Minimizar su superficie de ataque durante fusiones y adquisiciones y desinversiones

La debida diligencia comercial minimiza los riesgos y proporciona a la junta directiva de una organización la confianza necesaria para proceder con las negociaciones sobre la adquisición o venta de una parte del negocio. Sin embargo, a medida que la ciberseguridad se convierte en una pieza cada vez más importante del proceso de evaluación, ¿pueden los equipos de TI completar la transición a una nueva propiedad sin exponer a la compañía a niveles de riesgo indeseables?

En un reporte reciente de Forescout, se acordó que la adquisición de tecnología era una prioridad para la estrategia de fusiones y adquisiciones y dos tercios de los encuestados dijeron que las preocupaciones de ciberseguridad llevaron a sus compañías a arrepentir al hacer un acuerdo de fusiones y adquisiciones.

Estos movimientos corporativos o cambios en la maquinaria del gobierno a menudo vienen con incentivos para que la administración los complete dentro de plazos agresivos. Los objetivos obvios de simplemente incorporar los sistemas de un tercero al redil, o separar los sistemas que se están desinvirtiendo, suenan muy bien en el papel, pero cuando los dedos golpean los teclados, son los equipos de seguridad de TI, redes e infraestructura los que tienen la abrumadora tarea de hacer que esta actividad suceda.

La adquisición de riesgo cibernético puede ver como un aspecto negativo de las fusiones y adquisiciones. Sin embargo, cuando se implementa correctamente, un programa de ciberseguridad es un activo en las fusiones y adquisiciones y un factor importante cuando se es el lado vendedor.

Los cambios en la composición comercial y la operación de TI son objetivos abundantes y oportunos para que los actores maliciosos se beneficien de la interrupción de los negocios como de costumbre. Sin la seguridad Zero Trust ya buscada en ambos lados de la mesa de negociaciones, los exploits de fallas de seguridad preexistentes y una mayor superficie de ataque pueden significar que el cambio de propiedad puede actuar como un "caballo de Troya", donde cualquier ransomware, malware o ataque dirigido posterior al cierre o amenaza persistente avanzada (APT) existente se propaga dentro y a través del negocio del comprador.

Del mismo estudio, más de la mitad de los encuestados informaron que encontraron un problema o incidente crítico de ciberseguridad durante un acuerdo de fusiones y adquisiciones que puso en peligro el acuerdo.

Consideraciones de seguridad de adquisición

Ya sea antes o luego de firmar un acuerdo, es particularmente pertinente determinar el riesgo relacionado con la higiene de la seguridad del centro de datos dentro de las aplicaciones adquiridas y los centros de datos de nube híbrida. El Centro de Seguridad Cibernética de Australia aconseja que las organizaciones que ingresan a dicha actividad comprendan el entorno operativo y los controles de seguridad que protegen los datos y los sistemas para garantizar una protección equivalente o mayor en el nuevo entorno operativo. También existen posibles consecuencias financieras para las partes involucradas en relación con el cumplimiento normativo y la legislación de privacidad.

Con poco o ningún control sobre las aplicaciones heredadas a través de una adquisición, los equipos de TI a menudo se preguntan: ¿Qué acabamos de heredar? ¿Emplean tecnologías de infraestructura diferentes a las nuestras, como Kubernetes o nubes públicas alternativas? ¿Qué prácticas de protección de datos, aplicaciones, seguridad de endpoints y gestión de vulnerabilidades se siguieron? ¿Y qué significa la ingesta de estas cargas de trabajo para nuestra superficie de ataque actual?

Los equipos de seguridad del comprador a menudo se ven obstaculizados en cualquier evaluación por la falta de visibilidad de los activos del centro de datos que están comprando y la falta de oportunidad para identificar fallas existentes que permitan el movimiento lateral y la exposición de datos confidenciales. Sin comprender cómo se conectan y comunican las aplicaciones y las cargas de trabajo, las compañías adquirentes corren el riesgo de romper las aplicaciones e interrumpir el servicio durante la migración o al proteger las aplicaciones adquiridas una vez recibidas. Además, como las adquisiciones no siempre implican la compra de aplicaciones completamente complementarias, esa comprensión es igualmente importante en la adopción gradual de los sistemas de recepción y llegada al centro de datos, identificando superposiciones de redundancia y desmantelamiento, y luego manejando al valor agregado entre los sistemas para los que se diseñó la fusión y adquisición.

