A Due Diligente faz parte de qualquer aquisição e é um processo em que são analisados os ganhos, litígios pendentes, proteções à propriedade intelectual e outros fatores, que verificam se a empresa que estão adquirindo é estável e atingirá projeções financeiras que apoiam a economia do negócio. Porém, ainda existe resistência em aplicar Due Diligente em segurança cibernética, dadas as prováveis necessidades de processos de correção.
A segurança cibernética até pode ser negligenciada na Due Diligente, mas trará um risco comercial que pode afetar o desempenho financeiro de um negócio. Isso porque há grandes chances de que a aquisição possa herdar riscos de segurança da empresa. Um exemplo é como a sala de dados está sendo gerenciada: você pode ter fornecedores, banco de investimentos, empresa de contabilidade e companhia de seguros, tudo em uma sala de dados on-line onde informações confidenciais estão sendo trocadas. A maioria das salas de dados não restringe o acesso a determinadas áreas ou documentos com base na necessidade de conhecimento, mas o seu banco, por exemplo, não precisa acessar as informações de TI. Da mesma forma que o pessoal de TI não precisa acessar demonstrações financeiras e análises de lucros.
Quando você dá a todos o acesso a todas as informações, aumenta significativamente o risco de divulgação de informações, podendo ficar vulnerável a pessoas com acesso que podem vender informações a um concorrente ou usá-las em um ataque. Isso também acontece se você reutiliza suas senhas em vários sistemas, possibilitando o invasor a entrar no sistema e obter acesso a tudo. É importante ser cético em relação à necessidade de proteger seus documentos. Certifique-se de gerenciar o acesso do usuário e restringir o acesso a determinadas áreas e documentos com base em suas necessidades.
Algumas práticas em Due Diligence de segurança cibernética são recomendadas para guiar o processo de aquisição:
Avaliação de gerenciamento de riscos de segurança cibernética
É uma das principais recomendações. Descobrir se a organização possui o bloqueio e abordagem básicos para prevenir, detectar e responder a incidentes de segurança cibernética. Se esta organização enfrentar um incidente, ela tem o que precisa para uma pronta resposta e rápida recuperação? A resposta deve limitar a exposição, envolver as autoridades certas, levar em consideração as necessidades de relações públicas, ser apropriada às regulamentações e avaliar qualquer curso de ação legal em potencial. Além disso, também devem existir backups seguros para a rápida recuperação dos dados.
Coleta de inteligência de código aberto (Open Source Intelligence)
Não é apenas a experiência de um ataque cibernético que torna uma aquisição arriscada. Certas práticas podem, inadvertidamente, divulgar informações que um invasor pode usar para planejar um ataque, aumentando assim as chances de ocorrer uma violação de dados. A coleta de inteligência de código aberto pode encontrar esse risco.
Um exemplo são redes sociais como o LinkedIn, onde as empresas publicam informações técnicas nas descrições de tarefas de TI, que podem inadvertidamente informar os criminosos sobre rotinas de sistemas operacionais ou detalhes do firewall que a empresa utiliza. É importante realizar a coleta de inteligência de código aberto durante o processo de Due Diligence, com o objetivo de detectar vulnerabilidades deste porte.
Avaliação de vulnerabilidade
Após detectar as vulnerabilidades, é necessária uma avaliação sobre a infraestrutura de computadores de uma organização e identificação sobre atualização dos sistemas, para saber se exigirão grandes investimentos de tempo e dinheiro para serem atualizados. Os sistemas de computador envolvem muitas camadas de hardware e software, do sistema operacional ao software de aplicativo. Todos eles têm vulnerabilidades incorporadas inadvertidamente, que são descobertas após o lançamento do produto, e é por isso que os desenvolvedores frequentemente lançam patches e novas versões do software. Sempre que uma vulnerabilidade é descoberta, ela resulta em um patch.
Ainda assim, as organizações lutam para manter seu software atualizado. E algumas optam por não aplicar patches por medo de que possam alterar negativamente outra plataforma em um sistema integrado. Qualquer modificação errônea exige dinheiro para consertar, e se você estiver adquirindo uma organização, talvez não deseje adquirir uma necessidade de atualizar uma infraestrutura antiquada e sem segurança. Sistemas de computadores desatualizados definitivamente afetam o multiplicador.
Varredura na Dark Web
Uma organização pode estar com a segurança comprometida e nem saber disso. A varredura descobre informações proprietárias, conjuntos de dados de clientes e informações de cartão de crédito ou listas de senhas de funcionários que já foram incluídas e estão disponíveis na Dark Web. Ir para a Dark Web pode ser perigoso, pois pode abrir portas para o ataque, por isso é importante contar com um recurso de terceiros experientes para executar essa verificação de maneira segura e controlada.
Indicadores de avaliação de compromisso
Um indicador de comprometimento é algo que sugere que há usuários ou atividades não autorizadas na rede de uma organização. Os indicadores comuns de comprometimento incluem tráfego para servidores de comando e controle conhecidos ou assinaturas de variantes de malware conhecidas. Você pode executar uma avaliação de compromisso para identificar esses indicadores na rede da organização de destino. Se identificado, é um forte indicador de ataque ativo que merece uma investigação mais aprofundada. Se houver um compromisso ativo, os custos de correção, recuperação e notificação de violação precisam ser considerados no acordo.
A TATICCA – ALLINIAL GLOBAL também atua com serviços integrados de auditoria, contabilidade, impostos, corporate finance, financial advisory, risk advisory, tecnologia, consultoria empresarial e treinamentos. Para obter mais informações, acesse www.taticca.com.br ou e-mail taticca@taticca.com.br. Nossa empresa conta com profissionais com ampla experiência no mercado e possui metodologias certificadas para a realização das atividades.