Nos últimos anos, a ciber-segurança tornou-se uma prioridade crescente para líderes empresariais, conselhos e comitês de auditoria interna, com investimentos crescentes em diferentes áreas das empresas para segurança da informação.
Apesar da recente retração econômica global causada pela pandemia da COVID, conflitos geopolíticos e outras situações imprevistas, as fusões e aquisições (M&A) ainda estão em pleno vigor para muitos segmentos da indústria. Independentemente dos altos e baixos cíclicos no volume de transações, fusões e aquisições e desinvestimentos se tornaram comuns no cenário empresarial moderno.
Milhares de negócios ocorrem no mundo inteiro em vários setores industriais. Embora cada caso seja único, um elemento permanece constante: a segurança cibernética tem ganho crescente importância das fusões e aquisições para reduzir os riscos relacionados à transação.
Tradicionalmente, os processos de due diligence concentram-se no escrutínio de áreas há muito estabelecidas, tais como jurídica, financeira, operações, contratos comerciais, etc., com riscos cibernéticos ainda não totalmente priorizados em aquisições ou desinvestimentos. Segundo a Aon, a partir de 2020, apenas 10% das operações de fusão envolviam segurança cibernética na fase de due diligence. Espera-se que este número aumente nos próximos anos à medida que a cibersegurança se torne um tópico cada vez maior entre os executivos C-level e os conselhos de administração das empresas.
A cibersegurança, como parte do processo de due diligence, ajuda as organizações a descobrir quaisquer riscos, exposições e responsabilidades cibernéticas; ela serve como insumo para entender o custo da remediação e pode influenciar a avaliação ou mesmo mudar o curso do negócio. Tais avaliações são cruciais para fornecer informações adicionais sobre as negociações e reduzir os riscos que poderiam surgir quando a transação for concluída.
Falha no due diligence – o caso Marriott
Foi um dos maiores vazamentos de dados da história. Em 2018, dois anos depois que o gigante hoteleiro Marriott adquiriu a Starwood Hotels, 339 milhões de registros de hóspedes foram roubados do banco de dados desta última. Embora a invasão tivesse ocorrido no banco de dados do Starwood antes da transação, o Marriott se tornou responsável pela violação.
Como consequência, o Marriott recebeu várias ações judiciais de hóspedes cujos dados tinham sido comprometidos (a maioria citando a falha em realizar a devida diligência na segurança cibernética do lado da venda). O Marriot foi multado em US$ 23,8 milhões pelo escritório do Comissário de Informação do Reino Unido, e seu CEO foi forçado a testemunhar diante de um comitê do Senado dos EUA, já que o hack foi mais tarde revelado como sendo uma provável operação de coleta de informações do governo chinês.
Embora vários fatores tivessem levado a este vazamento de dados, o que poderia ter evitado foi uma avaliação mais minuciosa da ciber-segurança. O processo de due diligence pode ser implementado em vários estágios de um acordo de fusões e aquisições.
De acordo com um estudo de 2019 realizado pela Forescout, 38% dos entrevistados (gerentes seniores de TI e tomadores de decisões comerciais) declararam ter iniciado uma avaliação de segurança cibernética já na etapa de criação da estratégia, a primeira fase pré-definida do processo de fusões e aquisições. 33% o fizeram durante o processo de avaliação da empresa a ser adquirida, 22% durante a fase de diligência, e apenas 6% relataram realizar uma avaliação de segurança durante a fase de integração.
Estes resultados mostram que os tomadores de decisão começaram a enxergar os benefícios da revisão precoce da ciber-segurança. O mesmo estudo indica que uma questão de segurança não revelada de um lado de venda pode ser um quebra de contrato para 73% dos líderes empresariais em negócios de fusões e aquisições.
Como é realizada a due diligence técnica de segurança cibernética para fusões e aquisições?
Muitas empresas compradoras contratam uma empresa externa para executar uma avaliação técnica de segurança cibernética de seu alvo de aquisição. Isto garante que os controles de segurança do lado das vendas são testados, e seus riscos de segurança cibernética e ameaças à privacidade dos dados podem ser revelados. A avaliação de segurança também permite que os compradores integrem os resultados da avaliação de segurança em sua análise de risco das fusões e aquisições.
Algumas das ações realizadas como parte da avaliação da due diligence de segurança cibernética incluem:
- Breach assessment: para encontrar indicadores de comprometimento e atividades anômalas que possam insinuar uma invasão já existente
- Mapeamento e descoberta da superfície de ataque: para mapear os potenciais pontos de entrada para um ataque contra uma empresa e fornecedores
- Teste de penetração: uma avaliação técnica de cibersegurança para entender os riscos da rede da organização e dos principais sistemas
- Revisão da segurança do código fonte: descoberta de backdoors e vulnerabilidades que às vezes só podem ser encontradas com acesso ao código fonte. Isto é geralmente comum em due diligence para empresas de tecnologia cuja principal propriedade intelectual é software.
