Los días previos al anuncio de una adquisición son embriagadores. Sus equipos de diligencia funcional, junto con abogados, banqueros y, a menudo, consultores, se pelean entre montañas de información proporcionada por el objetivo, preparándose para un escenario "go/no-go" que rivaliza con cualquier lanzamiento de la NASA. El equipo de ciberseguridad es un actor relativamente nuevo pero muy importante en el proceso. Sin embargo, este equipo a menudo tiene que participar de una manera diferente, para no perderse algunos de los problemas más costosos y que destruyen la reputación, que son más difíciles de sacar a la luz que las amenazas tradicionales de fusiones y adquisiciones.
Según un artículo de Forbes, "el 40% de las empresas adquirentes que participan en una operación de fusión y adquisición afirman haber descubierto un problema de ciberseguridad durante la integración posterior a la adquisición de la empresa adquirida." ¿A qué se debe esto? Mientras que las transacciones de fusiones y adquisiciones continúan aumentando en volumen y tamaño, también se han vuelto más complicadas, particularmente a medida que las organizaciones adoptan la transformación digital y la globalización. Además, los profesionales de la seguridad a menudo se quedan fuera del proceso de diligencia a pesar de ser responsables del riesgo posterior a la operación.
Varias grandes adquisiciones se han visto paralizadas por filtraciones de datos procedentes de activos explotados que podían descubrirse antes de la transacción, pero que no se dieron a conocer hasta después del anuncio. Hoy en día, es esencial que las empresas que realizan adquisiciones comprendan los activos externos expuestos a Internet del objetivo y sean más conscientes de su superficie de ataque externa.
Analicemos las cinco razones principales por las que los compradores deberían realizar un informe de superficie de ataque antes, durante y después de una adquisición.
Razón nº 1: La diligencia debida en materia de ciberseguridad sigue evolucionando y exige analizar los datos de forma diferente a otros tipos de diligencia debida.
Muchos adquirentes y sus asesores (normalmente bufetes de abogados y bancos de inversión) siguen utilizando procesos anticuados de diligencia debida: listas anticuadas y estáticas de solicitud de información que a menudo se centran en la privacidad, las políticas, el cumplimiento y el historial de incidentes anteriores. Estas listas no suelen ayudar mucho al comprador a comprender la preparación actual del objetivo en materia de ciberseguridad. Los equipos de seguridad corporativa son todavía relativamente nuevos, y su influencia aún no se ha materializado plenamente en el proceso de diligencia.
Las solicitudes de diligencia en materia de ciberseguridad se centran en lo que sabe el vendedor y suelen ser cuestionarios adaptados a las tres P (personas, políticas y procedimientos):
- Identificación y localización de datos sensibles, y cumplimiento de la normativa en materia de recopilación y almacenamiento de dichos datos.
- Conocimiento de la pila tecnológica de seguridad de los sistemas de información
- Adecuación del personal, las políticas y los procedimientos de ciberseguridad
- Incidentes anteriores y planes de recuperación
Esta información proporciona poca información para evaluar riesgos, exposiciones, vulnerabilidades y configuraciones erróneas en la red del objetivo. Las pruebas de penetración y/o las herramientas de riesgo de terceros se utilizan a menudo para abordar estas áreas. Sin embargo, las pruebas de penetración a menudo se realizan después de que se anuncie una adquisición, ya que puede ser muy perjudicial antes de la transacción, especialmente para el equipo de operaciones de seguridad que no lo sabe. Y aunque las pruebas de penetración y las herramientas de riesgo de terceros son cruciales para probar sistemas y herramientas, a menudo sólo examinan una muestra de la red del objetivo, con una amplitud y profundidad limitadas de toda la superficie de ataque.
Las herramientas de riesgo de terceros no son "suficientemente buenas", ya que a menudo se basan en información inexacta, limitada o desfasada. Ejecutar Censys ASM le proporciona un inventario completo de los activos expuestos a Internet junto con todos los riesgos cibernéticos y perspectivas asociados, y se puede hacer en cualquier momento sin interrupción.
Razón nº 2: Los equipos de diligencia, en ambos lados, son relativamente pequeños y pesados en comparación con los equipos de integración.
Para proteger la confidencialidad de las operaciones, los equipos de diligencia suelen estar formados por altos cargos de distintos departamentos. Pero eso es todo: a menudo sólo uno o dos de cada departamento. Esto se debe a la absoluta necesidad de confidencialidad por encima de todo durante el proceso de fusión y adquisición.
Estos dirigentes no suelen estar en la "mezcla" de las operaciones cotidianas de la empresa. Su limitada capacidad profesional conduce a una falta de comprensión del verdadero estado de las operaciones de seguridad y sus necesidades. El CISO está muy incentivado para hacer el trabajo, y quiere ser preciso, pero no conoce todos los detalles del día a día que conoce su equipo.
