Simplificar e proteger fusões e aquisições
Alcançar uma integração de TI mais rápida e modernizada
O panorama de fusões e aquisições
Diante da incerteza econômica, as organizações buscam novas formas de mitigar a volatilidade dos negócios. Uma maneira, por exemplo, é buscar uma fusão ou aquisição (M&A), que pode diversificar as ofertas de produtos enquanto reduz as ameaças competitivas. Uma fusão e aquisição também pode ajudar um adquirente a adicionar mais talentos técnicos e acelerar a transformação digital.
No entanto, as empresas que realizam fusões e aquisições podem enfrentar riscos de segurança cibernética significativos durante todo o ciclo da negociação. As integrações que usam a mesclagem tradicional de redes podem levar a sistemas redundantes e ineficazes e colocar recursos e dados em risco. Como alternativa, uma integração de TI moderna de M&A que aplica os princípios Zero Trust pode ser um multiplicador de força para:
Minimizar os riscos de TI, segurança e conformidade.
Reduzir os custos contínuos e melhorar a produtividade.
Acelerar a implementação de tecnologias transformacionais.
Riscos comuns de TI
Em uma situação de M&A, as decisões anteriores de segurança cibernética de cada organização e os sistemas de TI subjacentes afetam a outra. Os invasores podem visar os dados da empresa que está sendo adquirida ou alienada como forma de invadir a empresa adquirente maior.
Veja o aviso do Federal Bureau of Investigation (FBI) dos EUA sobre agentes de ransomware que exploram atividades de fusões e aquisições, por exemplo. Os invasores lançam um malware Trojan para identificar especificamente informações não disponíveis publicamente que podem (se publicadas) atrapalhar um negócio e, em seguida, usam os dados como alavanca para extorquir dinheiro.
Um em cada três executivos responsáveis por funções de M&A em organizações adquirentes sofreu violações de dados “que podem ser atribuídas à atividade de M&A durante a integração”. Um fator chave é a superfície de ataque expandida: como parte do processo, arquivos e dados confidenciais são compartilhados digitalmente com vários terceiros. Em um caso envolvendo a aquisição da Graduation Alliance Inc. por US$ 130 milhões, os invasores comprometeram os endereços de e-mail do escritório de advocacia de fusões e aquisições para desviar e roubar pagamentos destinados aos acionistas.
Mesmo integrações de TI “concluídas” mantêm riscos, como:
Vulnerabilidades inativas: se as posturas de segurança não forem idênticas no momento da integração, uma pode afetar negativamente a outra. Por exemplo, os invasores já haviam comprometido o sistema de reservas de hóspedes da Starwood antes que a Marriott adquirisse a rede de hotéis Starwood. A violação não foi detectada por dois anos, deixando quase 500 milhões de registros de clientes expostos.
TI invisível: leva algum tempo para que os funcionários da empresa combinada se familiarizem com os novos processos e ferramentas integrados. Durante essa transição, alguns funcionários ou departamentos podem adotar aplicativos não sancionados ou deixar de seguir as novas políticas de TI.
Implicações regulatórias: se uma das empresas estiver em uma região ou setor diferente com regulamentos de privacidade de dados mais rígidos, deve-se tomar cuidado extra para garantir a conformidade do compartilhamento de dados. Por exemplo, a Lei de Proteção de Informações Pessoais (PIPL) da China tem certos requisitos de notificação e consentimento para transferência de dados pessoais em cenários de M&A o não cumprimento pode levar a penalidades a partir de 1 milhão de RMBs (aproximadamente US$ 149 mil).
Estudos anteriores afirmaram que entre 70 a 90 por cento das aquisições falham. As organizações que se preparam para novas ameaças cibernéticas e navegam com sucesso na integração de TI durante uma negociação podem evitar se tornar outra estatística (fracassada) de fusões e aquisições.
Reduzir o risco de TI em fusões e aquisições
Em uma fusão de TI tradicional, as organizações tentam conectar usuários a todos os recursos nas duas empresas em fusão. Isso segue o modelo de segurança de rede “castelo e fosso” (no qual ninguém fora da rede pode acessar dados internos, mas todos dentro da rede podem).
Por exemplo, eles podem usar firewalls para passar o tráfego entre as duas redes ou mesclar duas redes em um ponto de ponte intermediário (ou seja, comutação de etiquetas multiprotocolo — MPLS — para conectar data centers). Ou novas redes privadas virtuais (VPNs) podem ser adicionadas para fornecer acesso seguro a novos usuários. No passado, isso era suficiente porque os aplicativos das empresas eram hospedados no local em data centers e os funcionários ficavam principalmente no escritório.
Mas em locais de trabalho modernos, os funcionários da “Empresa A”, que está adquirindo, e da “Empresa B”, sendo adquirida, precisam de opções para se conectar com segurança a uma combinação quase infinita de aplicativos e redes SaaS hospedados na nuvem, de qualquer dispositivo e de qualquer lugar. Mas se qualquer um desses usuários ou dispositivos for comprometido, o invasor poderá cruzar o proverbial “fosso”.
Em outras palavras, quando ambientes de trabalho híbridos convergem durante uma M&A, uma abordagem tradicional baseada em perímetro é insuficiente.
No entanto, os líderes de TI e segurança atuais têm a oportunidade de reescrever o manual de integração de TI de fusões e aquisições. Uma abordagem moderna enraizada no modelo de segurança Zero Trust garante que todo o tráfego de entrada e saída da empresa seja verificado e autorizado.
Por exemplo, durante a integração, os recursos podem ser protegidos com acesso à rede Zero Trust (ZTNA), a tecnologia que torna possível implementar a segurança Zero Trust. Os benefícios do ZTNA incluem:
Reduzir o risco de ameaças, como roubo de credenciais e phishing, exigindo vários fatores de autenticação. Além disso, a microssegmentação (um componente Zero Trust) também minimiza os danos se ocorrer um ataque, restringindo a violação a uma pequena área.
