07/12/2022 | Stina Connor & James Owen
À medida que a escala e a frequência dos ataques cibernéticos continuam a crescer, os impactos dos incidentes de segurança cibernética nas empresas continuam a aumentar. Violações de dados pessoais sensíveis, roubo de propriedade intelectual (PI) e informações comerciais sensíveis, bem como ataques disruptivos de ransomware e negação de serviço distribuída (DDoS), podem afetar adversamente os resultados financeiros das empresas, o valor das ações, a marca e a confiança entre clientes e clientes.
Ao mesmo tempo, empresas e investidores são cada vez mais obrigados a divulgar violações a reguladores, acionistas e clientes, e rigorosas regras de proteção de dados sob o GDPR e estruturas similares estão impulsionando uma aplicação regulatória mais decisiva, incluindo grandes multas e ações judiciais de clientes afetados. Como resultado, políticas limitadas de segurança cibernética e proteção de dados, implementação apressada de tecnologia e planejamento pobre de gerenciamento de crises estão cada vez mais em destaque após violações em grande escala.
Apesar de incidentes bem conhecidos, como as violações do Yahoo e do Marriott - que deveriam ter colocado a diligência cibernética firmemente na agenda de qualquer investidor -, uma consideração sistemática e baseada em risco da segurança cibernética no ciclo de investimento ainda é a exceção em vez da regra, elevando os riscos reputacionais para o investidor.
A necessidade de due diligence cibernética se estende por setores
A rápida transformação digital - acelerada pela pandemia COVID-19 - e a ubiqüidade da tecnologia em todos os setores da economia significam que os riscos cibernéticos afetam todas as empresas, não apenas as mais avançadas digitalmente. Em essência, todas as empresas agora são empresas de tecnologia. Os atores de ameaças cibernéticas sabem disso e estão agindo sobre isso, com algumas das violações mais impactantes dos últimos anos afetando empresas como operadoras de dutos e infraestrutura, produtores de alimentos, instalações de saúde e educação, entre outros. Como resultado, a necessidade de uma due diligence cibernética minuciosa é tão relevante para fundos de private equity e infraestrutura que investem em outros setores quanto para investidores focados em tecnologia.
Integrando a diligência cibernética ao processo de investimento
Para equipes de investimento que não estão familiarizadas com TI e segurança cibernética, o conceito de diligência cibernética pode parecer nebuloso e difícil de entender. No entanto, a diligência cibernética não é algo fundamentalmente distinto e separado de outros processos de diligência; seu objetivo básico é avaliar riscos ao investimento, garantir a avaliação correta e identificar áreas que necessitam de investigação ou remediação. Como resultado, muitos dos fatores de risco conhecidos também são críticos ao conduzir diligência cibernética efetiva:
Diligência externa: avaliação do perfil de risco externo de uma aquisição de destino
Na fase pré-investimento, antes que os investidores tenham acesso total à aquisição de destino, a diligência cibernética pode fornecer uma visão útil sobre a exposição de uma empresa às ameaças cibernéticas. Essa avaliação fornecerá aos investidores uma visão sobre o perfil de ameaça externa da empresa, investigando fatores como:
- setor e localização geográfica
- natureza de suas operações; por exemplo, se ela detém informações sensíveis de propriedade intelectual ou grandes quantidades de informações pessoais
- relacionamentos críticos com terceiros e externos, como clientes e clientes potenciais, que poderiam aumentar sua atratividade como alvo de atores de ameaças cibernéticas
- evidências de violações anteriores da empresa e vulnerabilidades técnicas em sua infraestrutura de TI
Uma avaliação abrangente dos riscos cibernéticos potenciais de uma aquisição de destino ajuda um investidor a entender o nível de risco que está assumindo, bem como os custos e o cronograma para remediação nas primeiras etapas do processo de investimento.
Diligência interna: entendendo a governança interna de segurança cibernética e gerenciamento de riscos
Uma vez que um investidor em potencial tenha acesso ao destino, uma revisão mais detalhada da governança interna de segurança cibernética da empresa pode ser realizada. Revisar políticas e procedimentos e entrevistas com partes interessadas importantes, juntamente com a avaliação de sua infraestrutura de TI e vulnerabilidades, fornece insights sobre a maturidade interna de segurança cibernética e os processos atuais de gerenciamento de riscos.
