I dagens ständigt föränderliga tekniska landskap, cybersäkerhetshot och incidenter är ofta föremål för förstasidesartiklar och styrelsediskussioner . Det verkar inte finnas någon brist på organisationer som hålls lösta av hackare som kräver bitcoin eller informerar sina kunder om att deras privata information inte längre är lika privat; föga överraskande följs dessa incidenter ofta av betydande förluster efter avslöjande av intrång i form av böter, varumärkes- eller imageskador, lösenbetalningar, driftstopp och förlorade kunder.
Med tanke på alla dessa cyberrisker, hur kan private equity-företag investera sitt kapital med tillförsikt i vetskap om att de inte kommer att drabbas av en massiv förlust, både ekonomiskt och/eller ur ett rykteperspektiv, i händerna på en cyberincident? Även om det inte finns någon silverkula när det gäller cybersäkerhet, integrering av cybersäkerhet in i affärsprocessen hjälper private equity-företag att förstå den cyberrisk som är inneboende i en viss investering, och ger dem en möjlighet att mildra, överföra, försäkra sig mot och förhandla om köpeskillingsjusteringar för att möta den risken.
Varför inte bara skaffa en försäkring och hoppa över cyberdiligence helt och hållet?
I de flesta fall har cyberförsäkringar säkerhetskontrollkrav för att skydda den försäkrade organisationen; i händelse av att en organisation inte har de nödvändiga kontrollerna och det finns en cyberincident, kommer anspråket sannolikt att nekas . Cyberdiligence hjälper organisationer att förstå sina kontrollluckor och sätta ihop en strategi för sanering och risköverföring (genom försäkringar och andra villkor) som är i linje med investeringsuppsatsen och private equity-gruppens risktolerans.
Om du skulle köpa en bil utan krockkuddar, säkerhetsbälten och låsningsfria bromsar skulle du vilja veta
Detsamma gäller för att köpa ett portföljbolag. Om du köper ett portföljbolag som saknar grundläggande skydd för att förhindra en katastrofal cyberincident, vill du veta det innan du avslutar affären.
Cybersecurity diligence täcker logiska och tekniska aspekter av cyberrisk inklusive säkerhetsstyrning , hantering av känslig data , identitets- och åtkomsthantering , säkerhetsarkitektur , och incidenthanteringsmetoder . Omsorg inom vart och ett av dessa områden ger avgörande insikter som direkt relaterar till potentiella säkerhetshot och regulatoriska krav som sätter organisationer i riskzonen; vart och ett av nedanstående områden ger köpare den information de behöver för att fatta ett verkligt välgrundat köpbeslut och hjälper dem att undvika att ärva potentiellt försvagande cyberrisk.
Säkerhetsstyrning
I dagens miljö är människor en av de största attackvektorerna för hackare och illvilliga aktörer. Attacker tar formen av nätfiske, inklusive personliga attacker mot offret (känd som spear phishing) och social ingenjörskonst, som alla snabbt kan ge en startplatta för illvilliga aktörer att få tillgång till organisationens miljö. Omsorg kring säkerhetsstyrning hjälper till att säkerställa att en målorganisation har rätt policyer, procedurer och rutiner på plats för att minimera risken som dessa hot utgör och tillhandahålla ett ramverk för att validera riskreducering på en konsekvent basis. Detta inkluderar att utvärdera policyerna och procedurerna mot ledande praxis, validera deras säkerhetsmedvetandeutbildning och praxis för efterlevnadstestning, och stämma av säkerhetsstyrningen på plats mot kraven i tillämpliga förordningar (PIPEDA, GDPR, ITAR, etc.). Genom att göra det hjälper säkerhetsstyrning köpare att förstå om en organisation löper ökad risk för böter på grund av bristande efterlevnad.
Känslig datahantering
Utvärderingen av hur en organisation klassificerar, hanterar och skyddar sina mest känsliga uppgifter är ett annat viktigt due diligence-område. Detta inkluderar att förstå vilka känsliga uppgifter en organisation fångar in (t.ex. personligt identifierbar information, kreditkortsnummer, hälsojournaler, etc.), att undersöka hur de använder informationen och att utvärdera kontrollerna och säkerhetsåtgärderna kring den känsliga informationen. Omsorg kring hantering av känslig data hjälper till att säkerställa att en målorganisation vidtar lämpliga åtgärder för att minimera risken för ett dataintrång och de böter och varumärkesskador som ofta följer med det.
Identitets- och åtkomsthantering
Komprometterade lösenord och kontoinformation är en vanlig orsak till cyberincidenter. Identitets- och åtkomsthantering fokuserar på att säkerställa att en organisation korrekt hanterar användarnas identiteter (t.ex. användarkonton) och effektivt använder dessa identiteter för att ge tillgång till de organisatoriska resurser som individen behöver. Omsorg på detta område hjälper till att bedöma om en organisation vidtar lämpliga åtgärder för att minimera risken för kontokompromettering, felaktig åtkomst till organisationsresurser och sårbara lösenord.
Säkerhetsarkitektur
Dessa omsorgsinsatser fokuserar på de tekniska aspekterna av ett måls IT-miljö, som att säkerställa att miljön byggs och underhålls i linje med ledande säkerhetspraxis. Detta är ett grundläggande granskningsområde som hjälper en köpare att förstå den inneboende risken i IT-miljön de är på väg att ärva, och vad som krävs för att åtgärda de stora problemen med "röd flagga".
Reaktion på incidenten
Due diligence inom detta område fokuserar på att validera att en organisation har rätt rutiner på plats för att reagera på potentiella och bekräftade säkerhetsincidenter på ett effektivt sätt. Effektiv incidentrespons är avgörande för att begränsa skadan i händelse av en cybersäkerhetsincident; medan underlåtenhet att effektivt svara på en incident ofta resulterar i omfattande skador, högre böter och en dyrare återhämtning.
Eftersom finansiell, skattemässig och juridisk due diligence har blivit standardförfaranden för private equity-företag innan de avslutar en transaktion, bör även cybersäkerhetsaktsamhet göra det. Cyber due diligence hjälper private equity-företag att inventera den potentiella cybersäkerhetsrisken med ett förvärv, såväl som tiden, ansträngningen och kostnaderna för att ta itu med riskområden på ett adekvat sätt. I denna alltmer komplexa värld där data som samlas in och underhålls av företag om sina kunder, leverantörer och processer är kärnan i deras affärspraxis, säkerställer skyddet av denna värdefulla tillgång bör vara ett nyckelfokus för private equity-företag när de granskar transaktionsmöjligheter.
Louis Higgins är Supervisor, Management Consulting på RSM US LLP och Ben Gibbons är Partner och National Private Equity Leader på RSM Canada.
Det socialförsäkringsmisstag som är riskvilliga människor gör
De 7 bästa bioteknikaktierna för investerare som hatar risk
Är privat försäkring "New Kid on the Block"?
Vilken är den idealiska anställningen för STP?
Intäktskvalitet – drivkraften bakom M&A Due Diligence
Private Equity-investeringar i säkerhetsföretag
Private Equity-utmaningar mitt i försörjningskedjan
Insikter från Coller Capital Global Private Equity Barometer