CIBERSEGURIDAD

Los peligros de los datos ‘oscuros’ en las transacciones de fusiones y adquisiciones

0 69 3 minutos de lectura


Es un hecho quizás no tan conocido que El 40% de las empresas adquirentes que atraviesan una M&A descubrió un problema de ciberseguridad durante la post-adquisición. integración. Lo que esto indicaría es que los adquirentes no reciben la información correcta sobre la seguridad de los datos en la empresa que están comprando. Eso es bastante impactante considerando el nivel de debida diligencia requerido en el proceso de fusiones y adquisiciones.

Entonces, ¿por qué está pasando esto?

Sabemos por nuestra experiencia ayudando a las empresas a descubrir sus datos, que aproximadamente el 85% de ellos son datos no estructurados u ‘oscuros’ compuestos de documentos, hojas de cálculo e información que a menudo se descargan de bases de datos estructuradas y se comparten y almacenan en bandejas de entrada de correo electrónico, documentos de Word, hojas de cálculo de Excel y unidades de almacenamiento en la nube durante el trabajo diario.

También sabemos por nuestros clientes que la información no estructurada de una organización típica contiene:

  • 42% información confidencial
  • 1% de información personal confidencial
  • 9% de información de identificación personal

La amenaza a la seguridad en los datos oscuros

El mayor riesgo de los datos oscuros son las amenazas a la seguridad que representan. Los datos oscuros o no estructurados son el punto de debilidad en cualquier organización que deja al negocio vulnerable y expuesto. Debido a que está oculto, no se puede asegurar.

Puede incluir datos como contraseñas de texto sin formato almacenadas en documentos de Word, certificados PKI en bandejas de entrada de correo electrónico e información de identificación personal (PII) sin protección de contraseña, y esto es lo que el proceso tradicional de fusiones y adquisiciones no logra encontrar.

De hecho, este es exactamente el tipo de datos robados en la catastrófica violación de datos de Marriott Hotels de 2018, que vuelve a ser noticia cuando se enfrentan a un litigio colectivo de un cliente en nombre de los 30 millones afectados. Lo fascinante de esta historia es que durante la adquisición de Starwood Hotels en 2016, Marriott no encontró los 5 millones de números de pasaporte que no estaban encriptados ni los 8 millones de detalles de tarjetas de crédito encriptados que se almacenaron junto con las claves de encriptación en el mismo servidor y que fueron violados. dos años después. ¿Cómo podrían haberlos encontrado si no tuvieran las herramientas para hacerlo durante el proceso de diligencia debida?

El problema es que la diligencia debida en seguridad de datos a menudo la realizan abogados o expertos en diligencia debida que pueden no tener un nivel profundo de experiencia en ciberseguridad. Pero el mayor problema radica en el hecho de que a menudo es un proceso manual, que utiliza un conjunto de preguntas de rutina. Y lo que se necesita es el descubrimiento de datos automatizado a escala.

Descubrimiento de datos: un nuevo enfoque de la debida diligencia

Nuestra investigación reciente muestra que el 77% de los profesionales de TI están preocupados por la información de identificación personal (PII) que está oculta dentro del estado de datos de su organización y que, por lo tanto, no pueden encontrar ni proteger. Por eso, tal vez no sea sorprendente que la investigación de Deloitte muestre 70% de las organizaciones dicen que la protección de los activos de datos en una empresa que están adquiriendo es más preocupante ahora que hace un año.

El primer paso para lograr la tranquilidad en un acuerdo de fusiones y adquisiciones es obtener visibilidad de los datos a escala.

Hay disponibles herramientas especializadas de descubrimiento de datos que pueden revelar exactamente lo que se encuentra en un estado de datos a gran escala en bases de datos estructuradas y no estructuradas, ya sea que los datos se mantengan en las instalaciones o en la nube y si se conocen o no. Una vez que una organización sabe qué datos está adquiriendo o fusionándose, al menos puede tomar medidas para protegerlos. Sin comprender primero qué existe dentro de los datos, o cómo están protegidos, muchas organizaciones solo lo descubrirán después de que sea demasiado tarde.

Por ejemplo, tenemos un cliente de servicios financieros que utiliza Exonar para descubrir e indexar un estado de datos de 160 TB o más. Adquieren negocios de vez en cuando, pero comienzan por identificar qué datos tienen ellos mismos y dónde están, para que la información se pueda asegurar de una manera regulatoria y conforme a los contratos. Un buen comienzo para cualquier trato.

La importancia de los datos en los acuerdos de fusiones y adquisiciones no debe subestimarse porque no puede asegurar lo que no puede ver, lo que hace que el descubrimiento de datos sea un paso vital para las empresas que buscan adquirir o fusionarse con otras organizaciones. Aquellos que no descubren y entienden sus datos oscuros o no estructurados, potencialmente se están perdiendo el 85% de lo que necesitan proteger cuando se cierra el trato.

Debemos adoptar un nuevo enfoque de la debida diligencia si las empresas que atraviesan fusiones y adquisiciones quieren evitar convertirse en la próxima noticia negativa porque descubrieron un problema de seguridad de datos oculto después de la fusión.

Contribuido por Gareth Tranter, jefe de satisfacción del cliente, Exonar

Publicaciones relacionadas

Anatomía de una amenaza persistente avanzada

De los exploits de día cero al ransomware desenfrenado: cómo evolucionaron los ataques dirigidos avanzados en el segundo trimestre de 2017

Una encuesta a 1.000 consumidores del Reino Unido revela que los ciberataques de alto perfil están teniendo un impacto en la confianza del consumidor en las grandes marcas.

TikTok dejará de operar en Hong Kong

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar