Czym jest due diligence?
Due diligence to należyta staranność w cyberbezpieczeństwie. Jest to proces, w którym Twoja firma dokładnie analizuje swoje systemy, infrastrukturę, polityki bezpieczeństwa i procedury, aby zidentyfikować i zminimalizować ryzyko wystąpienia cyberzagrożeń. Firmy nierzadko przeprowadzają ją np. przed podejmowaniem ważnych decyzji jak chociażby inwestycji, przejmowania konkurencyjnych podmiotów, zawierania nowych umów itd. itp. Jednak zasady due diligence warto stale podtrzymywać.
Celem due diligence jest identyfikacja, ocena i zrozumienie ryzyka związanego z cyberbezpieczeństwem w zakresie systemów informatycznych, sieci, infrastruktury i procedury związane z bezpieczeństwem Twojej organizacji. W ramach tego procesu powinieneś przeprowadzić audyty bezpieczeństwa, przeglądy polityk bezpieczeństwa, analizę zarządzania dostępu, monitorowania zdarzeń, ochronę przed zagrożeniami, sprawdzić zabezpieczenia techniczne oraz inne aspekty bezpieczeństwa informatycznego.
Wyniki due diligence w cyberbezpieczeństwie mogą Ci dostarczyć wiedzy na temat potencjalnych luk i słabości w systemach i procedurach Twojej firmy. To pozwala na identyfikację obszarów wymagających wzmocnienia, takich jak aktualizacja zabezpieczeń, wprowadzenie nowych procedur, szkolenie personelu czy zwiększenie budżetu na cyberbezpieczeństwo. Taki proces jest kluczowy – zarówno ze względu na Twój biznes, jak i biznesy Twoich klientów. Zwłaszcza jeśli np. gromadzisz czy przetwarzasz poufne dane kontrahentów lub konsumentów. To też ważne z punktu widzenia pracowników. Pamiętaj, że cyberzagrożenia z roku na rok są coraz poważniejszym problemem.
Kiedy warto przeprowadzić analizę due diligence?
Analiza due diligence może być przeprowadzana w różnych sytuacjach. Choć o cyberbezpieczeństwo swojej firmy powinieneś dbać stale, to są momenty, w którym warto przeprowadzić analizę due diligence w szczególności. Np. przed inwestycją lub fuzją warto przeprowadzić analizę due diligence w celu oceny stanu infrastruktury technologicznej, polityk bezpieczeństwa i ryzyka związanego z cyberbezpieczeństwem. Dzięki temu oceniasz potencjalne zagrożenia i problemy, które mogą wpływać na wartość transakcji. Podobnie jest w przypadku, kiedy planujesz przejąć inną firmę. Due diligence pozwoli wtedy ocenić stan bezpieczeństwa firmy, ryzyka związanego z cyberatakami i potencjalnych wycieków danych, a także polityki bezpieczeństwa i procedury.
Przed podpisaniem umowy z dostawcą technologicznym lub usługowym, też powinieneś przeprowadzić analizę due diligence w zakresie cyberbezpieczeństwa. W ten sposób możesz ocenić, czy dostawca spełnia odpowiednie standardy bezpieczeństwa i jest w stanie chronić dane i systemy Twojej firmy. Również, jeśli zamierzasz zainwestować w nowe technologie lub rozwiązania informatyczne, ważne jest przeprowadzenie due diligence w zakresie cyberbezpieczeństwa tych rozwiązań. Pozwoli to ocenić ich potencjalne zagrożenia, luki w zabezpieczeniach i ryzyko dla Twojej organizacji.
To jednak nie koniec. Jeśli planujesz wprowadzić znaczące zmiany w infrastrukturze IT swojej firmy, takie jak migracja do chmury, to też nie obejdzie się (a przynajmniej nie powinno) bez dokonania takiej analizy. W każdym przypadku due diligence powinna być przeprowadzona przed podjęciem decyzji, aby zidentyfikować potencjalne ryzyka i podjąć odpowiednie działania w celu minimalizacji zagrożeń.
Jak przygotować się do due diligence?
