Nel contesto della valutazione di partner o di terze parti e della Due Diligence Reputazionale, si innesta anche la cd Cyber Due Diligence.
Con Cyber Due Diligence si intende un processo di analisi e valutazione dei rischi informatici di un’azienda o di un’organizzazione.
La Cyber Due Diligence interessa diverse fasi e diversi professionisti con il focus di identificare e valutare vulnerabilità, rischi e conformità a procedure e regolamentazioni della privacy delle aziende monitorate.
Questo processo permette in primo luogo di identificare i rischi e le vulnerabilità e in secondo luogo di poter identificare le azioni volte a mitigare questi fattori.
Il processo di Cyber Due Diligence deve concentrarsi come detto, in diversi ambiti collegati all’azienda, come sono esposti nel grafico seguente.
Nella Cyber Due Diligence dovranno essere inoltre tenuti in considerazione tutti gli assets societari che potrebbero essere appetibili a possibili attaccanti, come ad esempio:
Una volta identificate le zone sensibili della struttura societaria e i rischi connessi alle stesse, si dovranno necessariamente fornire delle disposizioni e delle azioni per poter sopperire alle vulnerabilità e mitigare i rischi legate alle stesse.
La mitigazione dei rischi può sicuramente essere attuata attraverso un solido programma di cybersecurity, collegato a un programma per la protezione dei dati.
Inoltre, dovranno essere attuate politiche interne relative al trattamento dei dati sensibili, come le informazioni sui prodotti e servizi dell’azienda o controlli di sicurezza per la protezione e il rilevamento.
Per quanto riguarda gli ambiti di applicazione, il processo di Cyber Due Diligence deve essere sicuramente attuato quando ci troviamo di fronte a situazione di M&A, valutazione di fornitori e di terze parti.
Per citare un celebre caso in materia di M&A riportiamo quanto accaduto nel contesto di acquisizione da parte della società Verizon di Yahoo nel 2017. In fase di acquisizione infatti è emerso come Yahoo avesse subito due importantissimi Data Breach e a seguito di ciò l’azienda Verizon ha tagliato l’offerta d’acquisto di ben $250 milioni.
Questo come esempio dell’importanza di svolgere periodiche Cyber Due Diligence interne ed esterne nei casi sopracitati.
Autore: Andrea Caldarini
Intelligence Analyst
Security Expert UNI 10459:2017
Un sito non basta a risolvere ogni dubbio e soprattutto a far fronte a tutte le necessità. Utilizza il form qui a lato o la CHAT per contattarci, prenotare un appuntamento e chiederci informazioni.