Please Go to Settings and Configure Slideshow

27 Feb 2018

Artículo

 

Mantener el Gobierno de TI, Riesgos y Cumplimiento en primer plano durante las fusiones y adquisiciones

 

Derek Brost

Director de ingeniería en  Bluelock 

Es un profesional certificado en Sistemas de Seguridad (CISSP) con una experiencia de 20 años en operaciones de IS/IT, arquitectura y seguridad de la información.

 

A medida que el panorama de amenazas a la seguridad continúa ampliándose y las violaciones se vuelven más comunes, las empresas deben ser vigilantes con la protección de datos sensibles y propiedad intelectual, pero este no es solo responsabilidad de los equipos de TI. Una administración y mitigación adecuada de riesgos demanda inversión en todos los niveles de una organización con el reconocimiento de que las entidades adyacentes y los proveedores externos puedan representar riesgos significativos para la ciberseguridad.

Sin embargo, la resiliencia de TI no termina con la cautela por la interconexión de las operaciones comerciales diarias. Como el proceso de combinarse con otra empresa durante una fusión o adquisición es esencialmente lo mismo que agregar una entidad adyacente o un proveedor externo a sus operaciones, es importante priorizar las discusiones sobre el riesgo de TI, el valor de los datos y los procesos de recuperación de sistemas a lo largo de estos procedimientos para garantizar que la gestión de amenazas sea sólida durante todo el proceso de transición.

 

El Impacto Material De Ciberataques

El reciente ciberataque a FedEx mediante una empresa adquirida, TNT Express Systems, sirve como ejemplo de los impactos que pueden ocurrir cuando la seguridad de TI no es discutida, priorizada o interrumpida activamente durante el cambio de manos. Este incidente de ransomeware ha detenido una parte de sus operaciones por un periodo de tiempo prolongado, lo que ha tenido un impacto en sus resultados, y por lo tanto, en sus inversionistas también. Si bien no siempre vemos el impacto material de un golpe de ransomeware tan claramente presentado, este evento sirve como un buen recordatorio de que los ciberataques pueden tener un gran impacto en la continuidad de las operaciones, generación de ingresos y las relaciones con los accionistas.

Para evitar problemas cibernéticos y costos onerosos a largo plazo, el liderazgo organizacional debe comprender por adelantado qué medidas de seguridad de TI y prácticas de recuperación ante desastres de TI (DR) existen con cada potencial empresa, asegurándose de que todas las partes estén alineadas. Esto incluye un enfoque de gestión holística para la ciberseguridad, enfatizando un balance entre medidas preventivas y de recuperación, ya que ninguna postura de ciberseguridad es 100% efectiva y múltiples contingencias son necesarias para la continuidad del negocio.

 

Realizando Evaluaciones Adecuadas

Las fusiones y adquisiciones probablemente impliquen llevar a cabo un Análisis De Impacto Al Negocio (BIA) junto con o que resulte en un Plan de Recuperación ante Desastres con un enfoque en sistemas de tecnología críticos y dependientes. Por lo general, esta revisión formará parte de los asuntos relacionados con la operación y la producción, pero es importante escalar esto en el gobierno de la gestión de riesgos empresariales. La supervisión adecuada es extremadamente valiosa para garantizar que el alcance sea proporcional al nivel de inversión, madurez y preparación requeridos para exhibir la debida atención.

Además, es imperativo evaluar conjuntos de datos o sistemas valiosos, sensibles y regulados que requieren protección. Por lo general, esta revisión formará parte de la propiedad intelectual y asuntos de preservación. Cada vez más, en una fusión o adquisición, los datos operacionales, contractuales, de clientes, investigación y financieros serán parte integral de la valoración de activos. Se deben tomar medidas para protegerlo y preservarlo. Valide dónde son procesados, transaccionados y almacenados los datos críticos actualmente: ¿se trata de una infraestructura obsoleta? De ser así, valdrá la pena detallar cómo hacer la transición de esos sistemas a un entorno que permita el cumplimiento y la cohesión general de los sistemas para el futuro.

En general, las evaluaciones de la postura de ciberseguridad y de TI-DR encajan en el marco más amplio de la debida diligencia de fusiones y adquisiciones para la gestión del riesgo y pasivos. Una conclusión importante de esto es tener en cuenta la sensibilidad de los productos de trabajo generados como resultado de estas evaluaciones. Ellas mismas, las evaluaciones, contendrán una lista de joyas de la corona, brechas explotables y las sensibilidades comerciales generales durante y después de la transición. Para las firmas de abogados involucradas específicamente en el caso, esto cae dentro de su competencia al mantener la protección del cliente. De manera un tanto recursiva, asegúrese de que incluso el intercambio de la evaluación, la planificación y la documentación de supervisión se pueda llevar a cabo de forma segura y que la comunicación de materiales delicados no esté sucediendo a plena vista.

