Panorama general
Un informe de PWC sobre las tendencias mundiales de fusiones y adquisiciones para 2020 señalaba que "la pandemia y los recientes acontecimientos geopolíticos ya han llevado a la mayoría de las empresas a las mismas conclusiones, impulsando tanto los volúmenes como los valores de las operaciones al alza... en particular para los activos digitales y tecnológicos". En este blog, destacaré las principales ventajas de la gestión de la superficie de ataque cuando se trata de grandes cambios empresariales como fusiones y adquisiciones. Mi objetivo es proporcionar información que proporcione a los líderes empresariales y a los responsables de la toma de decisiones una mejor comprensión de los riesgos de ciberseguridad a los que se enfrentará su empresa cuando adquiera otra compañía.
En el pasado, las empresas adquirentes revisaban en profundidad los aspectos fundamentales de la adquisición de un objetivo. Estos fundamentos consistían en las finanzas de la empresa, la opinión de los consumidores sobre la marca, los productos y los servicios ofrecidos. Todos ellos son fundamentales para la estrategia, o lo que a mí me gusta llamar el "y qué", de la adquisición. La ciberseguridad ni siquiera se previó en el proceso de la mayoría de las operaciones durante la era de las punto com y antes de ella.
Hoy en día, hemos entrado en una era en la que no se compra una empresa, sino los datos. Con esos datos vienen los problemas de seguridad de los datos que también estás firmando para comprar. Las infracciones desconocidas del pasado, las redes comprometidas actuales y los resultados futuros de las malas prácticas de ciberseguridad forman parte del peor escenario posible que debemos tener en cuenta a la hora de llevar a cabo este proceso. Parte de su diligencia debida durante una adquisición hoy DEBE implicar la comprensión de la postura de seguridad y el riesgo de una organización de la que aún no tiene conocimiento interno. Según Gartner, en 2022 el 60% de las organizaciones que participen en fusiones y adquisiciones considerarán la ciberseguridad como un factor crítico.
Retos de la ciberseguridad
El mayor reto es saber si la organización que está adquiriendo ya está comprometida. No querrá dar vía libre para entrar en su red a un posible actor de amenazas que esté al acecho en la empresa que va a adquirir. Descubrir que una organización ya está infectada puede enturbiar las aguas y reducir el valor de la operación. Usted asumirá la deuda de seguridad oculta de la respuesta a la violación, el coste desconocido del daño a la marca y el futuro impacto legal. Un ejemplo bien conocido de esto es la violación de Yahoo de la que Verizon tuvo conocimiento durante la fase de diligencia debida. El compromiso de Yahoo fue muy costoso para Verizon. El resultado fue que Verizon rebajó el precio de compra en 350 millones de dólares, lo que parece un ahorro, pero no lo fue. Tras cerrar la adquisición, Verizon llegó a un acuerdo en los tribunales por 117,5 millones de dólares, tuvo que comprometerse a gastar 306 millones de dólares en seguridad de la información para los años 2019 - 2022, y acordó cuadruplicar la plantilla de Yahoo en seguridad.
La siguiente mayor preocupación en materia de ciberseguridad durante una fusión y adquisición es descubrir qué activos está heredando, su nivel de riesgo y si su equipo cuenta con los procesos adecuados para identificar y remediar esos riesgos. El uso de una plataforma de gestión de superficies de ataque como Censys ASM Platform puede ayudarle fácilmente a determinar si la higiene de un objetivo de adquisición es suficiente. Puede ser muy consciente de las brechas de seguridad descubriendo puertos expuestos que alojan protocolos y/o servicios que presentan un riesgo evidente. Por ejemplo, si encuentra bases de datos expuestas, es posible que desee incluir preguntas en su proceso de divulgación sobre cómo están protegidas esas bases de datos (teniendo en cuenta que son accesibles desde fuera del cortafuegos). Tal vez encuentres una proliferación de software de servidor web ejecutándose en varias versiones, algunas de las cuales han caducado. Esto es indicativo de una mala gestión de activos e higiene de ciberseguridad, así como de una estrategia mediocre de gestión de vulnerabilidades y parches.
Por último, hay algunas conclusiones no tan evidentes que, combinadas con la información que hemos comentado antes, pueden proporcionarle la información que necesita para fijar el precio de su oferta en consecuencia y comprender realmente el riesgo empresarial desde una perspectiva financiera. Por ejemplo, supongamos que una empresa crea contenidos web durante un breve periodo de tiempo, quizá para marketing o para que un desarrollador cree un entorno de pruebas. Luego dejan el sitio o el servicio provisionado, se convierte en un activo olvidado pero acaba siendo un riesgo de seguridad para la organización porque quizás estaba fuera del entorno y los controles de TI sancionados. Este tipo de riesgo de seguridad es uno que la empresa de adquisición de destino no es consciente de y por lo tanto no puede revelar. Sólo mediante la realización del trabajo para obtener la perspectiva del atacante podría la empresa adquirente ser consciente de este riesgo.
Otro ejemplo muy común, aunque no tenemos una forma clara de abordarlo, tiene que ver con las carencias de competencias en ciberseguridad a las que todos nos enfrentamos hoy en día. Simplemente no hay suficientes personas para desempeñar las funciones necesarias para que la mayoría de las empresas tengan una buena postura de seguridad. Esto lleva a que el personal existente no dé abasto y esté por debajo de la capacidad necesaria. Se pueden cometer errores y se cometerán. Es posible que no se disponga del personal adecuado, o francamente suficiente, para llevar a cabo correctamente una evaluación de la ciberseguridad para la adquisición. Descargar esta parte de la evaluación de la ciberseguridad a una solución como Censys ayudará inmediatamente a abordar la escasez de competencias y a realizar lo que a una persona le llevaría semanas, si no meses, realmente en cuestión de días.
Debida diligencia de la superficie de ataque para el éxito de las fusiones y adquisiciones
¿Cómo puede asegurarse de que lo que compra es seguro? Examinar usted mismo la superficie de ataque de la empresa durante el proceso de diligencia debida puede ayudarle a verificar lo que está adquiriendo y las posibles áreas problemáticas que podrían costarle caro en el futuro. Conocerá el número de activos externos y el tipo de riesgo al que se exponen dichos activos comparando un marco de riesgo con puertos abiertos, protocolos accesibles, servicios activos y cualquier vulnerabilidad común conocida asociada.
Tradicionalmente, las personas que se encargan de las fusiones y adquisiciones no suelen ser expertos en ciberseguridad. Se trata de un proceso muy extenso en el que puede asociarse con Censys para que le ayude en este viaje. Utilizando la plataforma de gestión de la superficie de ataque Censys , puede automatizar una visión fuera del cortafuegos que se traduce inmediatamente en un ahorro de costes de tiempo de recursos de ingeniería al tiempo que expone los riesgos ocultos. El beneficio de revisar la superficie de ataque de una empresa que está adquiriendo le ayudará a asegurar el precio correcto, el coste real, y beneficiará a la fusión o adquisición en general.
Para obtener más información sobre cómo Censys ASM Platform puede ayudarle en sus necesidades de adquisición, póngase en contacto con nosotros hoy mismo para solicitar una demostración.
