas de activos incompletas y ninguna información sobre los servicios que se ejecutan en activos que potencialmente conllevan riesgos o vulnerabilidades, o que están fuera de la política.

¿Cuáles son los diferentes aspectos de seguridad?

La fusión o adquisición de dos empresas requiere un análisis en profundidad de todos los diferentes dominios de seguridad con respecto a ambas empresas. Como ejemplo, digamos que dos empresas (A y B) tienen líneas de productos similares. La empresa A adquiere la empresa B. La empresa A puede tener un conjunto diferente de políticas y procedimientos de seguridad para implementar una aplicación en producción que la empresa B. Las dos empresas también pueden tener una metodología de evaluación de riesgos diferente.

He aquí un vistazo a los diferentes aspectos de la seguridad que deben tenerse en cuenta durante las fusiones y adquisiciones:

  • Seguridad física: la necesidad de proteger las horas físicas de la empresa y el acceso de los empleados a esas horas.
  • Seguridad de la aplicación: uno de los elementos centrales durante una fusión o adquisición es la consideración de la seguridad de la aplicación. Las empresas tienden a integrar varias herramientas COTS (Commercial-Off-The-Shelf), herramientas internas y aplicaciones para la continuidad de los servicios y ofertas. Por lo tanto, se debe realizar una inmersión más profunda en las siguientes secciones:
    • Pruebas de penetración de aplicaciones: se debe realizar un análisis dinámico y estático de las aplicaciones antes de la integración con los sistemas actuales.
    • Seguridad de aplicaciones móviles: integración de varias aplicaciones y servicios móviles ofrecidos por las empresas involucradas en fusiones y adquisiciones.
  • Seguridad de la red: se debe tener cuidado durante la integración de estaciones de trabajo, dispositivos de red (cortafuegos, enrutadores, puntos de acceso, etc.), servidores web y conectividad remota para empleados.
  • Análisis de riesgo arquitectónico: durante las fusiones y adquisiciones, se integran diferentes arquitecturas de aplicaciones, pilas de tecnología, modelos de diseño y enfoques para un SDLC seguro. Estas aplicaciones y componentes de infraestructura deben analizarse a fondo para comprender las amenazas y los activos críticos que requieren controles para remediar cualquier vulnerabilidad debido a fallas de diseño.
  • Seguridad de datos para datos electrónicos y físicos: involucra el almacenamiento de datos de empleados y clientes, la limpieza de datos, las copias de seguridad y los procedimientos de recuperación.
  • Políticas, cumplimiento y estándares: adopción de las políticas y estándares del comprador antes de incorporar las aplicaciones. Cumplimiento de aplicaciones y herramientas según los estándares (NIST, FIPS, PCI DSS , HIPAA , etc.).

También se deben evaluar otros aspectos, como la frecuencia de las pruebas de penetración (de aplicaciones internas y externas), la revisión del código de las aplicaciones, el modelado de amenazas, la recuperación ante desastres y el manejo de incidentes.

Pasos para evaluar la ciberseguridad antes de una adquisición

Con demasiada frecuencia, los adquirentes no se sientan con la gerencia de una empresa objetivo y les preguntan qué tan en serio se toman la seguridad y qué ven como el riesgo cibernético para su negocio. Tomarse el tiempo para examinar las debilidades cibernéticas antes de una adquisición no solo tiene sentido para la seguridad de los negocios combinados, sino que también es una estrategia prudente y defendible que ayudará a proteger la integridad del enfoque de adquisición del adquirente.

Aquí hay cinco cuestiones clave de seguridad que los compradores potenciales deben considerar cuando van a realizar una adquisición o fusión.

Una evaluación exhaustiva de la seguri

Perfil de riesgo

dad de una empresa objetivo identificará a los posibles atacantes, incluidas sus capacidades, objetivos y métodos, y las formas en que un ataque cibernético puede afectar a las empresas. Además de examinar la seguridad física y ambiental, la resiliencia empresarial y la gestión de operaciones, las empresas adquirientes también deben monitorizar el panorama de amenazas de seguridad cibernética en el que opera el objetivo.

Una vez que las negociaciones están activas y el objetivo ha abierto sus libros al adquirir, las evaluaciones de seguridad preliminares pueden seguirse con verificaciones más detalladas y solicitudes de información. Es aquí donde se pueden poner de alivio las buenas comprobaciones de higiene cibernética de puntos finales: se pueden utilizar estrategias simples de puntos finales para evaluar la seguridad de las aplicaciones, las vulnerabilidades de la red, la cadencia de aplicación de parches, las debilidades en la gestión de acceso y la protección de datos, así como las respuestas a incidentes críticos del objetivo. la empresa ha instalado.

