Chubb - I rischi associati alle M&A

Gestire i rischi associati alle M&A nel settore IT

Nel primo semestre del 2021 si è registrato un record nell'attività di fusioni ed acquisizioni a livello mondiale ed il settore tecnologico è in testa a questo boom. Il trend sulle acquisizioni si dovrebbe prolungare e il 51% dei dirigenti delle società tecnologiche vogliono intraprendere operazioni di questo tipo entro il prossimo anno.

M&A può essere una valida opzione per crescere in azienda ed ampliare il proprio portafoglio di prodotti e servizi in nuove regioni. L'altra faccia della medaglia è che una gestione non capace porterebbe le società incorporanti ad esporsi a nuovi problemi: le insidie legate a fusioni e/o acquisizioni non sono sempre evidenti e talvolta si può incombere in violazioni della privacy e/o licenze software.

Soluzioni per fronteggiare i pericoli derivanti dalle M&A

Predisporre una strategia precisa e portarla avanti è determinante nell'ottenimento di un'acquisizione, che deve essere coerente con gli obiettivi aziendali. Altre due soluzioni sono la valutazione del rischio e la pianificazione dell'integrazione. Il processo decisionale incide anch'esso sulla riuscita di un'acquisizione, difatti in un'azienda i vari reparti devono controllare le operazioni in base alle loro competenze affinchè il CEO non accentri su di sè troppo il processo. Secondo Hargreaves (Risk Engineer, Chubb) nel processo decisionale il CEO dovrebbe avere una visione più globale dell'acquisizione coinvolgendo sempre più personale esperto e tecnico da coloro che operano nell'ufficio legale fino ai project manager, ma vi sono CEO troppo "egocentrici" che vogliono prendere decisioni affrettate con comportamenti impulsivi basati sul "compriamo subito poi alle conseguenze ci penseremo poi" ed infine vi sono società chiuse dove i responsabili dei vari reparti non si esprimono sulle decisioni della loro azienda poichè obbediscono senza contraddittorio al CEO.

Identificare i rischi connessi all'acquisizione

La valutazione dei rischi è  un altro meccanismo di protezione alle minacce legate all’acquisizione, che può avere qualsiasi forma e va fatta contestualmente alla due diligence. Una valutazione dei rischi efficace va sottoposta a revisioni continue e supportata da indicatori che permettono di adottare le opportune misure, inoltre vanno fatti piani d'azione specifici per fronteggiare i rischi ed assegnare le mansioni precise ai singoli individui. Nella valutazione del rischio vanno esaminati i progetti e i contratti principali della società oggetto dell’acquisizione, cosi che l’incorporante sappia il contenuto dei contratti in essere. Dopo l'avvio dell'acquisizione va creato un comitato per l'integrazione per armonizzare i rapporti tra le due società ed affrontare possibili problemi sorti nella valutazione del rischio. Un comitato per l'integrazione migliora l'attribuzione di responsabilità difatti vengono nominate persone specifiche per gestire l'intero processo e si evita che i dipendenti non svolgano le loro mansioni per dedicarsi all'acquisizione. I componenti del comitato devono essere professionisti con esperienza acquisita.

La sicurezza informatica è un'area dove i controlli sui rischi della società incorporata vanno allineati con la società madre che devono passare in rassegna la sicurezza e i meccanismi di protezione dei sistemi informatici avendo chiare le idee sugli acquisti, i sistemi e i dati in questi ultimi contenuti connessi particolarmente al rispetto delle norme sulla privacy. Hargreaves raccomanda alle società incorporante di definire linee guida comuni da applicare ad ogni livello contrattuale, i progetti sulla sicurezza informatica e i traguardi da raggiungere alle rispettive scadenze. 

Vuoi proteggere la tua azienda? Fai un'analisi dei rischi! CLICCA QUI

Divergenze culturali

Un altro motivo di preoccupazione sulle M&A è l'assenza nel considerare le differenze culturali tra le organizzazioni interessate, che potrebbero destabilizzare le aziende coinvolte. Hargreaves sostiene che se l'entità incorporante ha meno flessibilità su alcuni argomenti e non se ne cura potrebbe perdere personale nelle posizioni cruciali che a loro volta porterebbero ad avere risorse insufficienti. La crescente competitività sul mercato del settore tecnologico richiede competenze specifiche più specializzate non sempre sostituibili e non di immediata sostituzione. Per risolvere tale problema va pianificata la fase di integrazione definendo priorità ed azioni da intraprendere fissando le relative scadenze.

Siamo in un periodo dove le aziende del settore tecnologico si lanciano senza cautela sulle M&A, senza considerare la convenienza o meno sul medio-lungo periodo di quell'acquisizione e se i rischi che la caratterizzano li conoscono profondamente per poterli fronteggiare al meglio.

