Mejores prácticas de diligencia debida cibernética para empresas de capital privado

 

Por Amy Gross, Líder Global de Práctica de Capital Privado de Liberty Mutual

Me estoy sumergiendo en el mundo del ciber y el capital privado (PE) a través de una serie de tres partes que explorará:

  • Parte I: Mejores prácticas de diligencia debida cibernética
  • Parte II: Cómo las juntas de PE pueden amplificar su experiencia cibernética
  • Parte III: Manual para cuando ocurre un incidente cibernético

En primer lugar, la diligencia debida cibernética.

El ciberespacio es un desafío complejo y en constante evolución para cualquier empresa, pero combina el riesgo cibernético con la actividad de capital privado y los riesgos pueden agravarse exponencialmente. En muchos casos, las empresas de capital privado se enfrentan al desafío del riesgo agregado en todas las empresas de su cartera y, si los riesgos cibernéticos no se gestionan adecuadamente, podría haber una amplia exposición y, en última instancia, una posible pérdida financiera para los inversores.

Los cuatro principales riesgos a explorar durante el proceso de diligencia debida

Cuando se trata de diligencia debida cibernética, hay cuatro áreas que las empresas de capital privado deben vigilar de cerca:

  1. Perfil de riesgo y sistemas: ¿cuál es el perfil de riesgo cibernético de la empresa? ¿Los sistemas de TI son modernos y están actualizados? ¿Tiene la empresa una comprensión clara  de todos los sistemas de TI dentro de su alcance, incluidos los sistemas administrados por terceros? ¿Son esos sistemas apropiados para el mercado que se está persiguiendo? ¿Existen procesos y procedimientos para ayudar a proteger los sistemas?
  2. Capital humano: ¿se ha capacitado a las personas sobre el riesgo cibernético? ¿Cuáles son los procesos de gobernanza establecidos en torno a la capacitación cibernética?
  3. Gestión de riesgos cibernéticos y estructura organizativa: ¿la empresa tiene procedimientos de gestión de riesgos cibernéticos? ¿Cómo está pensando la empresa sobre el ciberespacio desde una perspectiva general de riesgos y controles?
  4. Riesgos y amenazas externos: ¿se han realizado evaluaciones de riesgos y pruebas de penetración de terceros? ¿Se han identificado posibles incidentes o exposiciones, como infracciones pasadas o datos en la web oscura? ¿La empresa cumple con las normativas?

Controles y cobertura: los pilares de la diligencia debida cibernética de PE

Una vez que las empresas han identificado sus puntos débiles cibernéticos, pueden comenzar a centrarse en la creación de programas cibernéticos que pueden ayudar a protegerse contra esos riesgos. Estos programas deben basarse en dos pilares: controles y cobertura.

Existen controles fundamentales de ciberseguridad que la mayoría de las empresas deberían tener implementados, que incluyen:

  1. Políticas y procedimientos de seguridad: garantizar que la organización tenga políticas y procedimientos de seguridad documentados y garantizar que estén actualizados y sean completos.
  2. Seguridad de red: proteger la red donde hay acceso a activos de alto valor, como datos de clientes o información sobre operaciones comerciales.
  3. Gestión de identidades y accesos y gestión de amenazas internas: administrar quién puede tener acceso a qué datos en qué momento, asegurándose de que las personas adecuadas tengan acceso a la información correcta para ejecutar procesos comerciales; ayudando a protegerse contra actores internos maliciosos.
  4. Respuesta a incidentes: capacidad para identificar un incidente o incidente potencial y responder rápidamente a ese incidente.
  5. Gestión de proveedores externos: comprender qué proveedores externos utiliza la organización, incluido saber si se han revisado las prácticas de seguridad de los proveedores; garantizar que estén obligados contractualmente a cumplir con los mismos estándares de seguridad a los que se adhiere la organización.
  6. Capacitación y conciencia de los empleados: garantizar que los empleados sepan qué es un ataque de phishing o ingeniería social, qué información deben o no deben proporcionar a las partes, cómo los roles y el rango desde el nivel de entrada hasta los miembros de la junta pueden ser responsables de la cibernética.

En última instancia, los controles de ciberseguridad que una empresa de capital privado tiene en su lugar pueden dictar la cobertura, o la parte de seguro de un programa de ciberseguridad, ya sea que la cobertura se compre o se autoasegure. Al trabajar con un corredor, una empresa puede identificar sus exposiciones al riesgo, qué límites se necesitan y ayudarlos a comprender los detalles de la política cibernética para que puedan estar al tanto de lo que podría estar fuera del alcance de la política.

Los complementos pueden confundir aún más el rompecabezas cibernético

Los complementos presentan un desafío único cuando se trata de gestionar el riesgo cibernético, ya que el ciberespacio generalmente no es uno de los tres elementos principales cuando se trata de diligencia debida y, por lo tanto, puede quedarse en el camino. No es raro que una empresa de capital privado con una estrategia de crecimiento nacional adquiera una empresa complementaria regional que tenga controles cibernéticos sin límites. Y, la mayoría de las veces, las empresas están preocupadas por las formas de ir colectivamente al mercado en aspectos como el balance, no los sistemas de TI, durante este tipo de transacciones.

Tome este enfoque y situación típicos en su conjunto y el acuerdo podría estar maduro para un incidente cibernético. La clave para minimizar el riesgo cibernético con complementos es plegar rápidamente el complemento en los sistemas y controles de la compañía de plataformas. También es particularmente importante que las empresas no dependan demasiado o descuiden los sistemas heredados que quedan en su lugar bajo las TSA, sino que desmantelen esos viejos sistemas de TI de manera oportuna.

La ciberseguridad y el riesgo cibernético no son nuevos. Sin embargo, la necesidad de continuar la conversación sigue siendo urgente. El riesgo está evolucionando rápidamente y la forma en que las empresas de capital privado abordan el riesgo y ejecutan la debida diligencia puede tener un impacto directo en el crecimiento, la estabilidad y la reputación de la cartera a largo plazo.

Los suscriptores dedicados de Liberty Mutual, las estrechas asociaciones con nuestros clientes y corredores, y los recursos expertos de mitigación y reclamos nos ayudan a ofrecer soluciones de responsabilidad cibernética adecuadas a las necesidades individuales de las empresas en todas las geografías e industrias.