10 Melhores Práticas Essenciais para Garantir a Segurança em Aquisições Corporativas
Você fez a auditoria obrigatória de segurança cibernética em M&A. Será que você ainda é legalmente responsável pelas questões de cibersegurança da empresa que acabou de adquirir?
Bem, não existem exatamente responsabilidades legais, mas de acordo com uma consultoria preparada pela consultoria global Deloitte, a responsabilidade geralmente recai sobre o adquirente.
“A empresa adquirente deve determinar a postura de segurança cibernética da empresa-alvo para mitigar o risco de violação de dados”. O mesmo se aplica a ameaças latentes, como vulnerabilidades de IT e OT.
“A liderança sênior deve estar vigilante na identificação de ameaças latentes na infraestrutura adquirida e implementar mecanismos eficazes para mitigá-las. As vulnerabilidades devem ser encontradas com antecedência para reduzir a superfície de ataque antes que possam prejudicar a empresa adquirente”.
A segurança cibernética em fusões e aquisições (M&A) pode ser bastante complicada, especialmente quando se trata de vulnerabilidades e violações decorrentes de sistemas e políticas não compatíveis.
Os riscos de fusões e aquisições raramente aparecem nas notícias de segurança cibernética, mas é um fato que muitos incidentes podem ser atribuídos a auditorias e acompanhamentos inadequados de segurança cibernética de M&A.
A IBSEC separa aqui 10 melhores práticas essenciais para garantir a segurança em aquisições corporativas que todo profissional da área deve conhecer e, em um futuro próximo, dominar.
10 Melhores Práticas Essenciais para Garantir a Segurança em Aquisições Corporativas
- Formação de Equipe de Aquisição Prévia:
- Participação ativa da equipe de cibersegurança no processo de aquisição para avaliar riscos cibernéticos.
- Avaliação de Segurança Prévia à Aquisição:
- Realização de testes de penetração próprios para identificar vulnerabilidades.
- Escaneamento de Vulnerabilidades:
- Execução de escaneamentos abrangentes que cobrem todos os ambientes (desenvolvimento, QA, UAT, produção) e identificação da superfície de ataque externa.
- Revisão de Documentação Pré-Aquisição:
- Análise de políticas de segurança, inventários de software e diagramas de rede para identificar riscos.
- Análise de Equipe Pré-Aquisição:
- Identificação de ameaças internas e riscos de saída de funcionários, com processos estabelecidos para desativação de contas.
- Integração Pós-Aquisição no Dia 1:
- Atualização de configurações de autenticação multifator (MFA) para dispositivos seguros e desativação de contas não necessárias.
- Atualização do Plano de Resposta a Incidentes:
- Revisão e atualização do plano de resposta a incidentes e contatos logo após a aquisição.
- Integração de Controles de Segurança:
- Início da integração dos controles de segurança e avaliação da maturidade do programa nos primeiros 30 dias após a aquisição.
- Processo de Due Diligence com Fornecedores:
- Avaliação de fornecedores através de questionários de segurança e due diligence nos primeiros 90 dias após a aquisição.
- Treinamento e Conscientização em Cibersegurança:
- Prática essencial para a formação contínua de profissionais e usuários finais sobre as ameaças de segurança cibernética e as melhores práticas para mitigá-las. Este tipo de treinamento aumenta a resiliência contra ataques de engenharia social e outras ameaças comuns.
Confira também: Times de Cibersegurança: O que significa cada cor
Gostou do conteúdo? Se você deseja aprofundar mais seu conhecimento sobre cibersegurança, confira os nossos cursos disponíveis.