Vuoi proteggere la tua azienda? Fai un'analisi dei rischi! CLICCA QUI

Consapevolezza dei rischi Cyber per le aziende IT

La sicurezza informatica è un'area di rischio che necessita di un attenzione enorme, difatti Cybersecurity Ventures (azienda specializzata in sicurezza aziendale) afferma che i costi della criminalità informatica ammonteranno su scala mondiale a 10,5 trilioni di dollari l'anno entro i prossimi 2 anni. Le aziende del settore Information Technology sono particolarmente esposte a tali rischi poiché i software li rende un bersaglio per diffondere malware o ransomware ad altre aziende con un solo attacco. Per porre fine ai crimini informatici occorrono soluzioni solide di sicurezza, una continua attenzione ai controlli e l’osservanza delle misure di cyber hygiene ossia le regole che ciascuno dovrebbe adottare, specialmente in ambito lavorativo, per migliorare la sicurezza propria e dell’azienda.

Le aziende del settore IT per tutelarsi devono fronteggiare due rischi connessi tra loro: gli attacchi ai propri sistemi e gli attacchi che colpiscono i clienti. Un attacco informatico ad un software può infatti tradursi in un furto di dati riservati che potrebbero essere usati in modo improprio dagli Hacker. In caso di attacco ransomware, un’azienda del settore IT potrebbe non essere in grado di fornire servizi importanti per i clienti e vi è anche la possibilità che la clientela stessa acquisisca inconsapevolmente malware “backdoor” che agevolano un attacco a tantissime aziende.

I criminali informatici possono anche causare danni accedendo tramite i Managed Service Provider (MSP - i fornitori di servizi IT) e si tratta di Tech Company che forniscono diversi tipi di servizi IT (networking, applicazioni, infrastrutture) alle aziende utenti assicurando al contempo una gestione regolare ed attiva dei servizi stessi.

Fase intermediaria

Secondo Wissink (responsabile Chubb dei rischi legati alla tecnologia industriale) l’esposizione agli attacchi ransomware è in notevole aumento, infatti il rapporto Rapid7 del 2021 ne conta il doppio. I ransomware sono l’area di rischio più critica e Wissink incita le società soggette a questi attacchi ad informare prima i clienti quando avviene l’attacco e a scollegare i sistemi. I Managed Service Provider sono esposti a rischi informatici concreti, vista l’espansione continua di tale settore accompagnata da un incremento dei sinistri.

Il Duty of Care (obbligo di diligenza) è un rischio emergente in continuo aumento, dove nella relazione tra fornitore e cliente, la società operante nel settore IT ha responsabilità extracontrattuali che spesso si moltiplicano sempre più e sono legate agli attacchi ransomware che subiscono i clienti.

Identificare i rischi

Un sistema di gestione per la sicurezza delle informazioni consente alle aziende del settore IT a livello centrale di gestire e monitorare le prassi legate alla sicurezza delle informazioni. Secondo Wissink, nonostante i notevoli sforzi degli sviluppatori software nel creare prodotti sicuri, occorrono misure standard di Cyber Hygiene quali autenticazione a più fattori, una formazione adeguata per il personale, i firewall, il filtraggio dei siti web e la scansione delle e-mail phishing. Inoltre tra le misure di buona amministrazione per ridurre l'esposizione e contribuire alla continuità aziendale, vi sono i test continui dei backup e la loro archiviazione offline e un'attenzione alla crittografia delle password e degli altri dati. Un'altra ottima mossa è assumere un responsabile della sicurezza informatica altamente specializzato dedicato a proteggere i dati dei propri clienti.

I software di monitoraggio e rilevamento, come gli EDR acronimo di Endpoint Detection and Response (tecnologia di sicurezza informatica che monitora e risponde alle minacce informatiche dannose per il sistema attaccato) sono indispensabili per le aziende del settore IT come anche i firewall (componente di difesa di una rete) e i sistemi di monitoraggio della rete tenuti sotto osservazione 24/7 da un centro operativo di sicurezza interno o esterno.

Conclusioni

Le aziende che investono nelle M&A devono valutare attentamente i possibili rischi legati a queste operazioni, contare su una strategia solida di acquisizione, sottoporla a revisione continua ed infine contare su un Comitato dedicato all'integrazione per facilitare il processo di M&A.

Le aziende del settore IT, in caso di violazione dei loro sistemi, devono garantire il ripristino nel minor tempo possibile delle loro funzionalità e al contempo assistere i clienti in modo competente. I rischi cyber devono essre affrontati con consapevolezza dalle aziende adottando misure preventive e formarsi sulla Cyber Hygiene per proteggere la proprià attività e clientela.

Nel Rapporto qui sotto, il link manda alla pagina di Chubb dove vi sono i due report intitolati rispettivamente "Gestire i rischi associati alle M&A nel settore Information Technology" e "Consapevolezza dei rischi cyber per le aziende del settore IT".

Per scaricare il Rapporto Chubb CLICCA QUI.

Fonte: Chubb

Vuoi proteggere la tua azienda? Fai un'analisi dei rischi! CLICCA QUI