Una buona sicurezza informatica gioca un ruolo importante nelle fusioni e acquisizioni. Quando si è trattato del grande scandalo dei dati Marriott del 2018, la sicurezza non ha ricevuto sufficiente attenzione in anticipo.
Le fusioni e acquisizioni (M&A) presentano significative opportunità per le aziende di raggiungere una rapida crescita o ottenere un vantaggio competitivo. Questi vanno dal raggruppamento di risorse alla diversificazione del portafoglio di prodotti e servizi, allo sviluppo di nuovi mercati e all'acquisizione di nuove tecnologie o conoscenze specialistiche.
Ogni operazione di M&A comporta una due diligence complessa e dettagliata, ovvero un attento esame dell'intera azienda. Sulla base dei risultati di questo, si può stimare quanto sarà complessa la fusione con le strutture aziendali esistenti. Più fluidi sono i processi di integrazione, maggiore sarà il successo finale della transazione. Tradizionalmente, la revisione M&A si è concentrata principalmente sulle aree della finanza, del diritto, delle operazioni commerciali e delle risorse umane. Con processi aziendali sempre più digitali, la due diligence dovrebbe essere effettuata anche nel settore della sicurezza informatica.
Scandalo sui dati di Marriott del 2018
Un campanello d'allarme a questo proposito è lo scandalo dei dati Marriott del 2018, che fornisce un potente esempio delle conseguenze potenzialmente gravi di una due diligence sulla sicurezza informatica fallita. L'acquisizione di Starwood Hotels & Resorts da parte di Marriott nel 2016 ha creato una delle più grandi catene alberghiere del mondo. L'offerta per i clienti Marriott e Starwood è cresciuta fino a superare i 5.500 hotel in 100 paesi. All'epoca, tuttavia, Marriott non sapeva che i sistemi informatici di Starwood erano già stati compromessi nel 2014. Non è stato fino a novembre 2018 che Marriott ha finalmente scoperto che estranei accedevano da anni ai dati personali di circa 339 milioni di ospiti in tutto il mondo tramite il database delle prenotazioni Starwood interessato.
Nel suo rapporto di indagine, l'autorità britannica di vigilanza sulla protezione dei dati ICO ha rilevato che Marriott non ha esercitato sufficiente due diligence al momento dell'acquisto di Starwood e avrebbe dovuto fare di più per proteggere i suoi sistemi. Un anno fa, ha anche annunciato la sua intenzione di multare la catena alberghiera di 99 milioni di sterline per aver violato il GDPR.
Necessità di una due diligence digitale
Oggi, le aziende di tutte le dimensioni fanno sempre più affidamento su strumenti basati su cloud, IoT e servizi di connessione digitale per servire i propri clienti ed eseguire processi aziendali. Di conseguenza, una maggiore connettività offre maggiori opportunità ai criminali informatici di lanciare attacchi dannosi, rubare dati o tentare di interrompere le operazioni aziendali. Pertanto, condurre un audit e una valutazione dettagliati della sicurezza informatica è fondamentale per scoprire vulnerabilità critiche che potrebbero rivelarsi rompicapo. È consigliabile utilizzare un approccio che parta direttamente dai dati e, sulla base di questi, valuti le strutture e i processi associati:
1. Conoscenza dei propri sistemi
In primo luogo, le organizzazioni coinvolte in attività di fusione e acquisizione hanno bisogno di una completa trasparenza sui propri sistemi IT prima di poter effettuare una solida valutazione degli altri. In questo modo è possibile creare linee guida di sicurezza complete per entrambe le strutture. Ciò costituisce la base per una strategia di integrazione che elimina la creazione di nuove vulnerabilità quando piattaforme, soluzioni e servizi vengono riuniti. Un ecosistema IT sicuro include l'applicazione granulare delle policy di sicurezza, la crittografia dei dati, la protezione dalla perdita di dati in tempo reale, i controlli dell'accesso degli utenti e il monitoraggio continuo.
2. Inventario delle scorte di dati
Fare il punto su tutti i dati è il primo passo necessario per capire quali dati vengono raccolti, come e dove vengono archiviati e per quanto tempo vengono conservati prima di essere eliminati. Ciò fornisce approfondimenti sui requisiti legali e sui regolamenti interni applicabili a livello locale, in particolare per le società internazionali. Le funzionalità di Data Loss Prevention (DLP) aiutano a identificare modelli di dati sensibili e normativi che sono potenzialmente a rischio. Altrettanto utili sono i registri delle attività, che registrano in dettaglio tutte le attività di utenti, applicazioni e file.
Tutti gli audit e le valutazioni di sicurezza informatica interni ed esterni dovrebbero essere consultati per andare a fondo di possibili violazioni dei dati non divulgate. Possono far luce sui possibili punti deboli delle misure di sicurezza esistenti e quindi aiutare a valutare il potenziale di rischio.
3. Sviluppo di una strategia di sicurezza integrativa
Dopo aver determinato quali dati devono essere protetti e dove sono archiviati, la sfida successiva è capire chi ha accesso ai dati, cosa sta accadendo con essi e quali dispositivi vengono utilizzati per accedervi. Una sicurezza informatica efficace dipende dalla capacità di proteggere tutti i dati sensibili all'interno di qualsiasi applicazione, su qualsiasi dispositivo, ovunque. A ciò si associa un'adeguata visibilità di tutti gli endpoint, le destinazioni Web, i dispositivi e le applicazioni, insieme a criteri di accesso che assicurano che solo gli utenti autorizzati abbiano accesso ai dati sensibili.
La valutazione dettagliata di tutti i sistemi IT e gli endpoint di rete dell'azienda è necessaria per poter pianificare in che modo entrambe le unità possono combinare i propri sistemi e processi IT e garantire operazioni aziendali senza intoppi dopo l'integrazione. Ad esempio, è necessario determinare quanto impegno è necessario per riparare le vulnerabilità esistenti nell'architettura di sicurezza e per rendere l'infrastruttura unificata resiliente ai rischi.
Una gestione IT affidabile come fattore di successo
Una gestione IT ben organizzata in definitiva semplifica le procedure di due diligence per tutti i soggetti coinvolti ed è quindi un fattore di successo per l'attività imprenditoriale. Per poter sviluppare standard di valutazione adeguati per la sicurezza e la protezione dei dati, è un prerequisito importante che anche le aziende soddisfino standard elevati con i propri sistemi. Altrimenti c'è il rischio che integrino le proprie omissioni in strutture ancora più grandi e provochino gravi danni. Un panorama IT gestito in modo affidabile è quindi nell'interesse di tutte le aziende, sia quelle che vogliono espandersi sia quelle che vogliono attrarre acquirenti adeguati.
[stellaboxid=4]