Integração com vários provedores de identidade simultaneamente, o que acelera a autenticação para usuários externos (ou seja, funcionários e prestadores de serviço da “Empresa B”) e permite a autenticação de várias contas corporativas ou pessoais.
Conceder acesso com base na identidade e no contexto de um usuário, com políticas granulares universais e proteger ativos internos sem adicionar novas conexões VPN mais arriscadas.
Aproveitar o Zero Trust facilita o acesso interno sem a complexidade de combinar redes, garante uma integração mais rápida de funcionários em transição e protege o acesso “Day 1” para todos os usuários. Tudo isso ajuda as organizações a realizar os benefícios de uma fusão, mais rapidamente. E em fusões e aquisições, tempo é dinheiro.
A necessidade de rapidez
Quando duas empresas se fundem, elas estão sob imensa pressão para entregar ROI imediatamente. A análise da Bain & Co. (baseada no acompanhamento de atividades de M&A ao longo de 10 anos) descobriu que 70% das integrações de processos e sistemas falham no início, não no final: “A rapidez é muito importante. Na verdade, de acordo com nossas estimativas, mais da metade das sinergias de negócios geralmente dependem da integração de sistemas. A integração de sistemas mais rápida permite a realização mais rápida dessas sinergias de receita e custos e a introdução antecipada de novos recursos tecnológicos, bem como a capacidade de apresentar uma única face ao cliente mais cedo”.
No entanto, tentar combinar sistemas corporativos com uma fusão de rede tradicional apresenta vários desafios:
Um período de integração estendido com etapas de implementação de meses, como abordar possíveis problemas de incompatibilidade e escalabilidade de rede, sobreposições de endereços de IP e outras complexidades de TI.
Maior sobrecarga de gerenciamento de sistemas separados, manutenção de aplicativos obsoletos (ou redundantes) e maior débito técnico (o hardware legado quase sempre requer mais sobrecarga para sustentar as operações).
Produtividade reduzida de atividades como gastar mais tempo adicionando, configurando e mantendo novas VPNs. E para trabalhadores remotos, o uso de VPNs baseadas em nuvem adicionaria latência a todas as solicitações entre eles e a rede.
Como uma camada de agregação em torno de todos os aplicativos, o ZTNA fornece acesso seguro para todos os usuários aos recursos autorizados, simplificando a implementação.Por exemplo, o ZTNA:
Simplifica o acesso à nova faixa de usuários e dispositivos que acessam os recursos das empresas e os dados armazenados dentro e fora da rede (por exemplo, ambientes em nuvem diferentes). Em muitos casos, nenhum software de usuário final é necessário.
Mantém a produtividade e a conectividade dos funcionários, um fator crítico, considerando que as fusões geralmente afetam temporariamente o desempenho e a retenção do trabalho. O Zero Trust oferece verificações de segurança menos intrusivas, fluxos de trabalho de autenticação simplificados e integração/desligamento de funcionários mais rápidos.
Melhora a eficiência da tecnologia substituindo serviços de segurança redundantes por uma plataforma Zero Trust baseada em nuvem. Também reduz o esforço necessário para provisionar e proteger uma nova infraestrutura (ou corrigir vulnerabilidades em sistemas legados) e evita pontos problemáticos em torno de conflitos de IP.
Desinvestimentos também
Quase metade dos profissionais de fusões e aquisições provavelmente buscará um desinvestimento (a venda ou cisão de uma linha de produtos, divisão ou subsidiária) nos próximos 12 meses, de acordo com uma pesquisa de janeiro de 2023 realizada pela Deloitte. No entanto, assim como outras estratégias de M&A, os desinvestimentos também aumentam a possibilidade de invasores buscarem acesso a dados confidenciais e segredos comerciais. Eles também aumentam a probabilidade de configurações incorretas e vulnerabilidades durante a transição dos ativos de TI.
Em uma cisão, a empresa resultante tem uma oportunidade de terreno virgem para se modernizar. A tecnologia ZTNA é oportuna para a empresa resultante adotar durante o período de transição de TI, tanto para minimizar a dívida técnica quanto para reduzir a complexidade da própria transição. Como o ZTNA verifica cada solicitação individual, ele elimina o movimento lateral dos invasores. Aplicativos e usuários da empresa alienada também podem ser desvinculados de forma eficiente devido às políticas granulares de acesso Zero Trust. Isso agiliza a separação lógica das duas empresas resultantes e ajuda a cumprir os termos do acordo de separação no prazo.
Simplificar e proteger fusões e aquisições
Por meio de sua análise do mercado de ZTNA, os analistas do IDC classificam a Cloudflare como líder. O IDC cita a “estratégia de produto agressiva da Cloudflare para atender às necessidades de segurança corporativa”, bem como sua capacidade de “apoiar empresas em vários estágios de adoção de Zero Trust”.
A Cloudflare é o caminho mais fácil para simplificar a integração de TI com o Zero Trust, tornando-o eficiente para proteger aplicativos críticos e grupos de usuários de alto risco (como funcionários e prestadores de serviço da empresa adquirida) no “Day 1” e, em seguida, expandir sem esforço o ZTNA nativo da internet para o resto da empresa à medida que cresce.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Leia o relatório 2023 IDC MarketScape for ZTNA para uma análise detalhada do mercado de ZTNA e como a Cloudflare se compara aos 17 fornecedores incluídos.
Principais conclusões
Após ler este artigo, você entenderá:
Riscos cibernéticos comuns associados a fusões e aquisições
A complexidade da integração de TI tradicional
Os benefícios de aplicar a segurança Zero Trust