Già Effettuato una Verifica dei Rischi Informatici Prima di Operare una Due Diligence?

01. Aprile 2016 | Drooms Italy

Noi lo consigliamo vivamente! La prevenzione della criminalità informatica è una condizione indispensabile nel mercato delle fusioni e delle acquisizioni (M&A), in particolare per quanto riguarda il processo di due diligence. È quindi davvero importante avviare, e mettere in atto, una verifica dei rischi informatici. Spieghiamo qui come farlo, in soli cinque passaggi, suggerendo come evitare di mettere a rischio la vostra prossima trattativa multimilionaria.


Cyber Security Data

Non Utilizzare il Telefono Cellulare Quando si è in Treno

Quante volte, viaggiando in treno, vi è capitato di essere “obbligati” ad ascoltare i particolari di una conversazione telefonica del passeggero che vi siede accanto? E magari si trattava di una conversazione d’affari. Oppure di venire involontariamente a conoscenza del contenuto di una presentazione sullo schermo di un PC portatile. Dopo tutto, il tavolino ribaltabile si trova solo a un paio di decine di centimetri di distanza da voi. Vi sono alcune persone che sono volutamente interessate a questo tipo di conversazioni, proprio perché sono state assunte per fornire informazioni alle aziende concorrenti. L’acquisizione di informazioni per fini non propriamente legittimi non è poi così difficile. Pertanto, è importante prendere le dovute precauzioni per evitare la dispersione delle informazioni. Ecco come mantenere la riservatezza delle vostre informazioni aziendali.

I Comportamenti non Corretti dei Dirigenti e dei Funzionari Vanno a Beneficio della Criminalità

A quanto pare, gli obiettivi preferiti dalla criminalità informatica sono i dirigenti e funzionari aziendali. Ricoprono una posizione che consente loro una certa libertà di scegliere i propri dispositivi elettronici e di installare i software che preferiscono. Ma, contemporaneamente, trascorrono spesso molto tempo sui mezzi di trasporto pubblico e hanno l’abitudine di lavorare ovunque, con la possibilità di accedere a molte informazioni aziendali. A meno che non vengano obbligati a farlo da qualche tecnico IT interno all’azienda, non fanno caso al rispetto dei protocolli di sicurezza. Dato che le capacità di social engineering della criminalità informatica sono in continuo sviluppo, i dirigenti e i funzionari dovrebbero prestare attenzione quando trattano con i propri contatti.

I Cinque Passaggi per un’Efficace Valutazione dei Rischi

Il tempo medio che intercorre tra una violazione dei dati da parte di un hacker e la percezione di aver subito un attacco è di 205 giorni. Le informazioni che potrebbero andare perdute, o rubate, anche durante una due diligence, potrebbero avere un volume considerevole. L’adozione di una procedura di valutazione dei rischi informatici prima, durante e dopo in processo di due diligence non solo è molto importante, ma è anche vitale per la conclusione di una transazione. Tuttavia, dato che non vi sono degli standard di sicurezza reali e codificati, il livello di percezione delle effettive minacce informatiche che colpiscono le realtà aziendali è ancora relativamente basso.

In base a quanto riportato in un’indagine del 2014 condotta da Freshfields che ha coinvolto 214 negoziatori commerciali a livello globale, il 78% degli intervistati ha affermato che la sicurezza informatica non riceve tutta l’attenzione che merita nella due diligence e non viene annoverata tra le categorie a rischio. Il 66% reputa che il rischio sia difficilmente quantificabile date le limitazioni temporali che coinvolgono i processi di due diligence. La buona notizia è che le aziende, per proteggere i propri affari, sono sempre più disposte ad aumentare gli investimenti dedicati alle tecnologie di sicurezza:

"I cambiamenti più comuni che si sono verificati negli ultimi anni nel corso di un processo di trattativa prevedono una maggiore adozione di strategie di sicurezza tecnologica sui telefoni, sui PC portatili e sulle stanze di trattativa virtuali (89% in Europa, 95% in America del Nord) e un aumento della formazione sui rischi informatici per il personale coinvolto nelle trattative (33% in Europa, 31% in America del Nord)."