Un tema clave a examinar es qué tan estrictamente un objetivo ejecuta los privilegios de administración de empresa de acceso e identidad y si los otorga de manera permanente o no supervisada.

La postura de seguridad del objetivo es algo que siempre debe tenerse en cuenta: Si las evaluaciones del objetivo se centran principalmente en la tecnología y los productos, o si los equipos de seguridad y ejecutivos no están pensando en términos de perfiles de amenazas, eso podría ser una señal de alerta.

Visibilidad de activos

Si una empresa objetivo no sabe dónde se encuentran las joyas de la corona de su empresa, entonces es un desastre a punto de ocurrir. Desafortunadamente para el adquirente, este problema a veces se hace evidente solo durante las investigaciones de infracciones cuando la organización no puede aclarar correctamente sus activos más preciados y dónde están almacenados.

Antes de que una empresa adquirente lleve un cabo su compra, debe estar seguro de que el objetivo tiene un programa de gestión de riesgos establecido y un conjunto de controles y estándares de seguridad cibernética que monitorizan y salvaguardan sus activos más preciados.

El adquiriente también debe poder verificar que el objetivo tenga herramientas de inventario que hagan cumplir la integridad de los activos de datos. Los propietarios de los datos en la red deben identificarse y es fundamental que los datos se actualicen y verifiquen de forma programada. Las empresas con posturas cibernéticas sólidas realizarán revisiones periódicas de sus programas de gestión de activos y la eficacia general de sus controles cibernéticos. Los adquirentes deben solicitar ver evidencia de esas revisiones y estrategias de remediación durante el proceso de adquisición.

Otro desafío es que los adquirentes pueden ver la importancia de los activos de manera diferente a la visión de la empresa objetivo y, en consecuencia, la expectativa del adquirente sobre cómo salvar esos activos puede ser muy diferente de las defensas que tiene el objetivo. Por ejemplo, la computadora de un administrador de sistemas en una plataforma heredada no puede estar en la lista de joyas de la corona de un objetivo, sin embargo, un ataque exitoso en ese dispositivo podría liberar una gran cantidad de información confidencial.

Una empresa objetivo consciente de la seguridad también debería poder proporcionar a los compradores una evaluación de seguridad que identifique los vectores potenciales que los atacantes podrían seguir para llegar a los activos clave. Si la empresa objetivo ha hecho ese trabajo, es una excelente señal. Si no entienden por qué ese trabajo es incluso importante, entonces es al menos una bandera amarilla.

Cadena de suministro y terceros

Desde el punto de vista de la seguridad, las empresas adquirentes deben ver los objetivos menos como entidades únicas y más como una combinación de activos, terminales, proveedores, socios y clientes. Con esto en mente, los adquirentes deben buscar acceso a una lista de terceros en la red empresarial de la empresa objetivo, junto con una evaluación de los riesgos que presentan. La empresa adquirente también debe revisar las debilidades identificadas por el objetivo específico de los proveedores y terceros y asegurarse de que se haya realizado y validado la corrección oportuna de estas debilidades.

Si esta información de terceros no está disponible, el adquirente debe buscar realizar su propia evaluación de la cadena de suministro para comprender los tipos de empresas que interactúan periódicamente en las redes del objetivo, qué derechos de administrador tienen y las configuraciones de red que existen. En esta era de ransomware y ataques a la cadena de suministro, esta información puede ser fundamental para prevenir una infracción.

Trabajando el perímetro

A medida que la fuerza laboral ha migrado a modelos de trabajo desde el hogar y de trabajo híbrido en la oficina en el hogar, el mayor desafío de seguridad que enfrenta la mayoría de las empresas es la mayor superficie de ataque que sus redes presentan a los piratas informáticos, gracias a la pandemia. Para estabilizar tanto las millas de dispositivos remotos que se están introduciendo en sus redes, las empresas deben estar atentas a las nuevas vías que los ciberdelincuentes pueden tomar para violar sus perímetros.

Los adquirentes deben verificar que las empresas objetivo hayan invertido en recursos adicionales para acomodar usuarios remotos adicionales en sus redes y si el objetivo tiene o no prácticas de confianza cero. La «confianza cero», que trata cada dispositivo que intenta iniciar sesión como una amenaza potencial, es una solución más sencilla que las VPN (redes privadas virtuales), que han resultado difíciles de escalar y son propensas a fallar.