Ciber-segurança em fusões e aquisições – os negócios estão se tornando mais arriscados
Comprar uma empresa com hackers já à espreita no sistema não é algo que aconteceu somente com a Marriott. A Avast enfrentou um problema semelhante quando comprou o CCleaner em 2017. Nesse mesmo ano, a aquisição do Yahoo pela Verizon teve um preço $350 milhões mais baixo do que o valor inicial esperado por não ter sido divulgado antes da transação.
O incidente de segurança cibernética do Yahoo quase fez com que a transação fracassasse, de acordo com as notícias da época, pois acionou cláusulas de Mudança Efeito Adverso Material (MAC ou MAE) que frequentemente dão ao comprador a possibilidade de sair da transação sem qualquer outra obrigação.
Como se as M&A não tivessem problemas suficientes, os hackers estão agora visando especificamente as empresas que estão procurando expandir-se. Com a intenção de extorquir o resgate, eles ameaçam tornar públicas as informações confidenciais. Algumas empresas alvo em 2021 ainda estavam na fase de negociação privada quando o atacante conseguiu escanear sua rede (usando malware e trojan horses) em busca de palavras-chave como 10-q1, 10-sb2, n-csr3, nasdaq, marketwired e newswire, descobrindo que eles pretendiam fazer uma transação de M&A.
Lições aprendidas de desastres cibernéticos em fusões e aquisições
- A due diligence de segurança cibernética precisa ser realizada cedo – a fase de integração é muito tardia
- As práticas, certificações e processos de ciber-segurança da empresa alvo, especialmente os relacionados ao tratamento de dados pessoais, precisam ser cuidadosamente avaliados
- Cultura de segurança cibernética do lado da venda – o entendimento dos funcionários e da diretoria sobre os protocolos de segurança de dados é um bom indicador dos riscos de segurança da empresa
Como podemos trazer segurança cibernética para sua próxima transação de fusões e aquisições
Trabalhar conosco em seu próximo projeto de M&A permitirá que sua organização negocie com mais confiança. Obter uma avaliação cibernética de segurança da empresa alvo na fase de due diligence ajuda sua equipe a tomar decisões mais bem informadas durante a fusão ou desinvestimento.
Somos especialistas independentes que podem fornecer consultoria imparcial para os processos de due diligence de segurança cibernética. Temos experiência comprovada trabalhando junto aos clientes para ajudá-los a compreender melhor os riscos cibernéticos em suas transações, assegurando que todos estejam adequadamente documentados na data room para decisões mais precisas.
Abaixo estão as soluções que oferecemos, dependendo do tipo de transação e do lado em que sua organização está.
- Se você estiver do lado da compra:
- Testes de penetração para descobrir riscos cibernéticos nos sistemas centrais da empresa alvo
- Ajudamos sua organização a ganhar visibilidade na descoberta da superfície de ataque da empresa alvo e fazemos avaliações de vulnerabilidade, incluindo uma visão geral dos riscos de terceiros
- Revisão do código fonte orientado para a segurança para descobrir falhas e backdoors deliberados nas principais plataformas e softwares do alvo
- Avaliações contínuas de ciber-segurança durante as fases subseqüentes de integração
- Se você estiver vendendo ou desinvestindo:
- Avaliação de violação para descobrir quaisquer intrusões existentes, mas desconhecidas, que possam comprometer a transação ou tornar-se uma responsabilidade no futuro
- Execução de medidas técnicas para assegurar transferências seguras de dados, tais como dados de clientes e IP, entre as empresas
- Identificação de vulnerabilidades e riscos de cibersegurança que podem decorrer do processo de separação como parte do desinvestimento
- Avaliações técnicas para garantir que a empresa remanescente não mantenha inadvertidamente dados que não deveria ou que não tenha ficado com exposições e vulnerabilidades como parte da separação
Observações finais
As fusões e aquisições estão se recuperando após a queda de 2020, quando foram feitos menos negócios. Espera-se que 2022 seja um bom ano para o setor, independentemente das perspectivas econômicas. Entretanto, com mais acordos de fusões e aquisições sendo feitos, mais ciberataques também são prováveis de ocorrer.
É essencial para os desenvolvedores de negócios e consultores de fusões e aquisições compreender o papel da segurança cibernética em fusões e aquisições e desinvestimentos e tomar as medidas necessárias para mitigar quaisquer riscos que possam comprometer tais transações. Uma avaliação ciber-segurança independente completa, seja durante o estágio pré ou pós-transação, garante um processo de fusões e aquisições sem problemas e protege contra perdas financeiras e de reputação imprevistas.
