Praticamente tutti i percorsi di crescita aziendale passano prima o poi da qualche acquisizione, e negli ultimi 10 anni anche a causa della crisi economica l’attività di M&A è sensibilmente cresciuta. In particolare in Italia l’anno scorso si è registrato il picco più alto degli ultimi 15 anni con 509 operazioni – per un valore di quasi 50 miliardi di euro – di cui 233 effettuate da realtà estere (dati Mergermarket).
Ovvio quindi che le “Due Diligence” sulle imprese potenziali oggetti di acquisizione siano diventate particolarmente strategiche, soprattutto per la funzione Finance e per il CFO a cui da sempre fanno capo queste attività (qui abbiamo raccontato il caso del CFO di Doppel Farmaceutici).
E in ambito di Due Diligence, la verifica delle policy e degli strumenti di “cybersecurity” dell’azienda target sta assumendo un ruolo sempre più importante: ruolo che molto probabilmente crescerà ulteriormente dal 25 maggio 2018, quando il GDPR, il nuovo regolamento europeo sul trattamento dati, dovrà essere applicato da tutti.
A questo particolare aspetto il sito specializzato CFO ha dedicato un articolo con alcuni suggerimenti e best practice di “cyber diligence” scritto da Craig Newman, chairman della practice privacy and data security di Patterson Belknap Webb & Tyler, una delle principali law firm statunitensi.
il caso Yahoo-Verizon insegna: la vulnerabilità IT può impattare su una trattativa
Newman per prima cosa ricorda come il cybercrime abbia colpito praticamente ogni settore, dagli enormi “data breach” ai danni di aziende Fortune 100 al furto di progetti e brevetti delle startup più innovative, culminando nel caso più clamoroso pubblicamente noto, quello di Yahoo – oltre un miliardo di account compromessi – che è stato reso pubblico l’anno scorso – anche se avvenuto nel 2013 – proprio mentre l’azienda era in trattative per essere acquisita, nel caso specifico da Verizon. E che ha certamente influito sull’entità finanziaria della transazione.
I rischi connessi al cybercrime sono un lato sempre più complesso, specializzato e sofisticato delle Due Diligence pre-acquisizione. Un attacco hacker può compromettere i sistemi informativi di un’azienda, il suo marchio, la fiducia dei clienti, l’immagine sul mercato. Ma anche i più attivi e avanzati investitori finanziari o strategici, società di private equity e venture capital sono stati piuttosto lenti nel farsi un’idea realistica degli impatti che la cybersecurity può avere sulla transazione, sui termini del contratto, sulla valutazione economica, e sull’evoluzione post-closing.
La conseguenza, scrive Newman, è che la “cyber diligence” deve essere un vero e proprio processo, richiede skill approfonditi e specialistici, e va personalizzato sulle caratteristiche dell’impresa target. Risulterà completamente diversa, per esempio, nei casi di un retailer con migliaia di account di consumatori con relativi dati di carta di credito, di una società tecnologica che dipende dai suoi brevetti, e di una “brick-and-mortar” con limitate attività digitali e volumi di dati proprietari.
Sette domande per cominciare la “cyber diligence”
Però ci sono elementi e fasi che si possono generalizzare. Newman per esempio propone una serie di domande che devono essere poste all’azienda target fin dall’inizio della Due Diligence: quali tipi di informazioni sono più critiche per il vostro business, come e dove queste informazioni sono raccolte e conservate, come sono protette da accessi non autorizzati, qual è il profilo di “cyber rischio” generale dell’azienda, se esiste una strategia di cybersecurity con policy regolarmente aggiornata, se sono stati subiti cyberattacchi in passato – e con quali danni, e quali reazioni sono state poste in essere – e se l’azienda abbia mai subito procedimenti o raccomandazioni di enti competenti riguardo alla data security.
Una volta che – sulla base delle risposte a queste domande – ci si è fatti un’idea di massima sul profilo di “cyber rischio” e sulla situazione attuale, occorre un lavoro molto più profondo e articolato per capire nei dettagli la strategia di cybersecurity dell’impresa target, i suoi punti di debolezza e la sua adeguatezza al quadro normativo.
Alcuni settori per esempio sono pesantemente vincolati e regolamentati – sanità, finance, pubblica amministrazione, comunicazioni – e sottoposti a requisiti particolari di sicurezza e privacy dei dati, e potrebbero richiedere la consulenza di esperti legali specialisti di servizi digitali, e tecnici specialisti in IT Infrastructure e cybersecurity. «La materia è molto ampia e non è facile che all’interno abbiate tutte le conoscenze necessarie – spiega Newman -: un conto è essere capaci di porre le giuste domande, un conto è essere in grado di capire le risposte».
È poi fondamentale mettere in ordine di priorità gli aspetti da approfondire, in base all’importanza dei dati per il business dell’azienda target, e all’ampiezza e completezza della sua politica esistente di cybersecurity.
Tra i punti più critici: accessi di terze parti e preparazione del personale
Una volta definito il piano di “cyber diligence”, occorre ovviamente metterlo in pratica. I questionari sono solo il primo passo, seguiti da riunioni e interviste faccia a faccia di approfondimento sui singoli punti emersi. Il passo successivo, se necessario, sono test tecnici “on-site” e vulnerability assessment.
L’analisi approfondita della strategia e delle policy di cybersecurity esistenti deve tra l’altro evidenziare il livello dei sistemi e programmi di threat monitoring, e se l’accordo prevede la fusione o integrazione dei sistemi informativi, occorre determinare i rischi di system integration.
Altro elemento fondamentale sono le terze parti che hanno accesso alla rete dell’azienda target e/o ai suoi dati sensibili. Occorre approfondire quali controlli e protezioni ci sono su questi accessi. Molti dei più gravi data breach nel mondo retail sono nati da vulnerabilità legate all’integrazione con un fornitore. Uno dei casi più clamorosi al proposito è quello di Target, all’epoca il secondo retailer USA dopo Walmart, che per un attacco subito attraverso i sistemi IT di un piccolo fornitore di sistemi di condizionamento si è visto sottrarre i dati di 40 milioni di carte di credito e di 70 milioni di clienti, che ha dovuto ricompensare con 165 milioni di dollari.
Due ulteriori punti sono il grado di consapevolezza sulla cybersecurity del personale interno del target – quali policy devono rispettare, quali device usano, se sono aziendali o personali, quali sistemi di Enterprise Device e Mobility Management sono in uso e così via -, e le eventuali polizze assicurative di cybersecurity con tutti i relativi dettagli.
«Questi consigli – conclude Newman – sono ben lontani dal definire una procedura completa, però sono un buon punto di partenza per capire le complessità della “cyber diligence”, specialmente tenuto conto che le minacce informatiche e il loro grado di sofisticazione crescono più velocemente della nostra capacità di individuarle e neutralizzarle».