Uma boa segurança cibernética desempenha um papel importante em fusões e aquisições. Quando se tratou do grande escândalo de dados do Marriott em 2018, a segurança não recebeu atenção suficiente de antemão.
As Fusões e Aquisições (F&A) apresentam oportunidades significativas para as empresas alcançarem um crescimento rápido ou obterem vantagem competitiva. Estas vão desde o agrupamento de recursos à diversificação do portefólio de produtos e serviços, ao desenvolvimento de novos mercados e à aquisição de novas tecnologias ou conhecimentos especializados.
Toda transação de M&A envolve due diligence complexa e detalhada, ou seja, um exame cuidadoso de toda a empresa. Com base nas conclusões, pode-se estimar o quão complexa será a fusão com as estruturas de negócios existentes. Quanto mais suaves forem os processos de integração, maior será o sucesso final da transação. Tradicionalmente, a revisão de M&A tem como foco principal as áreas de finanças, direito, operações comerciais e recursos humanos. Com processos de negócios cada vez mais digitais, a due diligence também deve ser realizada na área de segurança cibernética.
Escândalo de dados da Marriott em 2018
Um alerta a esse respeito é o escândalo de dados do Marriott de 2018, que fornece uma ilustração poderosa das ramificações potencialmente graves de uma due diligence de segurança cibernética falha. A aquisição da Starwood Hotels & Resorts pela Marriott em 2016 criou uma das maiores redes hoteleiras do mundo. A oferta para clientes Marriott e Starwood cresceu para mais de 5.500 hotéis em 100 países. Na época, porém, a Marriott não sabia que os sistemas de TI da Starwood já haviam sido comprometidos em 2014. Não foi até novembro de 2018 que a Marriott finalmente descobriu que estranhos acessavam os dados pessoais de cerca de 339 milhões de hóspedes em todo o mundo por meio do banco de dados de reservas afetado da Starwood há anos.
Em seu relatório de investigação, a autoridade supervisora de proteção de dados britânica ICO descobriu que a Marriott não exerceu a devida diligência suficiente ao comprar a Starwood e deveria ter feito mais para proteger seus sistemas. Há um ano, ela também anunciou sua intenção de multar a rede de hotéis em £ 99 milhões por violar o GDPR.
Necessidade de due diligence digital
Hoje, empresas de todos os tamanhos dependem cada vez mais de ferramentas baseadas em nuvem, IoT e serviços de conexão digital para atender seus clientes e executar processos de negócios. Como resultado, o aumento da conectividade abre mais oportunidades para os cibercriminosos lançarem ataques mal-intencionados, roubarem dados ou tentarem interromper as operações comerciais. Portanto, a realização de uma auditoria e avaliação detalhadas de segurança cibernética é crucial para descobrir vulnerabilidades críticas que podem revelar-se prejudiciais. É aconselhável usar uma abordagem que comece diretamente com os dados e, a partir deles, avalie as estruturas e processos associados:
1. Conhecimento de sistemas próprios
Em primeiro lugar, as organizações envolvidas em atividades de M&A precisam de total transparência sobre seus próprios sistemas de TI antes de poderem fazer uma avaliação robusta dos outros. Desta forma, diretrizes de segurança abrangentes podem ser criadas para ambas as estruturas. Isso forma a base para uma estratégia de integração que elimina a criação de novas vulnerabilidades quando plataformas, soluções e serviços são reunidos. Um ecossistema de TI seguro inclui aplicação granular de políticas de segurança, criptografia de dados, proteção contra perda de dados em tempo real, controles de acesso de usuários e monitoramento contínuo.
2. Inventário de estoques de dados
Fazer um balanço de todos os dados é o primeiro passo necessário para entender quais dados são coletados, como e onde são armazenados e por quanto tempo são retidos antes de serem descartados. Isso fornece informações sobre requisitos legais aplicáveis localmente e regulamentos internos, especialmente para empresas internacionais. Os recursos de prevenção contra perda de dados (DLP) ajudam a identificar padrões de dados confidenciais e regulamentares que estão potencialmente em risco. Igualmente úteis são os logs de atividades, que registram detalhadamente todas as atividades de usuários, aplicativos e arquivos.
Todas as auditorias e avaliações internas e externas de segurança cibernética devem ser consultadas para chegar ao fundo de possíveis violações de dados não divulgadas. Eles podem lançar luz sobre os possíveis pontos fracos das medidas de segurança existentes e, assim, ajudar a avaliar o potencial de risco.
3. Desenvolvimento de uma estratégia de segurança integradora
Depois de determinar quais dados precisam ser protegidos e onde serão armazenados, o próximo desafio é entender quem tem acesso aos dados, o que está acontecendo com eles e quais dispositivos estão sendo usados para acessá-los. A segurança cibernética eficaz depende da capacidade de proteger todos os dados confidenciais em qualquer aplicativo, em qualquer dispositivo, em qualquer lugar. Associado a isso está a visibilidade apropriada de todos os endpoints, destinos da web, dispositivos e aplicativos – juntamente com políticas de acesso que garantem que apenas usuários autorizados tenham acesso a dados confidenciais.
A avaliação detalhada de todos os sistemas de TI e endpoints de rede na empresa é necessária para poder planejar como ambas as unidades podem combinar seus sistemas e processos de TI e garantir operações comerciais tranquilas após a integração. Por exemplo, deve ser determinado quanto esforço é necessário para reparar as vulnerabilidades existentes na arquitetura de segurança e tornar a infraestrutura mesclada resiliente a riscos.
Gerenciamento de TI confiável como fator de sucesso
Uma gestão de TI bem organizada simplifica os procedimentos de due diligence para todos os envolvidos e, portanto, é um fator de sucesso para a atividade empreendedora. Para poder desenvolver padrões de avaliação adequados para segurança e proteção de dados, é um pré-requisito importante que as empresas também atendam a altos padrões com seus próprios sistemas. Caso contrário, existe o risco de integrarem as suas próprias omissões em estruturas ainda maiores e causarem danos graves. Um cenário de TI gerenciado de forma confiável é, portanto, do interesse de todas as empresas - tanto aquelas que desejam expandir quanto aquelas que desejam atrair compradores adequados.
[asterisco=4]