Trong bối cảnh công nghệ không ngừng phát triển ngày nay, các mối đe dọa và sự cố an ninh mạng thường là chủ đề của các bài báo trên trang nhất và các cuộc thảo luận trên hội đồng quản trị . Có vẻ như không thiếu các tổ chức bị tin tặc đòi tiền chuộc bằng bitcoin hoặc thông báo cho khách hàng của họ rằng thông tin cá nhân của họ không còn là riêng tư nữa; Không có gì đáng ngạc nhiên, những sự cố này thường dẫn đến tổn thất đáng kể sau khi tiết lộ vi phạm dưới hình thức phạt tiền, thiệt hại về thương hiệu hoặc hình ảnh, tiền chuộc, thời gian ngừng hoạt động và mất khách hàng.
Xem xét tất cả những rủi ro không gian mạng này, làm cách nào để các công ty cổ phần tư nhân tự tin đầu tư vốn của họ khi biết rằng họ sẽ không chịu một khoản lỗ lớn, cả về tài chính và / hoặc từ góc độ danh tiếng, trước một sự cố mạng? Mặc dù không có viên đạn bạc nào liên quan đến an ninh mạng, nhưng tích hợp siêng năng về an ninh mạng vào quy trình thỏa thuận giúp các công ty cổ phần tư nhân hiểu được rủi ro mạng vốn có trong một khoản đầu tư cụ thể và cho họ cơ hội giảm thiểu, chuyển nhượng, bảo hiểm và thương lượng điều chỉnh giá mua để thích ứng với rủi ro đó.
Tại sao không chỉ nhận bảo hiểm và bỏ qua hoàn toàn việc kiểm tra mạng?
Trong hầu hết các trường hợp, hợp đồng bảo hiểm mạng có các yêu cầu kiểm soát an ninh để giúp bảo vệ tổ chức được bảo hiểm; trong trường hợp tổ chức không có các biện pháp kiểm soát bắt buộc và xảy ra sự cố mạng, thì yêu cầu bồi thường có thể sẽ bị từ chối . Sự chuyên cần về mạng giúp các tổ chức hiểu được những lỗ hổng kiểm soát của họ và đưa ra chiến lược khắc phục và chuyển giao rủi ro (thông qua bảo hiểm và các giao ước khác) phù hợp với luận điểm đầu tư và khả năng chấp nhận rủi ro của nhóm cổ phần tư nhân.
Nếu bạn định mua một chiếc ô tô không có túi khí, dây an toàn và phanh chống bó cứng, bạn sẽ muốn biết
Điều tương tự cũng xảy ra đối với việc mua một công ty danh mục đầu tư. Nếu bạn đang mua một công ty danh mục đầu tư thiếu các biện pháp bảo vệ cơ bản để ngăn chặn sự cố mạng thảm khốc, bạn cần biết trước khi chốt giao dịch.
Sự siêng năng về an ninh mạng bao gồm các khía cạnh logic và kỹ thuật của rủi ro mạng, bao gồm cả quản trị bảo mật , quản lý dữ liệu nhạy cảm , quản lý danh tính và quyền truy cập , kiến trúc bảo mật và các phương pháp ứng phó sự cố . Sự siêng năng trong từng lĩnh vực này cung cấp những hiểu biết quan trọng liên quan trực tiếp đến các mối đe dọa an ninh tiềm ẩn và các yêu cầu quy định khiến tổ chức gặp rủi ro; mỗi lĩnh vực dưới đây cung cấp cho người mua thông tin họ cần để đưa ra quyết định mua hàng thực sự sáng suốt và giúp họ tránh phải chịu rủi ro mạng tiềm ẩn.
Quản lý bảo mật
Trong môi trường ngày nay, con người là một trong những vật trung gian tấn công lớn nhất cho tin tặc và các tác nhân độc hại. Các cuộc tấn công dưới dạng lừa đảo, bao gồm các cuộc tấn công được cá nhân hóa cho nạn nhân (được gọi là lừa đảo trực tuyến) và kỹ thuật xã hội, tất cả đều có thể nhanh chóng cung cấp bệ phóng cho những kẻ độc hại truy cập vào môi trường của tổ chức. Siêng năng trong quản trị an ninh giúp đảm bảo rằng một tổ chức mục tiêu có các chính sách, thủ tục và thông lệ thích hợp để giảm thiểu rủi ro do những mối đe dọa này gây ra và cung cấp một khuôn khổ để xác nhận việc giảm thiểu rủi ro trên cơ sở nhất quán. Điều này bao gồm việc đánh giá các chính sách và thủ tục dựa trên các thông lệ hàng đầu, xác thực các hoạt động đào tạo nâng cao nhận thức về bảo mật và kiểm tra tuân thủ cũng như điều chỉnh việc quản lý bảo mật theo yêu cầu của các quy định hiện hành (PIPEDA, GDPR, ITAR, v.v.). Khi làm như vậy, sự siêng năng về quản trị bảo mật giúp người mua hiểu liệu một tổ chức có tăng nguy cơ bị phạt do không tuân thủ hay không.