Consideraciones de seguridad de desinversión

La adquisición de riesgo cibernético puede ver como un aspecto negativo de las fusiones y adquisiciones. Sin embargo, cuando se implementa correctamente, un programa de ciberseguridad es un activo en las fusiones y adquisiciones y un factor importante cuando se es el lado vendedor. En una encuesta realizada por ISC2, el 95% de los profesionales de fusiones y adquisiciones encuestados consideraron que la ciberseguridad es un activo tangible que está respaldado por la pila técnica de la aplicación o servicio, pero que se extiende al programa más amplio de seguridad y gestión de riesgos. Un programa de ciberseguridad estable se puede emplear como diferenciador y valor agregado en el proceso de fusiones y adquisiciones. Una inversión en esto no solo hace que su venta sea más atractiva, sino que podría exigir un precio más alto.

Aunque uno podría sentir que estar en el lado de la cerca "en venta" debería simplificar el proceso (ya que debe saber más sobre su propio entorno), la deuda técnica y la naturaleza interconectada de los sistemas dentro de sus propios centros de datos plantean un desafío para identificar y poder desenredar y cortar los activos que se venderán. Es probable que sea un desafío responder a sus propias preguntas, como qué cargas de trabajo ejecutan las aplicaciones o la parte del negocio que se vende, y sabemos a qué están conectados esos sistemas y quién accede a ellos hoy.

También puede ver limitado por los controles existentes para elevar la seguridad al nivel requerido por el adquirente o que pesaría la balanza a su favor durante las negociaciones. También es común que las obligaciones contractuales de la venta requieran que continúe ejecutando esos sistemas durante un periodo prolongado dentro de su entorno, por lo que se necesita un mecanismo eficiente para desenredarlos y aislarlos sin eliminarlos por completo.

En resumen, los desafíos comunes tanto de adquirir como de desinvertir incluyen:

• Falta de visibilidad de las dependencias de la aplicación para comprender, migrar e integrar nuevos o separar los activos/cargas de trabajo en el ámbito de la venta.
• Las políticas de seguridad existentes suelen ser estáticas, vinculadas a la implementación de la infraestructura y la seguridad del centro de datos y, por lo tanto, no se pueden migrar de forma adaptativa con las cargas de trabajo a medida que se pasan entre las entidades.
• Migrar aplicaciones desconocidas sin comprometer la seguridad o interrumpir los servicios es difícil, ya que las aplicaciones modernas son interdependientes y pueden ser frágiles.
• No romper el software mientras se completa el proceso de transición es vital para mantener la mayor cantidad de negocios posible.
• Riesgo de compromiso de los datos de los clientes y de la compañía durante la migración con firewalls de borde abiertos.

Cómo ayuda Illumio

La migración de aplicaciones sin comprometer la seguridad es la esencia de un resultado exitoso, y la Plataforma de Seguridad Adaptativa (ASP) de Illumio es fundamental para la estrategia de fusiones y adquisiciones de algunas de las organizaciones más adquisitivas del mundo. Illumio ASP resuelve los desafíos más comunes al permitirle:

1. Asigne las dependencias de la aplicación dentro de su propio entorno (desinversión) o del entorno (adquisición) del destino. El mapa de dependencia de aplicaciones de Illumio proporciona información en tiempo real para ayudar a las compañías a visualizar las aplicaciones adquiridas o vendidas y sus cargas de trabajo en todos los entornos antes de la migración. Con la comprensión de las dependencias de las aplicaciones, los equipos pueden garantizar que la migración sea eficiente y que el comportamiento de la aplicación no se interrumpa.
2. Cree una política de segmentación para aislar la infraestructura de TI crítica, aprovechando el mapa de dependencia de aplicaciones. El generador de políticas de Illumio automatiza la creación de políticas de segmentación con una política de microsegmentación optimizada que ahorra tiempo, acelera los flujos de trabajo de seguridad y reduce el riesgo de errores humanos al delimitar los sistemas adquiridos o vendidos para contener cualquier infracción.
3. Proteja su infraestructura de los servidores y aplicaciones de la compañía objetivo. La política de microsegmentación adaptativa se ajusta a los cambios en el entorno de la aplicación: a medida que las aplicaciones se mueven, también lo hace la seguridad. Esto permite proteger las aplicaciones antes de la migración y que la política se ajuste automáticamente luego de la migración, manteniendo una protección coherente y continua durante el proceso de transición.

Ya sea que esté adquiriendo y necesite la confianza para hacerlo de manera segura, o vendiendo y pueda aumentar su precio mientras reduce el esfuerzo para cortar esos activos, Illumio eliminará el riesgo de sus iniciativas comerciales.

Lea la historia de una organización de Fortune 500 que finalizó sin problemas una adquisición de alto perfil, implementando Illumio en los 700 servidores de la compañía adquirida.