Dziś pochylimy się nad definicją występującą na co dzień w świecie biznesowym, jednak mającą również swoje odbicie w cyberbezpieczeństwie, mianowicie due dilligence. To wyrażenie może być przetłumaczone na język polski jako „należyta staranność” i w świecie biznesowym oznacza to proces dogłębnej oceny, który obejmuje analizę aspektów finansowych, prawnych, operacyjnych i strategicznych. Głównym celem jest uzyskanie pełnego obrazu sytuacji przed podjęciem kluczowych decyzji biznesowych, takich jak fuzje, przejęcia lub inwestycje. Analiza ta koncentruje się na identyfikacji potencjalnych zagrożeń i korzyści związanych z transakcją, umożliwiając decydentom dokonywanie świadomych wyborów. Jak to odnieść do cyberbezpieczeństwa?

Należyta staranność w cyberbezpieczeństwie

Przeprowadzenie analizy due diligence w zakresie cyberbezpieczeństwa przed fuzją lub przejęciem lub podpisaniem umowy z dostawcą pomaga organizacjom dokładnie ocenić związane z tym ryzyko przed przyjęciem odpowiedzialności, jednocześnie identyfikując wszelkie kwestie, które mogą uzasadniać zmianę umowy. Podczas procesu wdrażania podmiotów zewnętrznych, fuzji lub przejęć zadaniem specjalisty ds. bezpieczeństwa jest ocena polityk i praktyk bezpieczeństwa potencjalnego dostawcy oraz przeprowadzenie procesu identyfikacji zagrożeń które zewnętrzna firma wnosi  lub może  wnieść do naszej organizacji. Wiele źródeł opisuje należytą staranność  jako przeprowadzenie niezbędnych badań i zgromadzenie danych.

Proces ten może zawierać m.in:

– analizę cyberzagrożeń za pomocą mechanizmów cyberbezpieczeństwa, takich jak testy penetracyjne lub inne metody skanowania luk w zabezpieczeniach;

– sprawdzenie czy jakiekolwiek cyberataki, ataki ransomware, luki w zabezpieczeniach, luki techniczne lub inne formy zagrożenia bezpieczeństwa naruszyły program cyberbezpieczeństwa docelowej organizacji w przeszłości;

– przeprowadzenie analizy w zakresie danych oraz procesów ich przetwarzania przez organizacją docelową, sprawdzenie jakich danych organizacja docelowa jest właścicielem. Naruszenie własności intelektualnej i tajemnic handlowych ma druzgocący wpływ na reputację każdej organizacji – jest to szczególnie ważny aspekt w przypadku fuzji i przejęć;

– sprawdzenie, czy docelowa organizacja posiada jakiekolwiek certyfikaty zgodności oraz czy przeprowadza w związku z tym  odpowiednie audyty;

– przygotowanie kwestionariusza due diligence, w którym docelowa organizacja odpowie na zadane pytania;

– przegląd udokumentowanych polityk, procedur i wytycznych bezpieczeństwa docelowej organizacji w celu oceny ich kompleksowości i zgodności z najlepszymi praktykami branżowymi i wymogami regulacyjnymi;

– ocenę  skuteczności technicznych i administracyjnych mechanizmów kontrolnych wdrożonych przez organizację w celu ochrony wrażliwych danych i systemów, takich jak zapory sieciowe, mechanizmy kontroli dostępu, mechanizmy szyfrowania, systemy wykrywania włamań i plany reagowania na incydenty;

– ocenę zdolności organizacji do reagowania na incydenty, w tym jej zdolności do wykrywania, reagowania i odzyskiwania danych po incydentach bezpieczeństwa. Obejmuje to ocenę istnienia planów reagowania na incydenty, procedur zarządzania incydentami i mechanizmów zgłaszania incydentów.

Proces due diligence kończy się opracowaniem raportu dotyczącego aspektów związanych z bezpieczeństwem organizacji poddawanej analizie. Raport obejmuje ocenę aktualnego stanu bezpieczeństwa, identyfikację potencjalnych zagrożeń, podatności oraz ocenę ogólnej gotowości firmy do obrony przed cyberatakami. Zakończenie procesu due diligence w obszarze cyberbezpieczeństwa obejmuje również opracowanie zaleceń dotyczących poprawy istniejących procedur i praktyk bezpieczeństwa. Raport ten jest kluczowym narzędziem, które umożliwia decydentom zrozumienie ryzyka cybernetycznego związanego z potencjalną transakcją oraz podejmowanie informowanych decyzji dotyczących ewentualnego przejęcia, fuzji lub innych decyzji biznesowych. W praktyce, zakończenie procesu due diligence w obszarze cyberbezpieczeństwa może prowadzić do wdrożenia działań naprawczych, dostosowania strategii bezpieczeństwa, czy też renegocjacji warunków umowy w zależności od wyników analizy.

 

Źródła:
https://securityscorecard.com/blog/due-care-vs-due-diligence/#:~:text=Due%20diligence%20in%20cybersecurity%20is%20the%20process%20of,risks%20that%20your%20vendors%20and%20supply%20stream%20control.
https://dealroom.net/blog/cybersecurity-due-diligence
RvH

ul. Namysłowska 8, IV piętro

(Centrum Biznesu Grafit)

50-304 Wrocław

NIP: 8971793846

REGON: 022287361

tel.+48 71 777 90 32

faks +48 71 798 44 90

e-mail: cui@cui.wroclaw.pl

ePUAP: /CUI/SkrytkaESP

Biuletyn Informacji Publicznejlogo - BIP

Back to top

Preferencje plików cookies

Inne

Inne pliki cookie to te, które są analizowane i nie zostały jeszcze przypisane do żadnej z kategorii.

Niezbędne

Niezbędne
Niezbędne pliki cookie są absolutnie niezbędne do prawidłowego funkcjonowania strony. Te pliki cookie zapewniają działanie podstawowych funkcji i zabezpieczeń witryny. Anonimowo.

Reklamowe

Reklamowe pliki cookie są stosowane, by wyświetlać użytkownikom odpowiednie reklamy i kampanie marketingowe. Te pliki śledzą użytkowników na stronach i zbierają informacje w celu dostarczania dostosowanych reklam.

Analityczne

Analityczne pliki cookie są stosowane, by zrozumieć, w jaki sposób odwiedzający wchodzą w interakcję ze stroną internetową. Te pliki pomagają zbierać informacje o wskaźnikach dot. liczby odwiedzających, współczynniku odrzuceń, źródle ruchu itp.

Funkcjonalne

Funkcjonalne pliki cookie wspierają niektóre funkcje tj. udostępnianie zawartości strony w mediach społecznościowych, zbieranie informacji zwrotnych i inne funkcjonalności podmiotów trzecich.

Wydajnościowe

Wydajnościowe pliki cookie pomagają zrozumieć i analizować kluczowe wskaźniki wydajności strony, co pomaga zapewnić lepsze wrażenia dla użytkowników.