In het steeds evoluerende technologische landschap van vandaag, cybersecurity-bedreigingen en -incidenten zijn vaak het onderwerp van voorpagina-artikelen en bestuursdiscussies . Het lijkt erop dat er geen tekort is aan organisaties die losgeld worden vastgehouden door hackers die bitcoin eisen of hun klanten informeren dat hun privé-informatie niet langer zo privé is; het is niet verwonderlijk dat deze incidenten vaak worden gevolgd door aanzienlijke verliezen na openbaarmaking van inbreuken in de vorm van boetes, merk- of imagoschade, losgeld, uitvaltijd en verloren klanten.
Hoe kunnen private equity-bedrijven ., gezien al deze cyberrisico's, hun kapitaal met vertrouwen investeren in de wetenschap dat ze door een cyberincident geen enorm verlies zullen lijden, zowel financieel als/of vanuit reputatieperspectief? Hoewel er geen wondermiddel is met betrekking tot cyberbeveiliging, is het integreren van cyberbeveiligingsinspanningen in het dealproces helpt private equity-bedrijven het cyberrisico dat inherent is aan een bepaalde investering te begrijpen, en geeft hen de mogelijkheid om aanpassingen van de aankoopprijs te beperken, over te dragen, te verzekeren en te onderhandelen om dat risico op te vangen.
Waarom niet gewoon een verzekering nemen en cyberdiligence helemaal overslaan?
In de meeste gevallen hebben cyberverzekeringen vereisten voor beveiligingscontrole om de verzekerde organisatie te helpen beschermen; in het geval dat een organisatie niet over de vereiste controles beschikt en er zich een cyberincident voordoet, zal de claim waarschijnlijk worden afgewezen . Cyber-diligence helpt organisaties hun controlelacunes te begrijpen en een strategie voor herstel en risico-overdracht (via verzekeringen en andere convenanten) samen te stellen die aansluit bij de investeringsthese en de risicotolerantie van de private equity-groep.
Als je een auto zou kopen zonder airbags, veiligheidsgordels en antiblokkeerremmen, zou je dat willen weten
Hetzelfde geldt voor de aankoop van een portfoliobedrijf. Als u een portfoliobedrijf koopt dat niet over de basiswaarborgen beschikt om een catastrofaal cyberincident te voorkomen, wilt u dit weten voordat u de deal sluit.
Cybersecurity-diligence omvat logische en technische aspecten van cyberrisico's, waaronder security governance , gevoelig gegevensbeheer , identiteits- en toegangsbeheer , beveiligingsarchitectuur , en praktijken voor reactie op incidenten . Diligence op elk van deze gebieden levert cruciale inzichten op die rechtstreeks verband houden met potentiële beveiligingsbedreigingen en wettelijke vereisten die organisaties in gevaar brengen; elk van de onderstaande gebieden biedt kopers de informatie die ze nodig hebben om een echt weloverwogen aankoopbeslissing te nemen en helpt hen te voorkomen dat ze potentieel slopende cyberrisico's erven.
Veiligheidsbeheer
In de huidige omgeving zijn mensen een van de grootste aanvalsvectoren voor hackers en kwaadwillende actoren. Aanvallen nemen de vorm aan van phishing, inclusief gepersonaliseerde aanvallen op het slachtoffer (bekend als spear phishing), en social engineering, die allemaal snel een startpunt kunnen bieden voor kwaadwillende actoren om toegang te krijgen tot de omgeving van de organisatie. Nauwgezetheid rond beveiligingsbeheer helpt ervoor te zorgen dat een doelorganisatie beschikt over het juiste beleid, de juiste procedures en praktijken om het risico van deze bedreigingen te minimaliseren en een kader te bieden voor het valideren van risicobeperking op een consistente basis. Dit omvat het evalueren van het beleid en de procedures aan de hand van toonaangevende praktijken, het valideren van hun training op het gebied van beveiligingsbewustzijn en het testen van naleving, en het afstemmen van het bestaande beveiligingsbeheer met de vereisten van toepasselijke regelgeving (PIPEDA, AVG, ITAR, enz.). Daarbij helpt de zorgvuldigheid op het gebied van beveiligingsbeheer kopers te begrijpen of een organisatie een verhoogd risico loopt op boetes als gevolg van niet-naleving.
