Nella Cyber Due Diligence dovranno essere inoltre tenuti in considerazione tutti gli assets societari che potrebbero essere appetibili a possibili attaccanti, come ad esempio:

• Informazioni sui contratti
• Dati dei clienti
• Email dei dirigenti 
• Danni reputazionali
• Dettagli di prodotti specifici
• Proprietà intellettuali
• Informazioni dei settori di ricerca e sviluppo
• Informazioni sensibili

Una volta identificate le zone sensibili della struttura societaria e i rischi connessi alle stesse, si dovranno necessariamente fornire delle disposizioni e delle azioni per poter sopperire alle vulnerabilità e mitigare i rischi legate alle stesse.

La mitigazione dei rischi può sicuramente essere attuata attraverso un solido programma di cybersecurity, collegato a un programma per la protezione dei dati.

Inoltre, dovranno essere attuate politiche interne relative al trattamento dei dati sensibili, come le informazioni sui prodotti e servizi dell’azienda o controlli di sicurezza per la protezione e il rilevamento.

Gli ambiti di applicazione

Per quanto riguarda gli ambiti di applicazione, il processo di Cyber Due Diligence deve essere sicuramente attuato quando ci troviamo di fronte a situazione di M&A, valutazione di fornitori e di terze parti.

Per citare un celebre caso in materia di M&A riportiamo quanto accaduto nel contesto di acquisizione da parte della società Verizon di Yahoo nel 2017. In fase di acquisizione infatti è emerso come Yahoo avesse subito due importantissimi Data Breach e a seguito di ciò l’azienda Verizon ha tagliato l’offerta d’acquisto di ben $250 milioni.

Questo come esempio dell’importanza di svolgere periodiche Cyber Due Diligence interne ed esterne nei casi sopracitati.

Autore: Andrea Caldarini
Intelligence Analyst 
Security Expert UNI 10459:2017