Esse processo é projetado para identificar potenciais fatores de risco, como lacunas na postura atual de segurança cibernética ou procedimentos inadequados de gerenciamento de crises ou continuidade de negócios no caso de um ataque. Entender a maturidade interna de segurança cibernética de uma aquisição de destino também ajuda os investidores a priorizar os esforços de remediação e desenvolver planos eficazes de integração pós-aquisição.
As equipes de investimento devem considerar a diligência devida cibernética como mais uma ferramenta no arsenal para tomar decisões informadas, em vez de algo intimidador e excepcional. O escopo crescente e o impacto dos ataques cibernéticos - juntamente com o aumento da regulamentação e escrutínio público das práticas de segurança cibernética das empresas - só reafirmam a necessidade de integrar sistematicamente a diligência devida cibernética no ciclo de investimento.
A due diligence cibernética ajuda a gerenciar riscos ao longo do ciclo de investimento
Assim como outras formas de diligência devida em transações, a diligência devida cibernética ajuda a informar a tomada de decisão e as negociações antes de um investimento. As informações da Control Risks sobre desafios de segurança cibernética existentes e futuros, incidentes passados que podem afetar o valor ou a marca e o custo potencial de remediação apoiaram nossos clientes a valorizar com precisão uma aquisição alvo, informar negociações contratuais e priorizar ações de remediação após a aquisição.
Em um caso recente, a Control Risks apoiou uma empresa de private equity que buscava investir em uma empresa de desenvolvimento de software. Nosso cliente estava preocupado com a forma como a aquisição-alvo protegia seu código-fonte. Especificamos a infraestrutura, sistemas, pessoas e vulnerabilidades que poderiam ser aproveitados por um ator ameaçador cibernético e, com base nisso, produzimos uma classificação de ameaça para a terceira parte e para cada vulnerabilidade identificada. Isso foi entregue juntamente com um relatório de diligência devida de reputação para fornecer uma visão abrangente da maturidade do alvo em várias áreas. Isso permitiu que o cliente reavaliasse sua valoração do investimento e construísse uma estratégia de segurança cibernética pós-investimento, usando nossas classificações como um guia para priorizar a atividade de remediação efetiva.
A diligência devida cibernética também é frequentemente usada por nossos clientes após uma aquisição específica ou como parte da gestão de risco da carteira. Nessa fase, a diligência devida cibernética fornece uma visão priorizada da maturidade da segurança cibernética das empresas da carteira, para proteger o valor e servir como uma "verificação de saúde" cibernética dos investimentos. Realizar verificações minuciosas da higiene cibernética ao longo do ciclo de investimento pode ajudar a mitigar riscos reputacionais, financeiros e legais se ocorrer uma violação, pois isso muitas vezes desencadeia um escrutínio sobre quais medidas foram tomadas antes ou depois de uma transação. Em nossa experiência, a diligência devida cibernética também é uma ferramenta vital após uma violação, para investigar um incidente e, em seguida, construir de volta melhor.
Em outro exemplo, um cliente de tecnologia abordou a Control Risks após a aquisição de uma empresa que operava em um modelo de software como serviço, com preocupações sobre como gerenciava dados confidenciais de casos e informações pessoalmente identificáveis (PII). Descrevemos as vulnerabilidades técnicas e de processo que poderiam ser exploradas e os atores de ameaças cibernéticas mais proeminentes que visavam atacá-las. Isso foi baseado em uma revisão completa de documentos e processos, teste técnico e uma série de entrevistas. Através dessa avaliação, o cliente foi capaz de identificar pontos principais de remediação, por exemplo, remover sistemas legados vulneráveis que suportavam sistemas de clientes, introduzir tecnologia adicional para melhorar a segurança de perímetro e melhorar procedimentos de resiliência.
Como as ameaças cibernéticas estão aqui para ficar, será fundamental para as equipes de investimento avaliarem sistematicamente as exposições cibernéticas associadas a um investimento, para proteger o valor e mitigar riscos reputacionais e regulatórios. Aproveitar a devida diligência cibernética ao longo do ciclo de investimento - desde a tomada de decisão pré-aquisição até a gestão de portfólio pós-aquisição até o suporte à gestão de risco e investigação pós-incidente - pode ajudar os investidores a ficar à frente da curva e proteger tanto o valor quanto a marca.