LEA: Encuentre y cubra sus activos con la gestión de la superficie de ataque de Forrester
El CISO también sabe que cuando se complete esta adquisición, es probable que le despidan. Después de la adquisición, el CISO puede estar en su próximo trabajo y ya no está disponible para responder preguntas sobre la postura de seguridad de la empresa. El equipo de integración tiene ahora una gran tarea por delante para asegurar los problemas de los que deberían haber sido alertados antes.
Una de las ventajas de elaborar un informe sobre la superficie de ataque es que el adquirente puede hacerlo en cualquier momento del proceso, sin que el objetivo tenga que intervenir ni sufrir interrupciones (tanto si el CISO sigue presente como si no).
Razón nº 3: Los equipos jurídicos que gestionan el ciberriesgo suelen centrarse únicamente en la privacidad de los datos y el cumplimiento de la normativa.
La diligencia debida en materia de ciberriesgos suele ser gestionada por los equipos jurídicos, que se centran en el cumplimiento de la privacidad de los datos. Además, algunos altos responsables de operaciones de seguridad podrían examinar los procesos y sistemas de información sobre riesgos de ciberseguridad proporcionados por el objetivo, con el fin de documentar la eficacia y preparación del programa general de ciberseguridad (gestión de riesgos, controles, protección, detección, privacidad de datos, etc.).
Estos directivos y abogados a menudo se centran en infracciones e incidentes anteriores y en el cumplimiento y la responsabilidad en torno a acciones pasadas. Miran hacia atrás y asumen que los resultados del pasado son indicativos de la situación actual. A menudo se pasan por alto activos desconocidos o no gestionados, que el adquirente heredará sin darse cuenta como una red comprometida.
No dé por sentado que el vendedor lo sabe todo. Siempre hay que analizar la superficie de ataque externa de la empresa que se adquiere.
Razón nº 4: Los directivos de la empresa adquirida suelen ser reacios a compartir información negativa sobre sus departamentos.
Admitámoslo, nadie quiere quedar mal ante un nuevo propietario o jefe. Cuando el CISO comparte los detalles que conoce sobre su departamento, se centra en las mejores partes del mismo. No quieren ser la razón por la que esta fusión o adquisición fracase.
Además, los abogados y banqueros aconsejan a los vendedores que se limiten a facilitar únicamente los datos solicitados o a responder a las preguntas formuladas, ya que los tribunales han hecho recaer en los compradores la responsabilidad de llevar a cabo una diligencia debida eficaz.
En la historia del Tribunal Chancery de Delaware, solo un caso(Akorn 2018) se resolvió a favor de un adquirente, permitiéndole rescindir una fusión después de firmar y anunciar un acuerdo definitivo por un Cambio Material Adverso, cuando el objetivo no proporcionó una divulgación completa y adecuada.
Una vez anunciada la adquisición, lo más probable es que se quede con ella, para bien o para mal.
Razón nº 5: Los actores de las amenazas vigilan las adquisiciones y buscarán inmediatamente vulnerabilidades que explotar justo después del anuncio.
La pura verdad es que los equipos de seguridad están constantemente pivotando para proteger a sus organizaciones. Y las amenazas sólo tienen que acertar una vez. Y lo que es mejor, saben que una empresa es más vulnerable justo después del anuncio de una adquisición.
Según PWC, se trata de un periodo repleto de oportunidades para los piratas informáticos:
"Una adquisición que tenga vulnerabilidades cibernéticas existentes puede ser utilizada por los actores de amenazas para obtener acceso a la empresa adquirente a medida que avanza la integración. El período entre el anuncio de una operación y su cierre es especialmente vulnerable si existen vulnerabilidades, dado el aumento de la concienciación y de las oportunidades. Ese potencial puede aumentar la ansiedad entre las partes interesadas -incluidos inversores, accionistas, clientes, empleados y proveedores-, lo que conlleva un mayor riesgo de interrupción". - Cuando la ciberamenaza amenaza las fusiones y adquisiciones, PWC US, 2018
Tras el anuncio de una adquisición, los equipos de seguridad de ambas partes se distraen con "asuntos míos", pero los atacantes están más centrados que nunca. Mediante la ejecución continua de informes de superficie de ataque durante todo el período, ambas entidades pueden unirse como una sola, y remediar rápidamente cualquier riesgo que surja.
Los informes de superficie de ataque son esenciales durante el proceso de fusión y adquisición
Proteger una superficie de ataque externa es algo que todas las empresas deberían hacer, independientemente de si se está llevando a cabo una fusión o adquisición o de si se trata simplemente de hacer negocios. Encontrar activos expuestos en Internet es fácil para los actores de amenazas. Es fácil de encontrar para ellos y explotarán esa oportunidad.
Censys Attack Surface Management (ASM) explora continuamente Internet en busca de los activos desconocidos que plantean los mayores riesgos para una organización. Al ser la primera herramienta del mercado en hacerlo -y la mejor-, permite a los equipos de seguridad estar al tanto de sus superficies de ataque, en constante expansión, y detectar los riesgos antes que nadie.
Para saber más sobre Censys ASM, véalo en acción en nuestra demostración.
Demostración de ASM