Las empresas son vulnerables a posibles amenazas cibernéticas durante fusiones y adquisiciones; aprenda de un experto por qué y cómo reducir los riesgos de seguridad durante la transición.
Imagen: iStockPhoto / maxkabakov
La ciberseguridad es una de las últimas cosas en el radar de la alta dirección durante una fusión o adquisición, pero debería ser una de las primeras consideraciones. “Las empresas que se compran y venden son a menudo los principales objetivos de los ciberataques”, explicó Jim Crowley, director ejecutivo del proveedor de soluciones de ciberseguridad Industrial Defender, durante una sesión de preguntas y respuestas por correo electrónico. “Sin embargo, al implementar medidas de seguridad de tecnología operativa, las organizaciones pueden evitar que un hito emocionante de la empresa se convierta en una pesadilla de seguridad e infraestructura”.
Para obtener más información sobre esta vulnerabilidad pasada por alto, Crowley respondió las siguientes preguntas.
VER: Lista de verificación: fusiones y adquisiciones (TechRepublic Premium)
¿Por qué los ciberdelincuentes apuntan a empresas que se someten a una fusión o adquisición (M&A)?
Crowley: Están atacando a estas empresas por la misma razón que la gente solía robar bancos: es donde está el dinero. Si vendiera un negocio a una gran empresa o una firma de capital privado, tendrían muchos más recursos para pagar que si fuera una organización independiente más pequeña sin un balance general sólido.
Otra cosa a considerar es la naturaleza de las fusiones y adquisiciones. Los nuevos equipos de gestión y propiedad que entran o salen de sus funciones presentan oportunidades para que los ciberdelincuentes ataquen mientras las empresas se encuentran en esta fase de transición.
¿Puede proporcionar un escenario detallado de cómo sería este tipo de ciberataque?
Crowley: Claro, un ciberatacante puede estar rastreando la actividad de fusiones y adquisiciones a través de información disponible públicamente y luego investigando qué nivel de defensa tiene el objetivo. Es bastante simple a través de herramientas estándar de redes sociales para perfilar cuántas personas de seguridad de la información hay en el personal o qué herramientas pueden tener implementadas. Si parece que no hay una función de seguridad de la información, es posible que la empresa sea el objetivo flexible que buscan los ciberdelincuentes.
El ciberdelincuente podría utilizar una variedad de métodos para ingresar a la red. Un ataque de phishing por correo electrónico es un enfoque bastante común y eficaz. Una vez que han encontrado las credenciales para acceder a los sistemas, pueden moverse por las redes y aplicaciones para determinar dónde están los datos más confidenciales.
Si se trata de un ataque a la propiedad intelectual, pueden robar diseños de productos, información de precios u otra información comercial confidencial y marcharse sin que nadie sepa que hubo una infracción. En el caso del ransomware, obtendrán acceso a archivos confidenciales, los cifrarán, para que las aplicaciones y los procesos comerciales dejen de funcionar, y exigirán un pago de rescate a la empresa para recuperar el acceso a los archivos.
¿Por qué no son más las empresas conscientes de la mayor probabilidad de un ciberataque durante una M&A?
Crowley: Es vergonzoso denunciar este tipo de ciberdelito. Podría dañar la marca de la empresa, las relaciones con los clientes y poner la empresa en una situación competitiva deficiente al intentar fusionar una empresa o ejecutar un nuevo acuerdo de propiedad, por lo que existe una renuencia a compartir los “trapos sucios” de la empresa.
¿Qué medidas pueden tomar las empresas adquiridas para mitigar las amenazas cibernéticas?
Crowley: El primer paso, si aún no está implementado, es tener un plan de respuesta a incidentes. Tener una lista de verificación de a quién llamar y qué recursos necesitarán los responsables de la ciberseguridad para limpiar el desorden les ayudará a atravesar el proceso más rápido y con menos impacto que si tuvieran que pasar las primeras 24-72 horas averiguando qué deben hacer. estar hecho.
VER: Política de respuesta a incidentes (TechRepublic Premium)
El segundo paso es asegurarse de que las herramientas y procesos de ciberseguridad existentes funcionen y estén actualizados antes de anunciar las fusiones y adquisiciones. Por ejemplo, haga las siguientes preguntas:
- ¿Existen controles de seguridad adecuados?
- ¿Están los responsables bien versados en la detección y remediación de ciberataques?
- ¿Existen procesos para notificar a todos los empleados que los ciberdelincuentes pueden estar apuntando a los activos digitales de la empresa?
El razonamiento detrás de esto es determinar si es necesario subsanar alguna brecha significativa antes de proceder.
No presente a la empresa como un objetivo fácil. Tenga en cuenta que la empresa puede estar en la pantalla del radar de un delincuente. Si es posible, tenga todas las defensas cibernéticas en su lugar antes de hacer pública la fusión. El comunicado de prensa de la fusión puede sentirse bien, pero si la ciberseguridad es deficiente, sería mejor esperar hasta que las empresas estén en una mejor posición de ciberseguridad y hayan reforzado las ciberdefensas.
¿Qué pasos pueden tomar las empresas que adquieren una nueva organización para mitigar las amenazas cibernéticas?
Crowley: Los responsables deben preguntar si existe un programa de ciberseguridad y cómo se ajusta el programa a un estándar adecuado. Muchas empresas han adoptado el marco de ciberseguridad de NIST o el estándar de controles CIS.
¿Tienen un CISO establecido o un CISO como servicio equivalente? Si parece que ha habido una inversión limitada en ciberseguridad, es posible que deseen que se realice una evaluación antes del cierre del trato para determinar qué inversiones se requieren para mitigar el riesgo cibernético para la empresa adquirente.
¿Cuáles son los impactos potenciales de un ciberataque durante una M&A?
Crowley: Algunos de los impactos potenciales serían la pérdida de propiedad intelectual que crea un competidor, o una sorpresa desagradable después de que se complete el trato que incluye el pago de un rescate sustancial, más los costos asociados de reparación, legal, tiempo del personal y pérdida de ingresos. al intentar hacer la transición de la empresa a una nueva propiedad.
Pensamiento final
Hay muchas cosas a considerar durante las fusiones y adquisiciones, y superar un ciberataque no debería ser una de ellas. Tener a todas las partes preparadas con respecto a la seguridad cibernética, antes de anunciar públicamente la fusión o adquisición, debería obligar a los ciberdelincuentes a buscar en otra parte.
Boletín informativo de Cybersecurity Insider
Refuerce las defensas de seguridad de TI de su organización manteniéndose al tanto de las últimas noticias, soluciones y mejores prácticas de ciberseguridad. Entrega martes y jueves
Regístrate hoy
Ver también
