今日の進化し続けるテクノロジー環境において、サイバーセキュリティの脅威とインシデント は、フロントページの記事や取締役会での議論の対象となることがよくあります 。ビットコインを要求したり、個人情報がもはや個人情報ではなくなったことを顧客に通知したりするハッカーによって身代金を要求されている組織に不足はないようです。当然のことながら、これらの事件の後には、罰金、ブランドまたは画像の損傷、身代金の支払い、ダウンタイム、顧客の喪失などの違反開示に続いて、重大な損失が発生することがよくあります。
これらすべてのサイバーリスクを考慮すると、プライベートエクイティファームはどのようにすればよいのでしょうか。 サイバーインシデントの手によって、経済的および/または評判の観点から、巨額の損失を被ることがないことを知って、自信を持って資本を投資しますか?サイバーセキュリティに関して特効薬はありませんが、サイバーセキュリティの勤勉さを統合する 取引プロセスに参加することで、プライベートエクイティ企業は特定の投資に内在するサイバーリスクを理解し、そのリスクに対応するために購入価格の調整を軽減、移転、保険、交渉する機会を得ることができます。
保険に加入してサイバー勤勉を完全にスキップしないのはなぜですか?
ほとんどの場合、サイバー保険契約には、被保険者の組織を保護するためのセキュリティ管理要件があります。組織に必要な管理がなく、サイバーインシデントが発生した場合、申し立ては拒否される可能性があります 。サイバーディリジェンスは、組織がコントロールのギャップを理解し、投資論文とプライベートエクイティグループのリスク許容度に沿った修復とリスク移転の戦略をまとめるのに役立ちます。
エアバッグ、シートベルト、アンチロックブレーキのない車を購入する場合は、知りたいと思うでしょう
ポートフォリオ会社の購入についても同じことが言えます。壊滅的なサイバーインシデントを防ぐための基本的な保護手段がないポートフォリオ企業を購入する場合は、取引を成立させる前に知っておく必要があります。
サイバーセキュリティの取り組みは、セキュリティガバナンスを含むサイバーリスクの論理的および技術的側面をカバーしています。 、機密データ管理 、 IDおよびアクセス管理 、セキュリティアーキテクチャ 、およびインシデント対応の慣行 。これらの各領域での勤勉さは、組織を危険にさらす潜在的なセキュリティの脅威と規制要件に直接関連する重要な洞察を提供します。以下の各領域は、購入者が真に情報に基づいた購入決定を行うために必要な情報を提供し、潜在的に衰弱させるサイバーリスクの継承を回避するのに役立ちます。
セキュリティガバナンス
今日の環境では、人はハッカーや悪意のある攻撃者にとって最大の攻撃経路の1つです。攻撃は、被害者へのパーソナライズされた攻撃(スピアフィッシングと呼ばれる)やソーシャルエンジニアリングなどのフィッシングの形をとります。これらはすべて、悪意のある攻撃者が組織の環境にアクセスするための出発点をすばやく提供します。セキュリティガバナンスに関する注意は、ターゲット組織がこれらの脅威によってもたらされるリスクを最小限に抑え、リスク軽減を一貫して検証するためのフレームワークを提供するための適切なポリシー、手順、および慣行を確実に実施するのに役立ちます。これには、主要な慣行に対するポリシーと手順の評価、セキュリティ認識トレーニングとコンプライアンステストの慣行の検証、および適用される規制(PIPEDA、GDPR、ITARなど)の要件に対するセキュリティガバナンスの調整が含まれます。そうすることで、セキュリティガバナンスの勤勉さは、組織がコンプライアンス違反のために罰金のリスクが高まるかどうかを購入者が理解するのに役立ちます。
機密データ管理
組織が最も機密性の高いデータをどのように分類、管理、保護するかを評価することは、もう1つの重要なデューデリジェンス領域です。これには、組織が取得する機密データ(個人を特定できる情報、クレジットカード番号、健康記録など)の理解、情報の使用状況の調査、機密データの管理とセキュリティ対策の評価が含まれます。機密データ管理に関する注意を払うことで、対象組織がデータ侵害のリスクと、それに伴う罰金やブランドの損傷を最小限に抑えるための適切な措置を講じることができます。
IDとアクセスの管理
侵害されたパスワードとアカウント情報は、サイバーインシデントの一般的な原因です。 IDおよびアクセス管理は、組織がユーザーのID(ユーザーアカウントなど)を適切に管理し、それらのIDを効果的に使用して、個人が必要とする組織リソースへのアクセスを提供することを保証することに重点を置いています。この分野での勤勉さは、組織がアカウントの侵害、組織のリソースへの不適切なアクセス、および脆弱なパスワードのリスクを最小限に抑えるための適切な措置を講じているかどうかを評価するのに役立ちます。
セキュリティアーキテクチャ
これらの勤勉な取り組みは、ターゲットのIT環境の技術的側面に焦点を当てています。たとえば、環境が主要なセキュリティ慣行に沿って構築および維持されていることを確認します。これは、購入者が継承しようとしているIT環境に内在するリスクと、主要な「危険信号」の問題を解決するために必要なものを理解するのに役立つ基本的なレビュー領域です。
インシデント対応
この分野のデューデリジェンスは、組織が潜在的で確認されたセキュリティインシデントに効果的な方法で対応するための適切な手順を備えていることを検証することに重点を置いています。効果的なインシデント対応は、サイバーセキュリティインシデントが発生した場合の被害を抑えるのに役立ちます。インシデントに効果的に対応できないと、多くの場合、広範囲にわたる損害、多額の罰金、および費用のかかる復旧につながります。
財務、税務、法務のデューデリジェンスは、取引を完了する前のプライベートエクイティ企業の標準的な運用手順になっているため、サイバーセキュリティのデューデリジェンスも必要です。サイバーデューデリジェンスは、プライベートエクイティ企業が買収の潜在的なサイバーセキュリティリスク、およびリスク領域に適切に対処するための時間、労力、およびコストを把握するのに役立ちます。企業が顧客、サプライヤー、およびプロセスに関して収集および維持するデータがビジネス慣行の中核であり、この貴重な資産の保護を確保するこのますます複雑化する世界では、 取引の機会を検討する際には、プライベートエクイティファームの重要な焦点となるはずです。
Louis Higginsは、RSM US LLPのスーパーバイザー、経営コンサルティングであり、Ben Gibbonsは、RSMCanadaのパートナーおよびナショナルプライベートエクイティリーダーです。