I nutidens stadigt udviklende teknologiske landskab, cybersikkerhedstrusler og hændelser er ofte genstand for forsideartikler og bestyrelsesdiskussioner . Det lader til, at der ikke er mangel på organisationer, der bliver holdt i løsepenge af hackere, der kræver bitcoin eller informerer deres kunder om, at deres private oplysninger ikke længere er helt så private; Det er ikke overraskende, at disse hændelser ofte efterfølges af betydelige tab efter afsløring af brud i form af bøder, brand- eller imageskade, løsesum, nedetid og mistede kunder.
I betragtning af alle disse cyberrisici, hvordan kan private equity-selskaber trygt investere deres kapital vel vidende, at de ikke vil lide et massivt tab, både økonomisk og/eller fra et omdømmemæssigt perspektiv, i hænderne på en cyber-hændelse? Selvom der ikke er nogen sølvkugle med hensyn til cybersikkerhed, integrering af cybersikkerhed i handleprocessen hjælper private equity-virksomheder med at forstå den cyberrisiko, der er forbundet med en bestemt investering, og giver dem mulighed for at afbøde, overføre, forsikre sig mod og forhandle købsprisjusteringer for at imødekomme denne risiko.
Hvorfor ikke bare få en forsikring og helt springe over cyberdiligence?
I de fleste tilfælde har cyberforsikringspolicer sikkerhedskontrolkrav for at hjælpe med at beskytte den forsikrede organisation; i tilfælde af at en organisation ikke har de påkrævede kontroller, og der er en cyber-hændelse, vil kravet sandsynligvis blive afvist . Cyberdiligence hjælper organisationer med at forstå deres kontrolhuller og sammensætte en strategi for afhjælpning og risikooverførsel (gennem forsikringer og andre aftaler), der stemmer overens med investeringsafhandlingen og private equity-gruppens risikotolerance.
Hvis du skulle købe en bil uden airbags, sikkerhedsseler og blokeringsfrie bremser, vil du gerne vide det
Det samme gælder for køb af en porteføljevirksomhed. Hvis du køber en porteføljevirksomhed, der mangler de grundlæggende sikkerhedsforanstaltninger for at forhindre en katastrofal cyber-hændelse, vil du gerne vide det, før du lukker handlen.
Cybersecurity diligence dækker logiske og tekniske aspekter af cyberrisiko, herunder sikkerhedsstyring , håndtering af følsomme data , identitets- og adgangsstyring , sikkerhedsarkitektur , og hændelsespraksis . Omhu på hvert af disse områder giver afgørende indsigt, der direkte relaterer til potentielle sikkerhedstrusler og regulatoriske krav, der sætter organisationer i fare; hvert af nedenstående områder giver købere den information, de har brug for for at træffe en virkelig informeret købsbeslutning og hjælper dem med at undgå at arve potentielt svækkende cyberrisiko.
Sikkerhedsstyring
I dagens miljø er mennesker en af de største angrebsvektorer for hackere og ondsindede aktører. Angreb tager form af phishing, herunder personlige angreb på offeret (kendt som spear phishing) og social engineering, som alle hurtigt kan give et startskud for ondsindede aktører til at få adgang til organisationens miljø. Omhu omkring sikkerhedsstyring hjælper med at sikre, at en målorganisation har de rigtige politikker, procedurer og praksis på plads for at minimere risikoen fra disse trusler og give en ramme for validering af risikoreduktion på et konsistent grundlag. Dette omfatter evaluering af politikker og procedurer i forhold til førende praksis, validering af deres sikkerhedsbevidsthedstræning og overholdelsestestpraksis og afstemning af sikkerhedsstyringen på plads med kravene i gældende regler (PIPEDA, GDPR, ITAR osv.). På den måde hjælper omhyggelig sikkerhedsstyring købere med at forstå, om en organisation har øget risiko for bøder på grund af manglende overholdelse.
Sensitive data management
Evalueringen af, hvordan en organisation klassificerer, administrerer og beskytter sine mest følsomme data, er et andet vigtigt due diligence-område. Dette omfatter forståelse af, hvilke følsomme data en organisation fanger (f.eks. personligt identificerbare oplysninger, kreditkortnumre, sundhedsjournaler osv.), at undersøge, hvordan de bruger oplysningerne, og at evaluere de kontroller og sikkerhedsforanstaltninger, der er på plads omkring de følsomme data. Omhu omkring følsom datastyring hjælper med at sikre, at en målorganisation tager passende skridt for at minimere risikoen for et databrud og de bøder og brandskade, der ofte følger med det.
Identitets- og adgangsstyring
Kompromitterede adgangskoder og kontooplysninger er en almindelig årsag til cyber-hændelser. Identitets- og adgangsstyring fokuserer på at sikre, at en organisation korrekt administrerer brugernes identiteter (f.eks. brugerkonti) og effektivt bruger disse identiteter til at give adgang til de organisatoriske ressourcer, den enkelte har brug for. Omhu på dette område hjælper med at vurdere, om en organisation tager passende skridt for at minimere risikoen for kompromittering af kontoen, ukorrekt adgang til organisatoriske ressourcer og sårbare adgangskoder.
Sikkerhedsarkitektur
Disse omhyggelige indsatser fokuserer på de tekniske aspekter af et måls it-miljø, såsom at sikre, at miljøet bygges og vedligeholdes i overensstemmelse med førende sikkerhedspraksis. Dette er et grundlæggende gennemgangsområde, der hjælper en køber med at forstå den iboende risiko i det it-miljø, de er ved at arve, og hvad der kræves for at afhjælpe de store problemer med 'rødt flag'.
Hændelsesreaktion
Due diligence på dette område fokuserer på at validere, at en organisation har de korrekte procedurer på plads til at reagere på potentielle og bekræftede sikkerhedshændelser på en effektiv måde. Effektiv hændelsesreaktion er medvirkende til at begrænse skaden i tilfælde af en cybersikkerhedshændelse; mens undladelse af at reagere effektivt på en hændelse ofte resulterer i omfattende skader, større bøder og en dyrere genopretning.
Da finansiel, skattemæssig og juridisk due diligence er blevet standarddriftsprocedurer for private equity-virksomheder forud for afslutning af en transaktion, bør cybersikkerheds-omhu også. Cyber-due diligence hjælper private equity-virksomheder med at gøre status over den potentielle cybersikkerhedsrisiko ved et opkøb samt tiden, indsatsen og omkostningerne til at håndtere risikoområder på passende vis. I denne stadig mere komplekse verden, hvor de data, der indsamles og vedligeholdes af virksomheder om deres kunder, leverandører og processer, er kernen i deres forretningspraksis, det sikrer beskyttelse af dette værdifulde aktiv bør være et centralt fokus for private equity-selskaber, når de gennemgår transaktionsmuligheder.
Louis Higgins er Supervisor, Management Consulting hos RSM US LLP, og Ben Gibbons er Partner og National Private Equity Leader hos RSM Canada.