Gevoelig gegevensbeheer
De evaluatie van hoe een organisatie haar meest gevoelige gegevens classificeert, beheert en beveiligt, is een ander belangrijk due diligence-gebied. Dit omvat inzicht in welke gevoelige gegevens een organisatie vastlegt (bijv. persoonlijk identificeerbare informatie, creditcardnummers, medische dossiers, enz.), onderzoeken hoe zij de informatie gebruiken en het evalueren van de controles en beveiligingsmaatregelen rond de gevoelige gegevens. Nauwgezetheid rond het beheer van gevoelige gegevens helpt ervoor te zorgen dat een doelorganisatie de juiste stappen onderneemt om het risico op een datalek en de boetes en merkschade die daarmee gepaard gaan, tot een minimum te beperken.
Identiteits- en toegangsbeheer
Gecompromitteerde wachtwoorden en accountgegevens zijn een veelvoorkomende oorzaak van cyberincidenten. Identiteits- en toegangsbeheer is erop gericht ervoor te zorgen dat een organisatie de identiteiten van gebruikers (bijv. gebruikersaccounts) op de juiste manier beheert en deze identiteiten effectief gebruikt om toegang te bieden tot de organisatiemiddelen die de individuele behoeften hebben. Door nauwgezetheid op dit gebied te beoordelen, kan worden beoordeeld of een organisatie de juiste stappen onderneemt om het risico van accountinbreuk, ongepaste toegang tot organisatiebronnen en kwetsbare wachtwoorden tot een minimum te beperken.
Beveiligingsarchitectuur
Deze zorgvuldigheidsinspanningen zijn gericht op de technische aspecten van de IT-omgeving van een doelwit, zoals ervoor zorgen dat de omgeving wordt gebouwd en onderhouden in overeenstemming met toonaangevende beveiligingspraktijken. Dit is een fundamenteel beoordelingsgebied dat een koper helpt het inherente risico te begrijpen in de IT-omgeving die hij op het punt staat te erven, en wat nodig is om de grote 'rode vlag'-problemen op te lossen.
Reactie op incident
Due diligence op dit gebied richt zich op het valideren dat een organisatie over de juiste procedures beschikt om op een effectieve manier te reageren op potentiële en bevestigde beveiligingsincidenten. Effectieve incidentbestrijding is essentieel om de schade bij een cybersecurity-incident te beperken; terwijl het niet effectief reageren op een incident vaak resulteert in wijdverbreide schade, hogere boetes en een duurder herstel.
Aangezien financiële, fiscale en juridische due diligence standaardprocedures zijn geworden voor private equity-bedrijven voorafgaand aan het sluiten van een transactie, zou cybersecurity-diligence dat ook moeten doen. Cyberdue-diligence helpt private-equityfirma's bij het inventariseren van het potentiële cyberbeveiligingsrisico van een overname, evenals de tijd, moeite en kosten om risicogebieden adequaat aan te pakken. In deze steeds complexere wereld waar de gegevens die door bedrijven worden verzameld en bijgehouden over hun klanten, leveranciers en processen de kern vormen van hun zakelijke praktijken, het waarborgen van de bescherming van dit waardevolle bezit zou een belangrijk aandachtspunt moeten zijn van private equity-bedrijven bij het beoordelen van transactiemogelijkheden.
Louis Higgins is een Supervisor, Management Consulting bij RSM US LLP en Ben Gibbons is een Partner en National Private Equity Leader bij RSM Canada.
De sociale zekerheidsfout die risicomijdende mensen maken
De 7 beste biotech-aandelen voor beleggers die een hekel hebben aan risico
Is particuliere verzekeringen de 'nieuwe jongen'?
Wat is de ideale aanstelling voor STP?
Kwaliteit van de winst – de drijvende kracht achter M&A Due Diligence
Private Equity Investeren in beveiligingsbedrijven
Private Equity-uitdagingen te midden van de supply chain-crunch