Com o grande índice de fusões e aquisições ocorridas nos últimos anos, principalmente na área da Saúde, um tópico que me chama a atenção é: como fica a preocupação com a segurança dos dados das empresas envolvidas?
Alguns executivos em processos de fusões e aquisições (investidores, membros do conselho etc) estão começando a tomar ciência sobre os possíveis riscos cibernéticos, uma vez que as empresas durante esse período ganham notoriedade e visibilidade e, portanto, ficam expostas a especulações e a ataques de hackers. Ainda, há riscos internos e externos de invasão à rede e de evasão das informações armazenadas. Nesse sentido, a definição dos grupos de acesso à rede corporativa de cada empresa é um item importante no processo de segurança.
Recentemente, a Infosecurity abordou os resultados de uma pesquisa de uma empresa internacional de advocacia falando que 82% dos executivos acreditam que os riscos de ataques cibernéticos irão mudar o processo de negócios nos próximos 18 meses. Quando você compra uma companhia, você está adquirindo os dados dessa organização e, inclusive, seus problemas de segurança de dados.
Na área da Saúde, por exemplo, podem existir informações confidenciais sobre sanções de auditorias anteriormente fracassadas; roubo de dados de pacientes; ações judiciais relacionadas e pendentes; detalhes de violações ou auditorias de conformidade que não deram certo e que foram manuseadas; boa ou má reputação estabelecida pela entidade adquirida com base na privacidade de sua história; qualquer documento (ou falta dele) que descreve como o acesso aos dados do paciente é protegido, gerido e mantido. Ou seja, qualquer um desses itens acima poderia ter um impacto direto sobre o valor do negócio.
Se você está passando por um processo de fusão ou aquisição, o primeiro passo que deve ser tomado é a implementação de uma plataforma de segurança de dados no perímetro da empresa adquirida. Essa plataforma deverá ser poderosa o bastante para avaliar o tráfego de dados da rede e seu nível de risco, obtendo uma visibilidade total da rede, dos aplicativos, do comportamento de seus usuários etc.
Aqui estão algumas maneiras de proceder de forma segura e não criar quaisquer lacunas que possam comprometer os dados estratégicos:
1. Prepare o ambiente. Desenvolvendo um bom entendimento dos potenciais riscos e brechas de segurança na entidade adquirida:
Usando uma plataforma de segurança baseada em firewall de próxima geração, obtenha maior visibilidade possível sobre a qualidade da segurança de dados da entidade adquirida.
Estenda essa visibilidade a todos os aplicativos, usuários, conteúdo, fontes e destinos de tráfego, especialmente no perímetro e em torno de sistemas críticos.
Use a visibilidade para identificar onde os riscos e desafios de segurança são maiores. Detecte os tipos de tráfego ou aplicativos que trazem o maior volume de malware e os incidentes provocados no passado.
Preste muita atenção para qualquer operação de mercado que seja desconhecida.
2. Confirme o nível de cumprimento de regras internas e regulações externas de segurança.
Este passo é fator-chave para manter o nível de segurança e o cumprimento que você já possa ter estabelecido na sua corporação.
Revise todas as auditorias recentes, incluindo as aprovadas ou fracassadas. Isto deve indicar quanto trabalho é requisitado para deixar a organização ciente do nível de cumprimento das regras e políticas de segurança.
3. Limpe o ambiente de ameaças
Elimine aplicativos que não são absolutamente necessárias. Através de algumas repetições, bloqueie o tráfego não desejado que não tenha ligação com os negócios de Saúde. Ou seja, o tráfego vindo de regiões de alto risco que não sejam úteis ou de aplicativos de consumo pessoal usados por colaboradores na rede. Quanto mais você reduz o volume de comunicação, menor é a oportunidade para os cibercriminosos entrarem.
4. Observe o ambiente
Uma vez que você está confiante sobre a maturidade da segurança da empresa adquirida e possui visibilidade suficiente e controle - com segurança para mesclar aplicativos e sistemas de acesso ou fazer qualquer junção de pastas - traga os sistemas PACS (Physical Access Control Systems) e consolide as redes e os pontos de acesso para dispositivos móveis, de acordo com a necessidade.
Esses passos podem parecer difíceis, mas minha sugestão constrói uma plataforma de segurança que permitirá um bom desempenho dessas tarefas de maneira fácil.
Como resultado, sua área de TI poderá criar um controle efetivo e deliberar um cronograma de ações que poderá ser incluído no processo de Fusões e Aquisições. Isso reduzirá os riscos e levará mais conhecimento à equipe de TI, garantindo a continuidade dos negócios sem comprometer a segurança.
Aquisições podem ser essenciais para o crescimento do negócio. Por isso, a segurança não deve ser uma desculpa para diminuir o ritmo no processo de integração das empresas.
Se você não pode tomar as medidas necessárias para melhorar a maturidade da segurança da companhia adquirida, no mínimo, é preciso fornecer atualizações regulares para os executivos da corporação sobre o nível de risco que a empresa oferece e indicar soluções para esse risco.
Além disso, se você não tem atualmente um canal de comunicação com os executivos da outra empresa, então use a aquisição como uma oportunidade para criar um. No ambiente de hoje, você descobrirá que a maior parte dos executivos está aberta ao diálogo sobre cibersegurança.
(*) Arthur Capella é gerente geral da Palo Alto Networks no Brasil
