A incerteza econômica geralmente estimula a consolidação do setor – e, de fato, analistas da Bain e da PwC estão prevendo que as fusões e aquisições no setor de saúde se recuperarão em 2023.

Mas, além das considerações financeiras, essas transações têm muitos outros benefícios motivadores. Como observa a Associação Americana de Hospitais, M&A permite que os hospitais expandam a oferta de serviços, ampliem as redes e o acesso a especialistas e melhorem a qualidade do atendimento para melhor atender os pacientes.

Mas um aspecto frequentemente negligenciado de uma fusão ou parceria é o aumento do potencial de riscos de segurança – um fator que está sendo investigado em pelo menos um incidente recente de violação de dados de pacientes de saúde. Embora a velocidade e o sigilo sejam normalmente essenciais para esse tipo de negócio, as organizações de saúde precisam incluir um especialista em segurança na equipe principal desde o início – não apenas para analisar riscos, mas também para facilitar as complexidades do processo em si.

Garantindo a fase de ‘due diligence’

Os grupos de desenvolvimento de negócios devem sempre envolver pelo menos uma pessoa da equipe de segurança entre as entidades confiáveis no início do processo de transação. Muitas vezes, um especialista em segurança não é convidado a participar durante os primeiros estágios de uma fusão ou parceria, a fim de manter uma potencial transação silenciosa. Mas como é exatamente quando as informações confidenciais começam a ser compartilhadas entre as organizações, a segurança precisa estar lá.

Para começar, a empresa adquirente deve realizar uma revisão de due diligence de segurança cibernética para avaliar todos os aspectos da segurança de uma organização-alvo — incluindo políticas, procedimentos, gerenciamento de contas, conformidade regulatória, aplicativos, interfaces de programas de aplicativos e segurança de nuvem/infraestrutura. Todos os custos potenciais e os riscos da transação podem não ser evidentes na superfície. Investimentos significativos em segurança podem precisar ser feitos para elevar a organização-alvo ao mesmo nível da empresa adquirente.

Outra área crítica a ser explorada é a busca por violações desconhecidas e problemas de conformidade. As empresas adquirentes sofreram perdas significativas ao descobrir violações de dados anteriores de um alvo somente depois que o negócio for concluído. Como tal, eles podem herdar multas significativas e uma redução geral no valor do negócio. A detecção precoce pode salvar sua organização de assumir involuntariamente a imprensa negativa e os custos de um problema de segurança pré-existente.

A fase de due diligence também é quando dados sensíveis (como financeiros) começarão a se mover para frente e para trás. Um especialista em segurança da equipe principal pode ajudar a garantir que as comunicações sejam protegidas e que qualquer informação delicada seja compartilhada com segurança.

Protegendo a fase de planejamento

Antes de fazer qualquer anúncio público sobre um acordo, um especialista em segurança precisa começar a analisar riscos e exposições potenciais de ambos os lados. Assim que sai a notícia de uma fusão ou parceria, os invasores podem começar a tentar tirar proveito da fluidez dos ambientes.

Outro fator de risco que precisa ser rastreado é que os funcionários de ambos os lados da transação podem começar a sentir insegurança no emprego devido a possíveis requisitos de demissão ou realocação. Algumas pessoas podem explorar outros trabalhos e, em preparação para sua saída, podem começar a baixar arquivos de trabalho ou pesquisas que fizeram para suas próprias ferramentas privadas de armazenamento e colaboração.

Embora a intenção possa não ser maliciosa, esses tipos de atividades internas podem representar um risco para a organização. A segurança deve monitorar comportamentos de usuários de alto risco e ser capaz de aplicar controles que impeçam que conteúdo confidencial ou proprietário seja exfiltrado.

Garantindo uma integração perfeita

Preparar-se para o “primeiro dia” de uma fusão ou parceria inclui muitas considerações de segurança, começando pela visibilidade. Um exemplo perfeito seria um grande sistema hospitalar se ramificando em uma comunidade através da aquisição de uma clínica menor. A equipe de segurança do hospital precisa ver para onde todos os dados estão fluindo naquela clínica para estruturar a postura geral de segurança – antes de unir forças. Porque uma vez que você está conectado a outra organização, você também está conectado a quaisquer ameaças não descobertas ou vulnerabilidades presentes em seus sistemas.

Infelizmente, alguns processos de segurança importantes têm que esperar até o primeiro dia, porque eles não podem ser feitos antes do fechamento do negócio. Por exemplo, a segurança muitas vezes não pode começar a executar varreduras profundas e detalhadas até que o adquirente seja oficialmente proprietário da organização de destino. Algumas das perguntas essenciais que precisarão ser respondidas imediatamente podem incluir:

• A segurança tem a capacidade de limitar o acesso aos serviços e aplicativos de nuvem existentes da organização de destino para evitar vazamentos de dados?
• Você pode identificar e gerenciar integrações de terceiros e detectar quaisquer atividades problemáticas sendo feitas pelos usuários na organização de destino?
• Você pode fornecer visibilidade e proteção de dados para quaisquer novas conexões SD-WAN para filiais ou escritórios remotos?
• Como pode haver dados confidenciais em ambientes de nuvem que não foram gerenciados, a segurança tem a capacidade de avaliar de forma abrangente os recursos de monitoramento de ameaças da organização alvo, incluindo a movimentação granular de dados de/para as soluções de nuvem do alvo?

As considerações de integração de longo prazo devem permitir processos de negócios seguros e eficientes em toda a organização recém-combinada. Haverá, sem dúvida, uma grande duplicação – casos em que as duas organizações têm usado ferramentas ou sistemas diferentes para executar funções semelhantes. Para avaliar tudo o que está atualmente em vigor, a segurança precisa da capacidade de identificar todos os diferentes aplicativos em nuvem que cada grupo de negócios está usando, o número de usuários acessando-os, a sensibilidade dos dados envolvidos e a movimentação de dados que cada sistema exige.

Depois de compilar esse inventário abrangente, a segurança pode analisar o custo total de propriedade para proteger aplicativos e dados em toda a organização combinada, que pode ser referenciado para ajudar a eliminar redundâncias e ineficiências.

A segurança também deve continuar a monitorar alterações no comportamento do usuário que indiquem maior risco de segurança. M&As que envolvem diferentes localizações geográficas, culturas, controles de segurança e/ou modelos operacionais trazem maior risco para ameaças internas.

Acelerando os benefícios da integração

Aquisições, joint ventures e outras formas de parcerias de saúde se beneficiam de ter a segurança envolvida desde os estágios iniciais. Eles podem ajudar a proteger comunicações confidenciais, controlar o compartilhamento de informações, estabelecer visibilidade da infraestrutura da organização de destino e identificar ameaças potenciais que desvalorizariam a transação.

Mas, além de proteger o adquirente de riscos, um especialista em segurança também pode ajudar a perceber os benefícios de unir essas duas organizações mais cedo ou mais tarde. Seja atendendo a necessidades financeiras, eficiência operacional ou ofertas ampliadas de atendimento, essa integração deve fazer com que ambas as empresas sejam mais do que a soma de suas partes. Quanto mais cedo isso acontecer, melhor para todos – funcionários, médicos e pacientes… saiba mais em Healthcaredive 26/05/2023