Parece que los hackers de ransomware han identificado compañías de cartera recién compradas como objetivos fáciles.

En una reciente conferencia de servicios financieros, escuché una historia de advertencia que vale la pena repetir. Implica ransomware , y empresas de compra de capital privado (PE) y un panorama general de amenazas de ciberseguridad en aumento para toda una industria.

Como breve trasfondo, las empresas que se dedican a comprar, mejorar y vender empresas, y en su mayoría están formadas por abogados y contadores. Su experiencia interna radica en analizar las finanzas, identificar empresas infravaloradas y estructurar acuerdos legales para comprar, mejorar y vender empresas; la ciberseguridad no se encuentra entre las competencias básicas de una de estas empresas.

Del comunicado de prensa al rescate

Por lo general, la emitirá un comunicado de prensa tras la adquisición de una nueva compañía de cartera, y otra una vez que la vendan con ganancias (generalmente un proceso de cinco a siete años). Parece sencillo, ¿verdad?

Bueno, no del todo. Según esta conferencia, está surgiendo una tendencia preocupante: poco después de emitir un comunicado de prensa, la nueva compañía de cartera se ve afectada por un ataque de ransomware. Para desbloquear sus PC y bases de datos, las empresas pagarán el rescate y trabajarán con los rescatadores para restaurar los datos afectados.

Parece que los hackers de ransomware han identificado compañías de cartera recién compradas como objetivos fáciles. Y no están equivocados; Estas empresas generalmente inyectan una gran cantidad de efectivo en sus negocios adquiridos para mejorar las operaciones y maximizar el valor de la corporación. En otras palabras, tienen los fondos para pagar el rescate.

Además, dado que la empresa esta compuesta por abogados y contadores, la seguridad cibernética no es necesariamente lo más importante. Como tal, la diligencia debida de seguridad cibernética en las compañías objetivo a menudo es insuficiente, e incluso a veces es una ocurrencia tardía, que las hace vulnerables a los ataques, cuyos resultados pueden ser devastadores (solo pregunte a Marriott ).

Atrapado entre una roca y un lugar duro

Las empresas de capital privado deben emitir comunicados de prensa sobre sus compañías de cartera; así es como crean conciencia para aumentar el número de compradores interesados ​​en sus Fondos de Capital. Sin embargo, estos comunicados de prensa están dejando un rastro de migas de pan para que los hackers hambrientos sigan para encontrar compañías ricas en efectivo.

Las empresas deben abordar dos problemas críticos para solucionar este enigma.

Primero, deben llevar a cabo una diligencia debida de seguridad cibernética real e integral … antes de completar una compra. El estándar actual de práctica a menudo implica el envío de un empleado de TI de red o un consultor de TI para verificar la conectividad de red de una empresa objetivo y una seguridad mínima, como confirmar que tienen un Firewall y cambiar las credenciales de inicio de sesión / contraseña con la frecuencia suficiente. Eso es todo. Es necesario crear y realizar un conjunto completo de controles de seguridad.

Luego, después de comprar una empresa, las empresas necesitan un conjunto de estándares en toda la cartera para proteger el valor del fondo. Considere KKR, uno de los PE más grandes del mundo, que tiene un fondo de $ 20B USD para comprar empresas con sede en los Estados Unidos. Un ataque generalizado a varias compañías en el fondo KKR paralizaría el valor del fondo para los inversores.

Trae a los expertos

Esta historia es solo un ejemplo de una industria en la que la ciberseguridad es una amenaza creciente y no se cumple con la experiencia adecuada, cuyas consecuencias a largo plazo pueden ser perjudiciales.

Lo he dicho antes , y lo diré nuevamente: asegurar los activos digitales ya no puede delegarse únicamente en el departamento de TI; debe incorporarse a las ofertas de productos y servicios, la seguridad y quizás lo más importante, los planes de desarrollo y las iniciativas comerciales. Esto es especialmente cierto para las industrias, como el capital privado / servicios financieros, que están inmersas en adquisiciones. Para citarme más , “cuando una empresa adquiere otra, no solo adquiere activos. También asume los riesgos de la empresa objetivo. En pocas palabras, sus huecos se convierten en tus huecos “.

Las empresas necesitan experiencia y un conjunto claro de mejores prácticas de seguridad cibernética. Necesitan servicios de seguridad gestionados para ayudarlos. Y necesitan desesperadamente una conciencia y un conocimiento más profundos del panorama actual de amenazas en constante evolución.

Por

Mike O’Malley

Leave a Reply