Per eseguire in sicurezza le pratiche di due diligence in un’attività di Merge and Acquisition, Mandiant consiglia di concentrarsi sia su pre che su post-acquisizione. Durante una transazione, sia chi vende sia chi acquista deve prestare attenzione che le sue risorse digitali siano resilienti. In particolare la propria rete IT e i meccanismi di protezione dei dati dei clienti. Dati e informazioni non solo sono importanti, ma sono anche uno degli obiettivi degli attaccanti. Per le aziende che desiderano acquisirne altre o cedere il proprio business è necessario tenere in considerazione quanto siano vulnerabili alle minacce informatiche, e quanto bene possano e sappiano difendersi. La cyber sicurezza diventa quindi un’aspettativa piuttosto che un “nice to have”.
Mandiant: per un’attività di Merge and Acquisition in sicurezza
Gabriele Zanoni, Consulting Country Manager di Mandiant
Durante ogni operazione di acquisizione, prima di agire, è fondamentale per chi compra verificare quali siano le pratiche di sicurezza esistenti nell’azienda di interesse.
Le organizzazioni che invece si preparano a vendere sanno che devono fornire proattivamente informazioni per dimostrare quanto i loro standard di sicurezza siano efficaci per proteggere i dati.
Il punto di vista di chi acquista
Questa non è però una pratica presente in tutti i settori. Infatti, sono molti i casi noti in cui pratiche di due diligence meno scrupolose hanno comportato acquisizioni sopravvalutate. In questi casi la proprietà intellettuale (IP) era stata compromessa o erano aperte controversie legali inerenti la scarsa protezione dei dati dei clienti. Per questo motivo Mandiant suggerisce di concentrarsi non solo sulle fasi di pre-acquisizione ma anche su quelle di post. Le aziende che sono coinvolte in attività di acquisizione devono essere consapevoli dei rischi che affrontano.
Un’organizzazione, infatti, potrebbe non solo acquisire i beni di un’altra azienda ma anche acquisirne le debolezze e i rischi. Completare l’acquisizione di un’azienda che possiede una scarsa protezione in termini di sicurezza mette l’azienda che acquista a rischio di compromissione a causa della possibilità che gli attaccanti siano già presenti nella rete della azienda acquisita.
Come ridurre i rischi al minimo
Mandiant spesso viene ingaggiata per indagare possibili compromissioni, attraverso attività di Compromise Assessment, progettate per identificare attività malevole in corso o già avvenute da parte degli attaccanti. Le acquisizioni possono aumentare il profilo di rischio delle organizzazioni a seconda del settore, della localizzazione e dei partner associati. Una comprensione aggiornata del panorama delle minacce è necessaria per le aziende che acquisiscono. Anche in occasione di acquisizioni stand-alone, senza alcuna integrazione tecnica pianificata, possono esserci danni reputazionali. Ad esempio, perché l’azienda acquisita è vittima di una violazione che diventa di pubblico dominio.
Quando la sicurezza è scarsa
Cosa deve fare un’organizzazione quando scopre che all’interno di un’azienda che desidera acquisire le best practice di sicurezza non sono adottate o sono molto basiche?
Gabriele Zanoni
In questi casi è necessario far partire lo sviluppo di un piano di integrazione post-fusione con una roadmap per migliorare le pratiche di sicurezza informatica e garantire un adeguamento delle best practice. È fondamentale che questo sia fatto prima di una integrazione tra le due reti informatiche delle due aziende. Questi sforzi e i costi associati dovrebbero sempre essere presi in considerazione nel prezzo di acquisto durante la transazione”
Eseguire una Merge and Acquisition in sicurezza
Effettuare una valutazione della sicurezza informatica prima di proseguire con le attività di acquisizione fornisce diversi vantaggi per l’acquirente.
Accertare quale sia il livello di supervisione e di guida strategica presente all’interno del programma di sicurezza dell’azienda che si vuole acquisire. Una scarsa attività di supervisione e di guida di questi programmi comporta problemi sistematici di sicurezza IT e di conseguenza un aumento dei costi e delle responsabilità finanziarie.
Comprendere se l’azienda sia attualmente compromessa. Se un attaccante è attualmente presente nell’ambiente dell’azienda che si vuole acquisire, i dati sensibili o la proprietà intellettuale potrebbero già essere stati trafugati, influenzando così il valore di vendita. Se l’acquirente decide di proseguire con le pratiche di acquisizione, deve essere preparato ad affrontare eventuali ricadute, che possono essere costose e danneggiare la reputazione aziendale.
Bisogna essere in grado di stimare costi e sforzi per migliorare la posizione di sicurezza e l’infrastruttura dell’azienda acquisita. Quando il costo è elevato, questo potrebbe influenzare i termini dell’acquisizione.
Valutare le possibilità di minaccia date dagli “insider” e verificare i controlli esistenti per mitigare questo tipo di minaccia. Se i dipendenti dell’azienda acquisita sono preoccupati per il proprio lavoro, la minaccia di un insider che collabora con degli attaccanti – o che agisce per conto proprio – aumenta. Un’organizzazione dovrebbe sempre accertare se è necessario prevedere dei monitoraggi per rilevare questo tipo di attività.
Avere la consapevolezza che l’azienda acquisita possiede un programma di sicurezza più maturo dell’acquirente. Se ciò dovesse verificarsi, saranno necessarie decisioni su come allineare al meglio entrambe le aziende in relazione ai programmi di sicurezza combinati.
Il punto di vista di chi vende
Quando si tratta di valutare e dimostrare l’attrattività della propria organizzazione, mostrare ai potenziali acquirenti un recente report derivante da un assessment di cyber security, offre notevoli vantaggi. Fornisce a chi acquista un pensiero positivo sulla salute dell’azienda che si sta valutando, sia per un’acquisizione indipendente sia per una fusione. Eseguire una valutazione della sicurezza informatica prima dell’acquisizione può offrire i diversi vantaggi per il venditore:
- L’identificazione di problematiche ed esecuzione di attività di remediation prima che un acquirente effettui le attività di due diligence. Gli attuali sforzi di remediation e la roadmap potranno essere forniti all’acquirente in via confidenziale. Questo dà evidenza degli sforzi proattivi per migliorare la posizione di sicurezza di chi vende.
- Fornisce all’acquirente dettagli relativi alla sicurezza sui principali accordi con terze parti e le loro responsabilità nella salvaguardia dei crown jewels.
- Migliora il memorandum di offerta attraverso l’approvazione di terzi.
- Offre una migliore fiducia sui dati di valutazione.
Merge and Acquisition in sicurezza
Con l’approccio completo fornito da Mandiant, è possibile migliorare le fasi di pianificazione, esecuzione e post-acquisizione di una transazione. L’onere di essere diligenti prima, durante e dopo l’acquisizione è d’obbligo sia per l’acquirente sia per il venditore. È più importante che mai essere preparati per affrontare ogni rischio che minacci il risultato di un accordo che potrebbe avere molto valore per entrambe le parti in causa.