В современном постоянно меняющемся технологическом ландшафте угрозы и инциденты кибербезопасности часто становятся предметом статей на первых полосах и дискуссий на форумах . Кажется, нет недостатка в организациях, которые требуют выкупа от хакеров, требующих биткойн или информирующих своих клиентов о том, что их личная информация больше не является такой уж частной; неудивительно, что такие инциденты часто сопровождаются значительными потерями после раскрытия нарушения в виде штрафов, ущерба бренду или имиджу, выплат выкупа, простоев и потерянных клиентов.
Учитывая все эти киберриски, как частные инвестиционные компании могут уверенно инвестировать свой капитал, зная, что они не понесут огромных потерь, как финансовых, так и / или с точки зрения репутации, в результате кибер-инцидента? Несмотря на то, что универсального решения в отношении кибербезопасности не существует, интеграция усилий по обеспечению кибербезопасности в процессе сделки помогает частным инвестиционным компаниям понять кибер-риск, присущий конкретным инвестициям, и дает им возможность уменьшить, передать, застраховать и договориться о корректировках покупной цены, чтобы учесть этот риск.
Почему бы просто не застраховаться и вообще не проводить проверку кибербезопасности?
В большинстве случаев полисы киберстрахования содержат требования к контролю безопасности, помогающие защитить застрахованную организацию; если в организации нет необходимых средств контроля и произошел кибер-инцидент, претензия, скорее всего, будет отклонена . Cyber-diligence помогает организациям понять свои пробелы в контроле и разработать стратегию исправления и передачи рисков (посредством страхования и других соглашений), которая соответствует тезису об инвестициях и допустимости рисков группы прямых инвестиций.
Если вы собираетесь купить автомобиль без подушек безопасности, ремней безопасности и антиблокировочной системы тормозов, вам нужно знать
То же самое касается покупки портфельной компании. Если вы покупаете портфельную компанию, в которой отсутствуют базовые меры безопасности для предотвращения катастрофического кибер-инцидента, вы хотите знать об этом до закрытия сделки.
Наблюдение за кибербезопасностью охватывает логические и технические аспекты киберрисков, включая управление безопасностью. , управление конфиденциальными данными , управление идентификацией и доступом , архитектура безопасности и практики реагирования на инциденты. . Усердие в каждой из этих областей дает важную информацию, которая напрямую связана с потенциальными угрозами безопасности и нормативными требованиями, которые подвергают организации риску; каждая из перечисленных ниже областей предоставляет покупателям информацию, необходимую им для принятия действительно обоснованного решения о покупке, и помогает им избежать наследования потенциально изнурительных киберрисков.
Управление безопасностью
В современных условиях люди являются одним из крупнейших векторов атак для хакеров и злоумышленников. Атаки принимают форму фишинга, включая персонализированные атаки на жертву (известные как адресный фишинг) и методы социальной инженерии, которые могут быстро предоставить злоумышленникам стартовую площадку для получения доступа к среде организации. Внимательное отношение к управлению безопасностью помогает гарантировать наличие у целевой организации надлежащих политик, процедур и методов для минимизации рисков, связанных с этими угрозами, и обеспечивает основу для проверки снижения рисков на постоянной основе. Это включает в себя оценку политик и процедур в сравнении с ведущими практиками, проверку их практики обучения осведомленности о безопасности и проверки на соответствие, а также согласование существующего управления безопасностью с требованиями применимых нормативных актов (PIPEDA, GDPR, ITAR и т. д.). При этом тщательное управление безопасностью помогает покупателям понять, подвергается ли организация повышенному риску штрафов из-за несоблюдения требований.
Управление конфиденциальными данными
Оценка того, как организация классифицирует, управляет и защищает свои наиболее конфиденциальные данные, является еще одной важной областью должной осмотрительности. Это включает в себя понимание того, какие конфиденциальные данные собирает организация (например, личную информацию, номера кредитных карт, медицинские записи и т. д.), изучение того, как они используют эту информацию, и оценку средств контроля и мер безопасности, применяемых в отношении конфиденциальных данных. Внимательное отношение к управлению конфиденциальными данными помогает гарантировать, что целевая организация предпринимает надлежащие шаги для минимизации риска утечки данных, а также штрафов и ущерба для бренда, которые часто сопровождают это.
Управление идентификацией и доступом
Скомпрометированные пароли и информация об учетной записи — частая причина киберинцидентов. Управление идентификацией и доступом направлено на обеспечение того, чтобы организация надлежащим образом управляла идентификацией пользователей (например, учетными записями пользователей) и эффективно использовала эту идентификацию для предоставления доступа к организационным ресурсам, в которых нуждаются отдельные лица. Внимательность в этой области помогает оценить, предпринимает ли организация надлежащие шаги для сведения к минимуму риска компрометации учетной записи, несанкционированного доступа к ресурсам организации и уязвимых паролей.
Архитектура безопасности
Эти усилия сосредоточены на технических аспектах ИТ-среды объекта, таких как обеспечение того, чтобы среда создавалась и поддерживалась в соответствии с передовыми методами обеспечения безопасности. Это фундаментальная область проверки, которая помогает покупателю понять неотъемлемый риск в ИТ-среде, которую он собирается унаследовать, и что требуется для устранения основных проблем, вызывающих тревогу.
Реагирование на инцидент
Комплексная проверка в этой области направлена на проверку наличия в организации надлежащих процедур для эффективного реагирования на потенциальные и подтвержденные инциденты безопасности. Эффективное реагирование на инциденты играет важную роль в сдерживании ущерба в случае инцидента кибербезопасности; в то время как неспособность эффективно отреагировать на инцидент часто приводит к крупномасштабному ущербу, более крупным штрафам и более дорогостоящему восстановлению.
Поскольку финансовая, налоговая и юридическая комплексная проверка стали стандартными операционными процедурами для частных инвестиционных компаний перед закрытием сделки, то же самое должно произойти и с кибербезопасностью. Комплексная проверка в области кибербезопасности помогает частным инвестиционным компаниям оценить потенциальный риск кибербезопасности приобретения, а также время, усилия и затраты для адекватного устранения областей риска. В этом все более сложном мире, где данные, собираемые и хранящиеся компаниями о своих клиентах, поставщиках и процессах, являются основой их деловой практики, обеспечивая защиту этого ценного актива должны быть в центре внимания частных инвестиционных компаний при рассмотрении возможностей для транзакций.
Луис Хиггинс — супервайзер отдела управленческого консалтинга в RSM US LLP, а Бен Гиббонс — партнер и национальный руководитель направления прямых инвестиций в RSM Canada.
Люди, склонные к ошибкам соцобеспечения и не склонные к риску, делают
7 лучших акций биотехнологий для инвесторов, ненавидящих риск
Является ли частное страхование «новичком на пороге»?
Каков идеальный срок пребывания для STP?
Качество прибыли – движущая сила должной осмотрительности при слияниях и поглощениях