Dziś pochylimy się nad definicją występującą na co dzień w świecie biznesowym, jednak mającą również swoje odbicie w cyberbezpieczeństwie, mianowicie due dilligence. To wyrażenie może być przetłumaczone na język polski jako „należyta staranność” i w świecie biznesowym oznacza to proces dogłębnej oceny, który obejmuje analizę aspektów finansowych, prawnych, operacyjnych i strategicznych. Głównym celem jest uzyskanie pełnego obrazu sytuacji przed podjęciem kluczowych decyzji biznesowych, takich jak fuzje, przejęcia lub inwestycje. Analiza ta koncentruje się na identyfikacji potencjalnych zagrożeń i korzyści związanych z transakcją, umożliwiając decydentom dokonywanie świadomych wyborów. Jak to odnieść do cyberbezpieczeństwa?
Należyta staranność w cyberbezpieczeństwie
Przeprowadzenie analizy due diligence w zakresie cyberbezpieczeństwa przed fuzją lub przejęciem lub podpisaniem umowy z dostawcą pomaga organizacjom dokładnie ocenić związane z tym ryzyko przed przyjęciem odpowiedzialności, jednocześnie identyfikując wszelkie kwestie, które mogą uzasadniać zmianę umowy. Podczas procesu wdrażania podmiotów zewnętrznych, fuzji lub przejęć zadaniem specjalisty ds. bezpieczeństwa jest ocena polityk i praktyk bezpieczeństwa potencjalnego dostawcy oraz przeprowadzenie procesu identyfikacji zagrożeń które zewnętrzna firma wnosi lub może wnieść do naszej organizacji. Wiele źródeł opisuje należytą staranność jako przeprowadzenie niezbędnych badań i zgromadzenie danych.
Proces ten może zawierać m.in:
– analizę cyberzagrożeń za pomocą mechanizmów cyberbezpieczeństwa, takich jak testy penetracyjne lub inne metody skanowania luk w zabezpieczeniach;
– sprawdzenie czy jakiekolwiek cyberataki, ataki ransomware, luki w zabezpieczeniach, luki techniczne lub inne formy zagrożenia bezpieczeństwa naruszyły program cyberbezpieczeństwa docelowej organizacji w przeszłości;
– przeprowadzenie analizy w zakresie danych oraz procesów ich przetwarzania przez organizacją docelową, sprawdzenie jakich danych organizacja docelowa jest właścicielem. Naruszenie własności intelektualnej i tajemnic handlowych ma druzgocący wpływ na reputację każdej organizacji – jest to szczególnie ważny aspekt w przypadku fuzji i przejęć;
– sprawdzenie, czy docelowa organizacja posiada jakiekolwiek certyfikaty zgodności oraz czy przeprowadza w związku z tym odpowiednie audyty;
– przygotowanie kwestionariusza due diligence, w którym docelowa organizacja odpowie na zadane pytania;
– przegląd udokumentowanych polityk, procedur i wytycznych bezpieczeństwa docelowej organizacji w celu oceny ich kompleksowości i zgodności z najlepszymi praktykami branżowymi i wymogami regulacyjnymi;
– ocenę skuteczności technicznych i administracyjnych mechanizmów kontrolnych wdrożonych przez organizację w celu ochrony wrażliwych danych i systemów, takich jak zapory sieciowe, mechanizmy kontroli dostępu, mechanizmy szyfrowania, systemy wykrywania włamań i plany reagowania na incydenty;
– ocenę zdolności organizacji do reagowania na incydenty, w tym jej zdolności do wykrywania, reagowania i odzyskiwania danych po incydentach bezpieczeństwa. Obejmuje to ocenę istnienia planów reagowania na incydenty, procedur zarządzania incydentami i mechanizmów zgłaszania incydentów.
Proces due diligence kończy się opracowaniem raportu dotyczącego aspektów związanych z bezpieczeństwem organizacji poddawanej analizie. Raport obejmuje ocenę aktualnego stanu bezpieczeństwa, identyfikację potencjalnych zagrożeń, podatności oraz ocenę ogólnej gotowości firmy do obrony przed cyberatakami. Zakończenie procesu due diligence w obszarze cyberbezpieczeństwa obejmuje również opracowanie zaleceń dotyczących poprawy istniejących procedur i praktyk bezpieczeństwa. Raport ten jest kluczowym narzędziem, które umożliwia decydentom zrozumienie ryzyka cybernetycznego związanego z potencjalną transakcją oraz podejmowanie informowanych decyzji dotyczących ewentualnego przejęcia, fuzji lub innych decyzji biznesowych. W praktyce, zakończenie procesu due diligence w obszarze cyberbezpieczeństwa może prowadzić do wdrożenia działań naprawczych, dostosowania strategii bezpieczeństwa, czy też renegocjacji warunków umowy w zależności od wyników analizy.
