오늘날과 같이 끊임없이 진화하는 기술 환경에서 사이버 보안 위협 및 사고 1면 기사 및 게시판 토론의 주제인 경우가 많습니다. . 해커가 비트코인을 요구하거나 고객에게 개인 정보가 더 이상 비공개 정보가 아님을 알리는 조직의 몸값을 받는 조직이 적지 않은 것 같습니다. 당연히 이러한 사고 뒤에는 벌금, 브랜드 또는 이미지 손상, 몸값 지불, 다운타임, 고객 손실 등의 위반 공개에 따른 상당한 손실이 뒤따릅니다.
이러한 모든 사이버 위험을 고려할 때 사모펀드는 사이버 사고로 인해 재정적 및/또는 평판 측면에서 막대한 손실을 입지 않을 것임을 알고 자신 있게 자본을 투자하시겠습니까? 사이버 보안과 관련하여 만병통치약은 없지만 사이버 보안 실사 통합 거래 프로세스에 참여함으로써 사모펀드 회사가 특정 투자에 내재된 사이버 위험을 이해하고 해당 위험을 수용하기 위해 구매 가격 조정을 완화, 이전, 보장 및 협상할 수 있는 기회를 제공합니다.
보험에 가입하고 사이버 실사를 건너뛰는 것이 어떻습니까?
대부분의 경우 사이버 보험 정책에는 피보험 조직을 보호하는 데 도움이 되는 보안 제어 요구 사항이 있습니다. 조직에 필요한 통제가 없고 사이버 사고가 있는 경우 청구가 거부될 수 있습니다. . 사이버 실사는 조직이 통제 격차를 이해하고 투자 논제 및 사모펀드 그룹의 위험 허용 범위에 부합하는 개선 및 위험 이전 전략(보험 및 기타 계약을 통해)을 구성하는 데 도움이 됩니다.
에어백, 안전 벨트 및 잠금 방지 브레이크가 없는 자동차를 구입하려는 경우 알고 싶을 것입니다.
포트폴리오 회사를 인수할 때도 마찬가지입니다. 치명적인 사이버 사고를 방지하기 위한 기본 보호 장치가 없는 포트폴리오 회사를 구매하는 경우 거래를 성사시키기 전에 알고 싶은 것입니다.
사이버 보안 실사는 보안 거버넌스를 포함한 사이버 위험의 논리적 및 기술적 측면을 다룹니다. , 민감한 데이터 관리 , ID 및 액세스 관리 , 보안 아키텍처 및 사고 대응 관행 . 이러한 각 영역의 근면은 조직을 위험에 빠뜨리는 잠재적인 보안 위협 및 규제 요구 사항과 직접적으로 관련된 중요한 통찰력을 제공합니다. 아래의 각 영역은 구매자에게 정보에 입각한 구매 결정을 내리는 데 필요한 정보를 제공하고 잠재적으로 쇠약해질 수 있는 사이버 위험을 물려받는 것을 방지하는 데 도움이 됩니다.
보안 거버넌스
오늘날의 환경에서 사람은 해커와 악의적인 행위자에게 가장 큰 공격 벡터 중 하나입니다. 공격은 피해자에 대한 개인화된 공격(스피어 피싱으로 알려짐)과 사회 공학을 포함한 피싱의 형태를 취하며, 이 모든 것은 악의적인 행위자가 조직의 환경에 액세스할 수 있는 발판을 신속하게 제공할 수 있습니다. 보안 거버넌스에 대한 실사는 대상 조직이 이러한 위협으로 인한 위험을 최소화하고 일관성 있는 기반으로 위험 완화를 검증하기 위한 프레임워크를 제공하기 위한 적절한 정책, 절차 및 관행을 갖추도록 하는 데 도움이 됩니다. 여기에는 주요 사례에 대한 정책 및 절차 평가, 보안 인식 교육 및 규정 준수 테스트 사례 검증, 적용 가능한 규정(PIPEDA, GDPR, ITAR 등)의 요구 사항에 대한 보안 거버넌스 조정이 포함됩니다. 그렇게 함으로써 보안 거버넌스 실사를 통해 구매자는 규정 미준수로 인해 조직이 벌금을 부과받을 위험이 증가하는지 여부를 구매자가 이해할 수 있습니다.
민감한 데이터 관리
조직이 가장 민감한 데이터를 분류, 관리 및 보호하는 방법에 대한 평가는 또 다른 중요한 실사 영역입니다. 여기에는 조직에서 캡처하는 민감한 데이터(예:개인 식별 정보, 신용 카드 번호, 건강 기록 등)에 대한 이해, 정보 사용 방식 조사, 민감한 데이터에 대한 통제 및 보안 조치 평가가 포함됩니다. 민감한 데이터 관리에 대한 주의를 기울이면 대상 조직이 데이터 침해의 위험과 이에 수반되는 벌금 및 브랜드 손상을 최소화하기 위해 적절한 조치를 취하고 있는지 확인하는 데 도움이 됩니다.
ID 및 액세스 관리
해킹된 암호 및 계정 정보는 사이버 사고의 일반적인 원인입니다. ID 및 액세스 관리는 조직이 사용자의 ID(예:사용자 계정)를 적절하게 관리하고 이러한 ID를 효과적으로 사용하여 개인이 필요로 하는 조직 리소스에 대한 액세스를 제공하는지 확인하는 데 중점을 둡니다. 이 영역의 실사는 조직이 계정 손상, 조직 리소스에 대한 부적절한 액세스 및 취약한 암호의 위험을 최소화하기 위해 적절한 조치를 취하고 있는지 평가하는 데 도움이 됩니다.
보안 아키텍처
이러한 근면 노력은 주요 보안 관행에 따라 환경을 구축하고 유지 관리하는 것과 같이 대상 IT 환경의 기술적 측면에 중점을 둡니다. 이는 구매자가 상속받을 IT 환경에 내재된 위험과 주요 '위험 신호' 문제를 해결하는 데 필요한 사항을 이해하는 데 도움이 되는 기본적인 검토 영역입니다.
사고 대응
이 영역의 실사는 조직이 잠재적이고 확인된 보안 사고에 효과적인 방식으로 대응하기 위한 적절한 절차를 갖추고 있는지 확인하는 데 중점을 둡니다. 효과적인 사고 대응은 사이버 보안 사고 발생 시 피해를 억제하는 데 중요합니다. 사고에 효과적으로 대응하지 못하면 종종 광범위한 피해, 더 많은 벌금, 더 많은 비용이 드는 복구로 이어집니다.
금융, 세금 및 법적 실사가 거래를 완료하기 전에 사모펀드 회사의 표준 운영 절차가 되었기 때문에 사이버 보안 실사도 그래야 합니다. 사이버 실사는 사모펀드가 인수에 따른 잠재적인 사이버 보안 위험과 위험 영역을 적절하게 해결하기 위한 시간, 노력 및 비용을 파악하는 데 도움이 됩니다. 기업이 고객, 공급업체 및 프로세스에 대해 수집하고 유지 관리하는 데이터가 비즈니스 관행의 핵심이 되는 점점 더 복잡해지는 세상에서 이 귀중한 자산을 보호합니다. 거래 기회를 검토할 때 사모펀드 회사의 핵심 초점이어야 합니다.
<시간>Louis Higgins는 RSM US LLP의 관리 컨설팅 감독자이며 Ben Gibbons는 RSM Canada의 파트너이자 국가 사모펀드 리더입니다.