Los dispositivos de los empleados objetivo no administrados, como PC, teléfonos inteligentes, consolas de juegos y dispositivos IoT, pueden aumentar la superficie de ataque del objetivo. Las empresas que no están equipadas con la protección de punto final adecuada y la prevención de pérdida de datos seguirán encontrándose en modo de recuperación.

Personal de seguridad

Finalmente, los compradores potenciales deben comprender la cultura corporativa general de un objetivo, y eso se extiende a los profesionales de seguridad y redes de TI. Esta recopilación de información puede comenzar durante el período anterior a la firma en la fase de intercambio de documentos y entrevistas del proceso de adquisición. Debe incluir una revisión de las políticas y procedimientos de recursos humanos de la empresa objetivo y la tasa de rotación de empleados de la empresa objetivo, en particular de sus técnicos empresariales de TI.

También es importante evaluar la capacidad de la empresa para atraer al mejor talento cibernético y, lo que es más importante, su capacidad para retener este talento, ya que da un mensaje claro de cuánto exitosamente la empresa mantiene y administra la seguridad de su red. De todos los aspectos de la ciberseguridad que se deben atender durante una compra, el personal de seguridad de la red puede ser el más descuidado. Por sólido que sea una plataforma de seguridad, se atrofiará rápidamente sin el talento necesario para operarla y mantenerla.

¿Cómo asegurar una organización durante fusiones y adquisiciones?

A medida que la nueva empresa se expande, el panorama de amenazas y la atención de los piratas informáticos hacia esa empresa también aumenta, lo que significa que debe estar preparado.

Para combatir el riesgo asociado con estas transformaciones volátiles, las organizaciones ahora están realizando la debida diligencia de ciberseguridad e inteligencia de amenazas al principio del proceso de fusiones y adquisiciones. Esto reduce en gran medida las posibilidades de que las amenazas se conviertan en realidad una vez que se realizan acuerdos y se fusionan los sistemas.

El proceso de revisión nunca debe pasarse por alto, ya que podría tener consecuencias fatales. En 2016, por ejemplo, Verizon estaba listo para adquirir Yahoo! en un acuerdo por valor de 4.800 millones de dólares. Sin embargo, después de completar el acuerdo de adquisición, Verizon descubrió dos grandes filtraciones de datos en Yahoo!. En respuesta, Yahoo! dio un descuento de 350 millones de dólares por el trato, y tuvo que pagar 80 millones de dólares para resolver las demandas de sus accionistas. Este es solo un ejemplo de lo costoso que es la debida diligencia de seguridad cibernética deficiente o nula antes de una adquisición.

Evaluar la postura de ciberseguridad

Antes de que se anuncie públicamente el acuerdo, las organizaciones deben evaluar la postura de seguridad cibernética para garantizar una transparencia total en los procesos y activos cibernéticos de cada empresa y luego identificar posibles brechas de seguridad. A menudo, no es posible tener una visión temprana de la empresa que se va a adquirir, ya que todavía son entidades separadas, razón por la cual las empresas están utilizando inteligencia de amenazas para respaldar esta actividad.

Este enfoque centrado en amenazas es clave cuando se realiza al principio del proceso de fusiones y adquisiciones para identificar dónde se encuentran esas vulnerabilidades y brechas antes de pasar a la siguiente etapa en las transacciones comerciales. Un enfoque común para desarrollar una línea base de seguridad cibernética es usar el marco de seguridad cibernética de NIST. Este marco industrial reconocido tiene como objetivo proporcionar una comprensión más clara de la gestión y reducción de las vulnerabilidades de seguridad, así como proporcionar las mejores prácticas para la protección de redes y datos.

Alinear modelos operativos e identificar cualquier riesgo crítico

Una vez que se anuncia el acuerdo comienza la segunda etapa de la fusión y las organizaciones deben identificar y evaluar sus modelos operativos actuales. Esta alineación es clave para garantizar que la nueva empresa esté bien preparada y apta para su propósito. Se identifican sinergias, redundancias, programas prioritarios y riesgos críticos.

Después del anuncio, los profesionales de seguridad se asegurarán de detectar cualquier vulnerabilidad o exposición de seguridad y trabajar para remediarlo. Después de esto, las organizaciones deben realizar un diagnóstico de madurez de la seguridad para volver a examinar la eficacia de las operaciones. Luego, las pruebas de diagnóstico de detección y respuesta de amenazas revisarán la tecnología que utilizan la empresa y el equipo de seguridad.