Aby dokonać analizy due diligence w swojej firmie, musisz podjąć odpowiednie kroki (tyczy się to również weryfikacji Twoich dostawców czy podmiotu, który planujesz przejąć lub zainwestować w niego pieniądze), w tym:
zidentyfikowanie potencjalnych zagrożeń, takich jak phishing, ransomware czy malware. Dokładnie przeanalizuj swoje systemy, infrastrukturę i procesy biznesowe, aby zrozumieć, gdzie może wystąpić ryzyko;
sprawdzenie, z jakich zabezpieczeń korzystasz. Mowa tutaj o wszelkich firewallach, antywirusach, VPN-ach, szyfrowaniu danych itd. itp.;
przeprowadzenie testów penetracyjnych, które polegają na symulowaniu ataków hakerów na swoje systemy, aby zidentyfikować ewentualne słabe punkty. Dzięki nim ocenisz, które aspekty Twojej organizacji są słabymi ogniwami;
skontrolowanie swoje polityki bezpieczeństwa i procedury. Upewnij się, że są one aktualne, zgodne z najlepszymi praktykami branżowymi oraz dostosowane do specyfiki Twojej firmy. Weryfikuj, czy są one skutecznie egzekwowane i czy pracownicy są świadomi swoich obowiązków w zakresie cyberbezpieczeństwa;
organizowanie regularnych szkoleń z zakresu cyberbezpieczeństwa dla swojego personelu. Zapewnij im wiedzę na temat identyfikowania zagrożeń, jak wykrywać ataki phishingowe czy jak przetwarzać dane (w tym te dostępowe, tj. np. nie podawać ich na komunikatorach, a korzystać z menedżerów haseł czy programów, które kasują wiadomości po ich wyświetleniu). Świadomi pracownicy są ważnym elementem ochrony przed incydentami cybernetycznymi;
wdrożenie systemów monitorowania zdarzeń, co pozwoli Ci na ciągłą analizę i wykrywanie nieprawidłowości w systemach. Dzięki temu można szybko zareagować na potencjalne ataki i minimalizować skutki incydentów;
regularne aktualizowanie oprogramowania i zabezpieczenia swoich systemów. Wiele cyberataków wykorzystuje znane luki w oprogramowaniu, dlatego ważne jest, aby być na bieżąco z aktualizacjami;
przeanalizowanie, czy organizacja przestrzega odpowiednich przepisów prawnych i regulacji dotyczących bezpieczeństwa danych, takich jak chociażby RODO;
utworzenie inwentaryzacji zasobów obejmujących systemy fizyczne (tj. laptopy, smartfony itp.), czy oprogramowania;
posiadanie planu reagowania na cyberincydenty, plan ciągłości biznesowej i odzyskiwania (np. danych) po awarii czy cyberataku;
sprawdzanie swoich zewnętrznych dostawców, np. oprogramowania typu SaaS, analizuj łańcuchy dostaw, dowiedz się, kto kontroluje lub ma dostęp do danych w Twojej firmie itd. itp.
Wyzwania w due diligence
Choć praktyki due diligence są niezwykle ważne, to, oczywiście, i tu mogą pojawić się pewne wyzwania czy problemy. Dla części przedsiębiorców będzie to już czas trwania tak rozbudowanej analizy. Nie ma co ukrywać, że due diligence w cyberbezpieczeństwie nie przeprowadza się w dzień czy dwa. To proces, który może trwać tygodniami lub miesiącami. A dodatkowo – często wymaga pomocy dobrze przeszkolonego zespołu. Twoja firma, dostawca lub podmiot, który chcesz przejąć – niekoniecznie muszą je mieć. I tu w grę często wchodzą zewnętrzne organizacje, które oferują analizę due diligence albo przynajmniej część z usług wymaganych do jej przeprowadzenia (np. pentesty).
Wyzwania pojawiają się także w momencie np. braku wsparcia ze strony organizacji docelowej. Tj. jeśli podmiot, który chcesz przejąć (albo Twój dostawca) niekoniecznie tak ochoczo podchodzą do weryfikacji swoich zabezpieczeń czy przetwarzania danych. Choć powinien to być dla Ciebie wyraźny sygnał. W takich sytuacjach może się też okazać, że dany podmiot nie zawsze prowadził szczegółową dokumentację np. naruszeń czy incydentów cyberbezpieczeństwa. Tym bardziej jeśli np. dotychczas pracownicy tej konkretnej organizacji nie byli jakoś szczególnie wyedukowani w aspektach cyberbezpieczeństwa.
W tym wszystkim nie pomaga też brak regulacji czy konkretnych wytycznych co do due diligence. Owszem, z tego artykułu dowiadujesz się, jakie kroki powinieneś podjąć (albo jakie powinny być kroki docelowej organizacji), ale nie oznacza to, że koniecznie tak będzie. Analizy due diligence to sprawy bardzo indywidualne i nie każdy podmiot stosuje wszystkie wspomniane praktyki. A to przekłada się właśnie na jego cyberbezpieczeństwo.
Co po analizie due diligence?
W zależności od tego, jakie wnioski można wyciągnąć z przeprowadzonej analizy due diligence – czekają Cię kolejne kroki. Pierwszą podstawową rzeczą, jaką należy wówczas zrobić – jest opracowanie strategii i kosztorysu przyszłych inwestycji. Może się w końcu okazać, że Twoja organizacja (lub podmiot, z którym dokonujesz fuzji czy przejęcia) mają poważne luki w zabezpieczeniach. A co to oznacza? Koszty, koszty i jeszcze raz koszty.
Mogą Cię czekać zaawansowane szkolenia pracowników, zmiany dotychczasowych systemów czy oprogramowań, powołanie do życia specjalnych zespołów (np. działu IT) itd. Finalnie może się okazać (chociażby w przypadku fuzji czy przejęcia), że gra nie jest warta świeczki, bo koszty takiej inwestycji mogą być spore i znacząco wpłynie to na transakcję. Musisz jednak pamiętać, że każde badanie due diligence jest inne, a jego intensywność i wyniki zależą od wielu czynników. Dlatego trudno tutaj o jakieś konkretne, jednoznaczne wytyczne. Jednak bez niej narażasz się na znaczące ryzyko w każdym procesie biznesowym, jaki przeprowadzasz. Od podpisania umowy z nowym kontrahentem, przez współpracę z dostawcą aż po fuzję, integrację, przejęcie czy inwestycję w nowy podmiot.