Nel corso delle fusioni e acquisizioni aziendali sia chi vende sia chi acquista deve prestare attenzione al fatto che le sue risorse digitali siano resilienti. Il problema è bidirezionale perché, come ricorda Gabriele Zanoni, Consulting Country Manager di Mandiant, “durante ogni operazione di acquisizione, prima di agire, è fondamentale per chi compra verificare quali siano le pratiche di sicurezza esistenti nell’azienda di interesse. Le organizzazioni che invece si preparano a vendere devono fornire proattivamente informazioni per dimostrare quanto i loro standard di sicurezza siano efficaci per proteggere i dati”.

La questione è di grande importanza, come abbiamo ricordato in passato, tuttavia sono pochi ad averne contezza. Mandiant sottolinea infatti che ci sono molti casi noti in cui pratiche di due diligence meno scrupolose hanno comportato acquisizioni sopravvalutate, in cui la proprietà intellettuale (IP) era stata compromessa o erano state aperte controversie legali inerenti la scarsa protezione dei dati dei clienti.

Quello che pochi sanno è che acquirente e venditore devono concentrarsi non solo sulle fasi di pre-acquisizione, ma anche su quelle di post. I punti di vista di chi vede e di chi acquista ovviamente sono differenti, quindi vediamoli nel dettaglio separatamente.

Chi acquista

Le aziende che sono coinvolte in attività di acquisizione devono essere consapevoli dei rischi che affrontano. Un’organizzazione, infatti, potrebbe non solo acquisire i beni di un’altra azienda ma anche acquisirne le debolezze e i rischi. Completare l’acquisizione di un’azienda che possiede una scarsa protezione in termini di sicurezza mette l’azienda che acquista a rischio di compromissione a causa della possibilità che gli attaccanti siano già presenti nella rete della azienda acquisita.

Per ridurre al minimo questi rischi Mandiant spesso viene ingaggiata per indagare possibili compromissioni, attraverso attività di Compromise Assessment, progettate per identificare attività malevole in corso o già avvenute da parte degli attaccanti.

Le acquisizioni possono aumentare il profilo di rischio delle organizzazioni a seconda del settore, della localizzazione e dei partner associati. Anche in occasione di acquisizioni stand-alone, senza alcuna integrazione tecnica pianificata, possono esserci danni reputazionali, ad esempio, perché l’azienda acquisita è vittima di una violazione che diventa di pubblico dominio.

Cosa deve fare un’organizzazione quando scopre che all’interno di un’azienda che desidera acquisire le best practice di sicurezza non sono adottate o sono molto basiche? Zanini spiega che “in questi casi è necessario far partire lo sviluppo di un piano di integrazione post-fusione con una roadmap per migliorare le pratiche di sicurezza informatica e garantire un adeguamento delle best practice: è fondamentale che questo sia fatto prima di una integrazione tra le due reti informatiche delle due aziende, perché questi sforzi e i costi associati dovrebbero sempre essere inclusi nel prezzo di acquisto”.

Sono cinque i punti di attenzione: accertare quale sia il livello di supervisione e di guida strategica presente all’interno del programma di sicurezza dell’azienda che si vuole acquisire, appurare se l’azienda sia attualmente compromessa, stimare costi e sforzi per migliorare la posizione di sicurezza e l’infrastruttura dell’azienda acquisita. Quando il costo è elevato, potrebbe influenzare i termini dell’acquisizione.

Inoltre, è necessario valutare le possibilità di minaccia date dagli “insider” e verificare i controlli esistenti per mitigare questo tipo di minaccia e avere la consapevolezza che l’azienda acquisita possiede un programma di sicurezza più maturo dell’acquirente.

Chi vende

Quando si tratta di valutare e dimostrare l’attrattività della propria organizzazione, è bene mostrare ai potenziali acquirenti un recente report derivante da un assessment di cyber security. Questo deve includere l’identificazione di problematiche e l’esistenza in essere di attività di remediation, dettagli relativi alla sicurezza sui principali accordi con terze parti. Inoltre, è bene portare all’attenzione del potenziale acquirente attestati di approvazione di terzi.