Garantía de la nueva empresa

El paso final es hacer la transición e integrar la nueva empresa en el modelo operativo de la empresa adquirente y la clave es la alineación y la transición a su solución MDR/MSS. Además de esto, la organización debe hacer planes de respuesta a incidentes y realizar ejercicios de simulación con los ejecutivos y la junta directiva de la nueva empresa para probar la eficacia operativa y fomentar la colaboración y el entendimiento.

Finalmente, las organizaciones no deben olvidar verificar la cadena de suministro del objetivo de adquisición para crear una línea de base de seguridad cibernética adicional final de sus proveedores de alto riesgo. Descubrir estas vulnerabilidades y calificar a los proveedores en capacidades y procesos cibernéticos a menudo requiere el apoyo de la tecnología para ofrecer visibilidad.

Principales solicitudes de diligencia de privacidad y seguridad clave

El proceso de diligencia debida en el contexto de la privacidad y la seguridad de los datos ha aumentado constantemente en importancia y ha ocupado el lugar que le corresponde entre la avalancha de documentos que tradicionalmente se intercambian entre las partes durante la fase de diligencia de las transacciones de fusiones y adquisiciones. Si una empresa ha tomado medidas para proteger adecuadamente sus datos y la capacidad de comprender el entorno de datos es una parte tan importante del proceso de fusiones y adquisiciones como la identificación de la propiedad de las entidades.

Estas son las principales solicitudes de diligencia de privacidad y seguridad:

  • Descripciones de los controles de seguridad establecidos para cada una de las plataformas de recopilación de datos de la Compañía. Comprender el marco de seguridad existente sobre cómo se recopilan los datos puede identificar rápidamente la madurez de la empresa objetivo con respecto a su programa de seguridad.
  • Copias de todas las pautas y estándares de gobierno de la información documentados, incluidas las categorías de gobierno de la información, los requisitos de retención y destrucción para cada clasificación.
  • Resúmenes de los programas de evaluación y gestión de riesgos de la Compañía, incluidas copias de cualquier informe emitido en relación con los mismos, durante los últimos cinco años.
  • Copias de todas las pautas de seguridad en relación con la contratación de personal (si las pautas no están disponibles, solicita un resumen de dichos controles), incluso si se realizan verificaciones de crédito, verificación de antecedentes, pruebas de drogas y/u otros procedimientos de selección.
  • Copias (o si no está disponible, un resumen) de las Políticas de Privacidad de la Compañía. Indica si tales políticas: han sido respaldadas por la administración, incluyen consecuencias por violaciones de dicha política, se someten a un proceso anual de evaluación de riesgos, etc.
  • Una descripción del Plan de Continuidad de Negocios de TI de la Compañía, incluida una descripción de cualquier prueba relacionada con el mismo.
  • Copias de cualquier pauta de seguridad física documentada (o, si no está disponible, un resumen de dichos controles) para garantizar la seguridad de cualquier edificio, centro de datos, salas de computadoras, infraestructura informática crítica, etc.
  • Detalles (incluyendo asegurador, asegurado, agente, tomador, certificados, fechas de vencimiento, exclusiones y límites) de cada póliza de seguro relacionada con una Entidad.
  • Descripciones de cualquier evento conocido que podría dar lugar a un reclamo de seguro como resultado de un incidente de privacidad o seguridad de la información o violación de datos.
  • Información sobre antecedentes de reclamaciones que involucren privacidad, seguridad de la información o violaciones de datos, durante los últimos cinco años.

Mantener la seguridad a largo plazo

Con el cibercrimen en su punto más alto durante la pandemia, las fusiones y adquisiciones siguen siendo iniciativas de alto riesgo que cuestan miles de millones de dólares y afectan la reputación de las empresas. Los esfuerzos a largo plazo para prevenir y asegurar este proceso valen los pasos adicionales para mitigar futuros problemas de seguridad.

Al combinar los procesos de seguridad de dos empresas, muchas partes quedan sin solidificar, lo que deja expuestas vulnerabilidades no detectadas, por lo que la colaboración debe comenzar antes del anuncio para preparar mejor a ambas empresas. Con la diligencia debida temprana, los riesgos se reducen y los profesionales de seguridad tienen una mejor visibilidad en ambas empresas. La implementación de este método ayudará a combatir los riesgos asociados con estos momentos sensibles y preparará a la nueva empresa para el éxito en el futuro.