Prima di operare una due diligence, è importante che un’azienda effettui una valutazione dei rischi informatici e che adotti le misure preventive per assicurare che l’intero processo di due diligence possa svilupparsi in modo organico. Una violazione dei dati potrebbe portare al fallimento di una trattativa e alla conclusione della carriera di un AD. In teoria, la valutazione dei rischi informatici dovrebbe essere avviata prima che il processo di due diligence arrivi alla fase di post-fusione.

 

1. Rischi Connessi alla Gestione dei Dati

Prima di definire le procedure di due diligence, gli esperti dovrebbero avviare una sorta di due diligence preventiva durante la quale si selezioneranno e filtreranno i documenti ritenuti più rilevanti. Una data room non dovrebbe contenere l’intera documentazione aziendale; la presenza di troppe informazioni non va bene e potrebbe sovraccaricare il lavoro delle persone coinvolte e aumentare i costi per il venditore. Nel processo di selezione dei dati ritenuti più rilevanti è importante verificare la provenienza delle informazioni ritenute più pertinenti e dove queste verranno memorizzate: in questo modo sarà più facile rilevare le minacce informatiche.

2. Rischi Tecnici

Quando i dati vengono conservati in un ambiente online, sarà necessario avviare una verifica IT per quantificare il grado di sicurezza del software e delle applicazioni. Si dovrebbero anche analizzare con attenzione la cifratura dei dati e tutti gli altri sistemi utilizzati per garantirne la sicurezza.

3. Rischi Aziendali

Le aziende condividono i propri dati con terzi e contraenti. Chi avrà accesso a tali dati? Quali sono i canali su cui transitano i dati? Qualsiasi organizzazione esterna che gestisce le informazioni aziendali deve garantire un adeguato livello di sicurezza per evitarne la dispersione.

4. Rischi Correlati ai Dipendenti

Quante sono le persone all’interno dell’azienda che hanno accesso alle informazioni sensibili? Il loro numero può essere ridotto? Probabilmente, non è necessario rendere disponibili le informazioni aziendali più rilevanti a molte persone. È quindi consigliabile effettuare una verifica per ridurne il numero anche perché, come segnalato in un intervento recente, la fonte più comune della sottrazione delle informazioni è riconducibile proprio ai dipendenti.

5. Tracciabilità

In precedenza si sono verificate in azienda altre violazioni dei dati? In caso affermativo, quando si sono verificate e tramite quali canali? Le aziende devono mantenere una tracciabilità di tali episodi per poter adottare le misure di prevenzione adeguate contro tutte le forme di violazione dei dati.

Sono le Aziende di Piccole Dimensioni ad Avere più Problemi

Oltre ai rischi che coinvolgono le grandi organizzazioni, per la criminalità informatica è più facile colpire le piccole aziende startup, in quanto sono dotate di dispositivi meno sofisticati per la sicurezza delle informazioni. Molte di queste aziende potrebbero anche non essere in grado di riconoscere i rischi effettivi ai quali sono esposte, né essere consapevoli di precedenti attacchi alle loro reti. Pertanto, prima di procedere con un’indagine sulla sicurezza, è importante definire i termini dei rischi informatici e delle possibili fonti di attacco.

Come afferma Jason Lemkin, fondatore di SaaStr:

“Siete pronti ad avviare la vostra prima verifica della sicurezza. Non mostratevi indifferenti o disinteressati. Non fate “spallucce”. Non lasciate che il vostro team rimandi il problema. Ecco il trucco, il suggerimento – È un regalo! Effettuate una verifica di sicurezza circostanziata e mettetela per iscritto: sarà il vostro piano d’azione. È indispensabile per garantire il vostro futuro. La prima volta che dovrete affrontare questo processo vi troverete fra le mani un documento di 20 pagine con centinaia di domande. Non sempre riuscirete a dare una risposta, e sarete in grado di risolvere solo poche di quelle rimanenti. Non è la condizione ideale, ma tant’è! Se avete 200 domande e sarete in grado di rispondere chiaramente con un “Sì” solo a 20, usate le altre 180 come un piano d’azione per assicurarvi un futuro migliore."

La soluzione migliore, a questo punto, è delegare il problema a un responsabile della sicurezza (CSO).

I benefici offerti dal trovarsi dalla parte della sicurezza informatica sono incalcolabili. L’acquisizione di un’azienda con problemi di sicurezza prevede di ereditarne anche i problemi!