Las fusiones y adquisiciones pueden ser habituales, pero no están exentas de riesgos, especialmente cuando se trata de riesgos de ciberseguridad. A medida que los ciberataques aumentan en frecuencia y sofisticación, lo último que quiere descubrir cualquier empresa matriz es que ha heredado activos mal gestionados o sin gestionar.
Sin embargo, evaluar el alcance del riesgo potencial puede ser una tarea ardua. Una operación de fusión y adquisición implica a menudo una expansión significativa de los activos propios de una empresa y de los activos asociados orientados a Internet (los que constituyen una superficie de ataque). Estos activos, si no se gestionan, se gestionan mal o simplemente se desconocen, representan potenciales vulnerabilidades de seguridad y puntos de entrada para los actores de amenazas. Por ello, las empresas que participan en fusiones y adquisiciones necesitan saber: ¿Qué activos orientados a Internet de este socio o adquisición estarían asociados a nuestra empresa? ¿Y los de sus socios y proveedores? ¿En qué medida están protegidos actualmente esos activos y, si existen vulnerabilidades, qué nivel de riesgo suponen para nosotros?
Para responder eficazmente a estas preguntas, es fundamental obtener una visibilidad completa de todas las superficies de ataque asociadas desde el principio.
Las empresas reconocen la necesidad de evaluar los riesgos cibernéticos
El 40% de las empresas adquirentes que completaron una actividad de fusiones y adquisiciones afirman haber encontrado un problema de ciberseguridad tras integrarse con una empresa adquirida. Las empresas saben que el riesgo es real, y esto explica por qué Gartner predice que, para 2025, el 60% de las organizaciones utilizarán el riesgo de c iberseguridad como principal factor determinante a la hora de realizar transacciones y compromisos comerciales con terceros. La investigación incluida como parte del informeCensys 2022 State of Risk and Remediation mostró una priorización similar; casi tres cuartas partes de los encuestados indicaron que centrarse en la ciberseguridad al adquirir otra empresa era "muy importante."
Además, el 88% de los encuestados en la misma encuesta afirmaron que investigan la exposición cibernética de una empresa adquirida, incluso a través de socios/proveedores.
¿Cómo suelen evaluar los riesgos de ciberseguridad las empresas que participan en fusiones y adquisiciones? Las pruebas de vulnerabilidad han sido una estrategia primordial, pero sólo el 40% de los encuestados afirman realizar ellos mismos las pruebas de gestión de vulnerabilidades en las superficies de ataque de las empresas adquiridas. El 5% solicita pruebas de vulnerabilidad, pero reconoce que puede recibirlas o no.
La realidad es que para que una empresa cubra sus bases y se proteja realmente contra los riesgos de ciberseguridad heredados, los riesgos deben identificarse o revelarse por adelantado. Descubrirlos en la fase de integración puede ser demasiado poco y demasiado tarde. Además, las empresas necesitan una visibilidad completa de todos los activos asociados a un socio potencial o a una empresa adquirida, lo que incluye activos que pueden incluso no ser conocidos por los propios socios. Un análisis de vulnerabilidades puede detectar riesgos en los activos conocidos, pero no en los desconocidos. En Censys, hemos descubierto que entre el 30 y el 80% de los activos de una superficie de ataque pueden ser desconocidos para una organización. Un comprador puede pensar que está revelando todos sus activos y riesgos conocidos, pero es probable que aún queden entidades desconocidas.
Diligencia debida con gestión de riesgos
Aquí es donde las soluciones de gestión de la exposición, como Censys, pueden desempeñar un papel fundamental, ofreciendo la visibilidad previa esencial que las empresas implicadas en fusiones y adquisiciones necesitan para comprender el verdadero alcance del riesgo potencial. La solución de gestión de la exposición adecuada puede proporcionar una supervisión, detección, inventario, clasificación y priorización continuos y automatizados de los activos con acceso a Internet, y puede hacerlo antes de que las empresas firmen la línea de puntos.
Con una solución de gestión de la exposición, una empresa implicada en fusiones y adquisiciones puede:
Obtenga una visión completa y en tiempo real de las superficies de ataque: Las fusiones y adquisiciones suelen tener largos plazos hasta el contrato final. Esto significa que el informe de vulnerabilidades que un adquiriente proporciona inicialmente puede estar obsoleto para cuando su equipo busque hacer su evaluación final de riesgos. Una visión en tiempo real de las superficies de ataque, utilizando una herramienta de gestión de la exposición como Censys Attack Surface Management, proporciona la visibilidad actualizada de 360 grados que necesita para comprender el riesgo actual.
Automatice el descubrimiento y la evaluación de activos para liberar recursos internos: El trabajo que conlleva una operación de fusión y adquisición puede poner a prueba incluso a los equipos más experimentados, y los esfuerzos de evaluación están sujetos a errores humanos y descuidos. En lugar de invertir mucho tiempo y esfuerzo en un proceso puntual de descubrimiento y evaluación de activos basado en enfoques manuales y herramientas dispares, una solución de gestión de la exposición proporciona el tipo de descubrimiento automatizado y continuo que libera recursos internos al tiempo que garantiza una visibilidad completa y fiable de la superficie de ataque.
Comprender los niveles de riesgo: Además de obtener una imagen completa de la superficie de ataque de un socio o adquirente, una solución de gestión de la exposición también puede proporcionar contexto sobre la gravedad de los riesgos descubiertos, e incluir recomendaciones para su corrección. Censys identifica cientos de categorías de riesgo dentro de su solución de gestión de la superficie de ataque, incluyendo configuraciones erróneas, exposiciones, vulnerabilidades y pruebas de compromiso.
Actuar antes de que se seque la tinta: La capacidad de lograr todo lo anterior nos lleva al beneficio culminante de la Gestión de la Exposición: comprender realmente el riesgo potencial -y actuar en consecuencia- antes de firmar cualquier contrato. Una pieza importante a tener en cuenta aquí: busque una solución de gestión de la exposición que le permita evaluar las superficies de ataque antes de la integración con otros sistemas.
Con la visibilidad inicial y la automatización obtenidas a través de la gestión de la exposición, las empresas pueden evaluar de forma más completa y precisa el riesgo de ciberseguridad que puede plantear la actividad de fusiones y adquisiciones y, a su vez, tomar decisiones más informadas para proteger lo que poseen.
¿Le interesa saber más sobre cómo Censys puede apoyar la actividad de fusiones y adquisiciones?
Solicite una demostración hoy mismo.
Demo
