Quando uma empresa está comprando ou se fundindo com outra, não está apenas comprando seus negócios, funcionários, recursos, clientes e experiência, mas também comprando a exposição de ataque digital dessa empresa e todas as potenciais vulnerabilidades cibernéticas que vêm com ela. Com essa abordagem o autor do texto Marc Gaffan, CEO da IONIX e expert em segurança cibernética, publicado na CPO Magazine, alerta sobre as diversas preocupações que envolvem este processo.

Fusões e aquisições são complicadas. As empresas que fazem uma aquisição têm vários desafios críticos para abordar e gerenciar, desde a due diligence financeira e integração técnica até considerações culturais, tarefas complexas de conformidade legal e regulatória.

Há tantas coisas a considerar que é fácil perder uma cada vez mais importante nesta era digital – o risco cibernético.

Durante um processo de fusão e aquisição (M&A), o escopo da superfície de ataque da organização é estendido a novos limites. Todas as empresas, da Fortune 500 a empresas menores, têm bagagem digital que podem aumentar drasticamente os riscos potenciais de segurança, de várias gerações de tecnologias, várias pilhas de TI e riscos novos e desconhecidos em seus ambientes. O processo de fusões e aquisições pode ser um momento especialmente sensível para uma empresa, e propenso a lacunas de segurança e exposição. Quando você adiciona uma fusão ou aquisição de alto risco, a exposição potencial à ameaça de todos esses componentes díspares dispara.

O gerenciamento de exposição a ameaças é o processo de avaliar e gerenciar riscos e vulnerabilidades de segurança cibernética. Embora seja uma abordagem essencial para todas as empresas usarem para reduzir os riscos de forma contínua, é uma parte crítica de qualquer processo de fusão ou aquisição bem gerenciado.

Os negócios de fusões e aquisições podem ser descarrilos por incidentes críticos de segurança cibernética. Como tal, os cibercriminosos e os atores de ransomware visam ativamente as empresas envolvidas em fusões e aquisições para que possam aumentar sua alavancagem usando o medo da exposição para extrair pagamentos. Outra consideração é que dados de alto valor podem ser expostos à medida que os ativos de uma empresa adquirida são fundidos nas principais operações de negócios. Os atores de ameaças são rápidos em procurar e identificar esses tipos de oportunidades de exploração sempre que as empresas anunciam uma M&A.

Surpresas indesejadas não são o que as empresas procuram durante o processo de fusões e aquisições. No entanto, sem implementar um programa de gerenciamento de exposição a ameaças, as organizações podem ser deixadas no escuro em relação aos riscos de segurança cibernética associados à empresa que estão adquirindo. Eles só podem realmente tomar decisões informadas enquanto navegam pelo processo de fusão ou aquisição se entenderem completamente os riscos cibernéticos.

Isso geralmente não era um problema tão grande há dez anos, quando a pegada de TI de uma organização era mais interna e contida. Mas hoje em dia, quase todas as empresas investiram pesadamente em serviços em nuvem, aplicativos de terceiros e uma extensa rede de parceiros integrados, fornecedores, clientes e muito mais. Com toda essa transformação digital, as superfícies de ataque de ameaças da maioria das empresas cresceram significativamente e, junto com isso, seus riscos cibernéticos. Para adicionar complexidade adicional, as cadeias de suprimentos digitais de hoje não terminam com esses parceiros ou terceiros, mas vão além deles, pois seus próprios aplicativos e plataformas provavelmente fazem referência a níveis adicionais de componentes e serviços de software, agravando o comprimento e a complexidade da cadeia de suprimentos digital.

A menos que uma organização analise proativamente a cadeia de suprimentos digital estendida de uma organização-alvo, ela está se deixando aberta a uma ampla gama de riscos cibernéticos. Se a cadeia de suprimentos digital de uma empresa-alvo for desconhecida e não analisada, será uma responsabilidade herdada para a empresa adquirente—algo que nenhuma empresa proativa quer.

Resolver esse problema não é difícil, mas é preciso algum planejamento e gerenciamento.

Existem três componentes principais para a solução:

• Crie um processo de descoberta contínuo.
• Avalie e priorize os riscos.
• Mobilize a remediação com uma colaboração eficaz.

Mas o mais importante, devido à profundidade e amplitude do problema, qualquer solução real requer uma abordagem programática. Uma abordagem programática permite que uma organização descubra mais ameaças, priorize automaticamente as ações necessárias e as corrijam mais rapidamente. Dada a escala e a complexidade do desafio, é impossível que até mesmo as organizações mais progressistas avaliem, avaliem e corrijam manualmente a cadeia de suprimentos digital estendida até mesmo de uma pequena empresa, muito menos de uma grande empresa. Igualmente importante é que uma abordagem programática pode ajudar a melhorar continuamente a postura de ameaça da organização ao longo do tempo.

Quando uma empresa está comprando ou se fundindo com outra, não está apenas comprando seus negócios, funcionários, recursos, clientes e experiência, mas também comprando a superfície de ataque digital dessa empresa e todas as potenciais vulnerabilidades cibernéticas que vêm com ela.

É por isso que nunca foi tão crítico para as organizações colocarem em prática um programa contínuo de gerenciamento de exposição a ameaças durante o processo de fusões e aquisições para garantir que não estejam apenas sendo proativas, mas também protegidas. O melhor processo de M&A é aquele sem surpresas, e um programa CTEM ajuda as empresas a eliminar surpresas cibernéticas indesejadas…….Autor: Marc Gaffan CEO da IONIX – Marc tem mais de 20 anos de experiência em segurança cibernética. ….. Leia mais em cpomagazine 07/08/2023