Quản lý dữ liệu nhạy cảm
Việc đánh giá cách một tổ chức phân loại, quản lý và bảo vệ dữ liệu nhạy cảm nhất của mình là một lĩnh vực thẩm định quan trọng khác. Điều này bao gồm việc tìm hiểu dữ liệu nhạy cảm mà một tổ chức thu thập (ví dụ:thông tin nhận dạng cá nhân, số thẻ tín dụng, hồ sơ sức khỏe, v.v.), điều tra cách họ sử dụng thông tin và đánh giá các biện pháp kiểm soát và bảo mật xung quanh dữ liệu nhạy cảm. Siêng năng quản lý dữ liệu nhạy cảm giúp đảm bảo rằng tổ chức mục tiêu đang thực hiện các bước thích hợp để giảm thiểu rủi ro vi phạm dữ liệu cũng như tiền phạt và thiệt hại thương hiệu thường đi kèm với nó.
Quản lý danh tính và quyền truy cập
Mật khẩu và thông tin tài khoản bị xâm nhập là nguyên nhân phổ biến của các sự cố mạng. Quản lý danh tính và quyền truy cập tập trung vào việc đảm bảo rằng một tổ chức đang quản lý đúng danh tính của người dùng (ví dụ:tài khoản người dùng) và sử dụng hiệu quả các danh tính đó để cung cấp quyền truy cập vào các tài nguyên tổ chức mà cá nhân cần. Sự siêng năng trong lĩnh vực này giúp đánh giá xem tổ chức có đang thực hiện các bước thích hợp để giảm thiểu nguy cơ xâm nhập tài khoản, truy cập không đúng cách vào tài nguyên tổ chức và mật khẩu dễ bị tấn công hay không.
Kiến trúc bảo mật
Những nỗ lực chuyên cần này tập trung vào các khía cạnh kỹ thuật của môi trường CNTT của mục tiêu, chẳng hạn như đảm bảo rằng môi trường được xây dựng và duy trì phù hợp với các thực tiễn bảo mật hàng đầu. Đây là lĩnh vực đánh giá cơ bản giúp người mua hiểu được rủi ro cố hữu trong môi trường CNTT mà họ sắp thừa hưởng và những gì cần thiết để khắc phục các vấn đề chính của 'cờ đỏ'.
Phản hồi sự cố
Sự thẩm định trong lĩnh vực này tập trung vào việc xác nhận rằng một tổ chức có các thủ tục thích hợp để ứng phó với các sự cố an ninh tiềm ẩn và đã được xác nhận một cách hiệu quả. Ứng phó sự cố hiệu quả là công cụ để ngăn chặn thiệt hại trong trường hợp xảy ra sự cố an ninh mạng; trong khi việc không ứng phó hiệu quả với một sự cố thường dẫn đến thiệt hại trên diện rộng, số tiền phạt lớn hơn và chi phí khắc phục sẽ cao hơn.
Vì thẩm định tài chính, thuế và pháp lý đã trở thành quy trình hoạt động tiêu chuẩn đối với các công ty cổ phần tư nhân trước khi kết thúc giao dịch, nên việc kiểm tra an ninh mạng cũng vậy. Thẩm định kỹ thuật mạng giúp các công ty cổ phần tư nhân nắm bắt được rủi ro an ninh mạng tiềm ẩn khi mua lại, cũng như thời gian, nỗ lực và chi phí để giải quyết các khu vực rủi ro một cách thỏa đáng. Trong thế giới ngày càng phức tạp này, nơi dữ liệu được các công ty thu thập và duy trì về khách hàng, nhà cung cấp và quy trình của họ là cốt lõi đối với thực tiễn kinh doanh của họ, đảm bảo việc bảo vệ tài sản quý giá này nên là trọng tâm chính của các công ty cổ phần tư nhân khi xem xét các cơ hội giao dịch.
Louis Higgins là Giám sát, Tư vấn Quản lý tại RSM US LLP và Ben Gibbons là Đối tác và Lãnh đạo Công ty Cổ phần Tư nhân Quốc gia tại RSM Canada.