 

El rol de los Departamentos de TI

Durante las fusiones y adquisiciones, es fundamental que los departamentos de TI permanezcan flexibles a las necesidades de sus empresas correspondientes, teniendo en cuenta que se les puede solicitar que expliquen los componentes técnicos, los protocolos de seguridad de TI y las capacidades de Recuperación ante Desastres en términos sencillos. Si se necesita un puente para entender los cambios actuales y necesarios para una estrategia de TI existente, tener conceptos complicados de TI preparados en una forma simplista hará mucho para mantener a todos en la misma página para la toma de decisiones.

Sea proactivo reuniendo toda la información necesaria que ambas partes puedan necesitar revisar una vez que se sepa de la transición en el departamento de TI. Obtener información sobre el terreno, conocer los datos, los activos, el software y el valor general será extremadamente importante para realizar y comunicar de antemano, de modo que se puedan extraer nuevos conocimientos al principio de las actividades. Hacerlo no solo acelerará el proceso BIA, sino que también asegurará que la alta gerencia reciba toda la información que necesitan para determinar las apropiaciones para las inversiones en TI.

Puede haber una tendencia hacia la ansiedad cuando empleados de niveles inferiores conocen de cambios departamentales, y TI puede jugar un rol anulando esta ansiedad que pudiera conducir a una disminución de la productividad. Mantener los sistemas de TI funcionando y consistentes con las demandas de las operaciones diarias durante este tiempo reducirá las frustraciones y ayudará a la generación de ingresos continua. La alta gerencia necesitará jugar un rol importante como agentes de cambio en las asambleas anticipadas para consolidar sistemas, servicios y conjuntos de datos.

Para empleados que eligen buscar trabajo en otro lado durante un proceso de fusión y adquisición, es la responsabilidad de TI la de cerrar o limitar su acceso a email, aplicaciones y otras áreas relevantes a sus roles luego que hayan dado aviso. Debido a que la propiedad intelectual es muy valiosa durante cualquier cambio de manos, es imperativo que las cuentas sean cerradas inmediatamente para evitar mayor acceso a la información. Esto ayudará a mantener la privacidad de la información privada, ya que cualquier fuga al público en última instancia podría empoderar a los competidores en el mercado.

 

Gestión De La Recuperación De Desastres De TI

De acuerdo a una encuesta de IDG Research 2017, 46% de los encuestados notaron que los incidentes de seguridad deberían ser categorizados como desastres, lo que coloca la responsabilidad de la ciberseguridad también en manos de los profesionales de la Recuperación ante Desastres. Esto llama a la cooperación entre especialistas de TI, y más importante, una visión de alto nivel de Continuidad.

Con un enfoque equilibrado de medidas preventivas y de recuperación, las compañías tratarán de mitigar y remediar a sí mismas de innumerables riesgos manejables. Las soluciones de detección deben considerarse como un puente entre estos dos enfoques, para identificar rápidamente cuándo puede haber ocurrido una infracción. Cuando todo lo que se necesita es un clic incorrecto para invitar a un ataque malicioso, ninguna solución de ciberseguridad es 100 por ciento efectiva. Las prácticas de recuperación deben ser sólidas y rentables en todos los sentidos para garantizar una recuperación rápida de los datos y las operaciones en curso, sin importar la interrupción.

Una manera en que las empresas pueden asegurar este enfoque holístico a la disponibilidad de los sistemas es con Disaster Recovery- as - a -Service (DRaaS). Con ambientes híbridos para asegurar cobertura al legado de la infraestructura y las aplicaciones, así como al equipo de expertos para manejar firewalls, parches, antivirus, networking, etc., DRaaS puede empoderar los aspectos preventivos que se necesitan en la Recuperación ante Desastres de la empresa.

Para los aspectos de recuperación, aquí es donde DRaaS particularmente sobresale, aliviando a los departamentos de TI de la sobrecarga de tareas de mantenimiento de la Recuperación ante Desastres y permitir la capacidad de respuesta de los expertos y acceso rápido a copias de datos limpias y recientes para evitar la caída de la reputación y de los ingresos luego de un evento de ciberseguridad. Con la replicación basada en la nube para múltiples puntos de recuperación, y capacidades de failover y failback personalizadas a las necesidades de la empresa, aquellos que atraviesan por fusiones y adquisiciones pueden lograr mayor flexibilidad.

 

La Mitigación De Amenazas Comienza Con Proactividad

Es importante pasar el tiempo gestionando las amenazas desde la parte delantera, en lugar de pagar costos altos y ampliamente variables luego del hecho. Como se ha probado, multas regulatorias e impacto reputacional pueden ser un golpe monumental a los ingresos, marca y relaciones con los accionistas. Sin mencionar que cualquier pérdida de datos permanente podría tener efectos paralizantes y gastos de capitalización, dependiente de la criticidad.

Los cibercriminales están aumentando su creatividad para obtener información sensible, y fusiones y adquisiciones son vistas como un tiempo vulnerable para cualquier empresa debido al periodo de transición. Cualquier responsabilidad descartada podría significar que los sistemas de TI combinados están listos para una violación. Es prudente y dentro de los estándares de cuidado tomar medidas para fortalecer el aumento de las amenazas a los datos, sistemas y operaciones durante un momento tan crucial.