Durante le operazioni di acquisizione, sia chi vende sia chi acquista deve prestare attenzione al fatto che le sue risorse digitali siano resilienti – in particolare la propria rete IT e i meccanismi di protezione dei dati dei clienti.
Dati e informazioni non solo sono importanti per molte organizzazioni ma sono anche uno degli obiettivi degli attaccanti. Per le aziende che desiderano acquisirne altre o cedere il proprio business è necessario tenere in considerazione quanto siano vulnerabili alle minacce informatiche, e quanto bene possano e sappiano difendersi; la cyber sicurezza diventa quindi un’aspettativa piuttosto che un “nice to have”.
Le strategie organizzative guidate dalla crescita inorganica tramite acquisizioni o fusioni stanno diventando frequenti. All’estremo opposto ci sono invece organizzazioni che cercano opportunità di disinvestimento per perseguire differenti priorità di business.
“Durante le operazioni di acquisizione, prima di agire, è fondamentale per chi compra verificare quali siano le pratiche di sicurezza esistenti nell’azienda di interesse”, dichiara Gabriele Zanoni, Consulting Country Manager di Mandiant. “Le organizzazioni che invece si preparano a vendere sanno che devono fornire proattivamente informazioni per dimostrare quanto i loro standard di sicurezza siano efficaci per proteggere i dati”.
Questa non è però una pratica presente in tutti i settori. Infatti, sono molti i casi noti in cui pratiche di due diligence meno scrupolose hanno comportato operazioni di acquisizione sopravvalutate in cui la proprietà intellettuale (IP) era stata compromessa o erano aperte controversie legali inerenti alla scarsa protezione dei dati dei clienti.
Per incorporare le pratiche di due diligence in un’attività di M&A, esistente o futura, Mandiant suggerisce di concentrarsi non solo sulle fasi di pre-acquisizione ma anche su quelle di post.
Il punto di vista di chi acquista
Le aziende che sono coinvolte in operazioni di acquisizione devono essere consapevoli dei rischi che affrontano. Un’organizzazione, infatti, potrebbe non solo acquisire i beni di un’altra azienda ma anche acquisirne le debolezze e i rischi. Completare l’acquisizione di un’azienda che possiede una scarsa protezione in termini di sicurezza mette l’azienda che acquista a rischio di compromissione a causa della possibilità che gli attaccanti siano già presenti nella rete della azienda acquisita. Per ridurre al minimo questi rischi Mandiant spesso viene ingaggiata per indagare possibili compromissioni, attraverso attività di Compromise Assessment, progettate per identificare attività malevole in corso o già avvenute da parte degli attaccanti.
Le acquisizioni possono aumentare il profilo di rischio delle organizzazioni a seconda del settore, della localizzazione e dei partner associati. Una comprensione aggiornata del panorama delle minacce è assolutamente necessaria per le aziende che acquisiscono. Anche in occasione di acquisizioni stand-alone, senza alcuna integrazione tecnica pianificata, possono esserci danni reputazionali, ad esempio, perché l’azienda acquisita è vittima di una violazione che diventa di pubblico dominio.
Cosa deve fare un’organizzazione quando scopre che all’interno di un’azienda, verso la quale desidera attuare delle operazioni di acquisizione, le best practice di sicurezza non sono adottate o sono molto basiche?
“In questi casi è necessario far partire lo sviluppo di un piano di integrazione post-fusione con una roadmap per migliorare le pratiche di sicurezza informatica e garantire un adeguamento delle best practice: è fondamentale che questo sia fatto prima di una integrazione tra le due reti informatiche delle due aziende”, aggiunge Gabriele Zanoni. “Questi sforzi e i costi associati dovrebbero sempre essere presi in considerazione nel prezzo di acquisto durante le operazioni di acquisizione”.
Eseguire una valutazione della sicurezza informatica prima di proseguire con le operazioni di acquisizione fornisce diversi vantaggi per l’acquirente, tra cui:
- Accertare quale sia il livello di supervisione e di guida strategica presente all’interno del programma di sicurezza dell’azienda che si vuole acquisire. Una scarsa attività di supervisione e di guida di questi programmi solitamente comporta problemi sistematici di sicurezza informatica e di conseguenza un aumento dei costi e delle responsabilità finanziarie;
- Comprendere se l’azienda sia attualmente compromessa. Se un attaccante è attualmente presente nell’ambiente dell’azienda che si vuole acquisire, i dati sensibili o la proprietà intellettuale potrebbero già essere stati trafugati, influenzando così il valore di vendita. Se l’acquirente decide di proseguire con le operazioni di acquisizione, deve essere preparato ad affrontare eventuali ricadute, che possono essere costose e danneggiare la reputazione aziendale;
- Bisogna essere in grado di stimare costi e sforzi per migliorare la posizione di sicurezza e l’infrastruttura dell’azienda acquisita. Quando il costo è elevato, questo potrebbe influenzare i termini dell’acquisizione;
- Valutare le possibilità di minaccia date dagli “insider” e verificare i controlli esistenti per mitigare questo tipo di minaccia. Se i dipendenti dell’azienda acquisita sono preoccupati per il proprio lavoro, la minaccia di un insider che collabora con degli attaccanti – o che agisce per conto proprio – aumenta. Un’organizzazione dovrebbe sempre accertare se è necessario prevedere dei monitoraggi per rilevare questo tipo di attività;
- Avere la consapevolezza che l’azienda acquisita possiede un programma di sicurezza più maturo dell’acquirente. Se ciò dovesse verificarsi, saranno necessarie decisioni su come allineare al meglio entrambe le aziende in relazione ai programmi di sicurezza combinati.
Il punto di vista di chi vende
Quando si tratta di valutare e dimostrare l’attrattività della propria organizzazione, mostrare ai potenziali acquirenti un recente report derivante da un assessment di cyber security, offre notevoli vantaggi durante le operazioni di acquisizione. Fornisce a chi acquista un pensiero positivo sulla salute dell’azienda che si sta valutando, sia per un’acquisizione indipendente sia per una fusione.
Eseguire una valutazione della sicurezza informatica prima dell’acquisizione può offrire i seguenti vantaggi per il venditore:
- L’identificazione di problematiche ed esecuzione di attività di remediation prima che un acquirente effettui le attività di due diligence. Gli attuali sforzi di remediation e la roadmap potranno essere forniti all’acquirente in via confidenziale, dando evidenza degli sforzi proattivi fatti per migliorare la posizione di sicurezza di chi vende;
- Fornisce all’acquirente dettagli relativi alla sicurezza sui principali accordi con terze parti e le loro responsabilità nella salvaguardia dei crown jewels;
- Migliora il memorandum di offerta attraverso l’approvazione di terzi (ad esempio: “La nostra posizione di sicurezza informatica è stata valutata a basso rischio da…”);
- Offre una migliore fiducia sui dati di valutazione.
“Gli aggressori non si fermano e il rischio informatico continua ad aumentare; quindi, le aziende non hanno altra scelta che essere attente e proattive per quanto riguarda il tema della sicurezza informatica durante ogni fase delle operazioni di acquisizione o fusione”, conclude Gabriele Zanoni.
L’onere di essere diligenti prima, durante e dopo l’acquisizione è d’obbligo sia per l’acquirente sia per il venditore. È più importante che mai essere preparati per affrontare ogni rischio che minacci il risultato di un accordo che potrebbe avere molto valore per entrambe le parti in causa.
