Segundo a consultoria KPMG, o Brasil teve número recorde de fusões e aquisições (ou M&A – Merger & Acquisitions) de empresas em 2017. Foram 830 operações contabilizadas, o que representa 12% de crescimento em relação a 2016 (740 operações). E quando se fala em fusão e aquisição, a primeira regra lembrada é de usar a “cartilha de processos” de M&A para reduzir tempo e custos de integração das empresas, bem como para garantir a segurança da informação dessas empresas.
Pois é a segurança da informação que se caracteriza rotineiramente como um dos principais desafios em uma operação de M&A, o que aumenta a responsabilidade de lidar com dados corporativos nas três fases que a envolvem: Due Diligence, Integração e Realização de valor.
A seguir, explicaremos os pontos de segurança envolvidos em cada fase e apontaremos as dicas de melhores práticas para proteção dos dados.
1) Due Diligence: É a fase na qual os tomadores de decisão avaliam os prós e os contras de avançar com a aquisição, levando em consideração algumas questões de segurança como “Existe o perigo de uma violação de dados interromper a fusão e aquisição?” ou “A empresa a ser adquirida fornece todas as informações de segurança ou pode ocultar alguns detalhes importantes?”.
1.1) Gerenciamento dos dados sensíveis: Como 50% a 70% dos dados corporativos são armazenados em repositórios não-estruturados (e-mail, nuvem e dispositivos NAS), é fundamental avaliar minuciosamente se a empresa a ser adquirida monitora e gerencia adequadamente os dados sensíveis. Assim, é possível ter a certeza se essa empresa é vulnerável (ou não) a uma tentativa de violação de dados sensíveis.
1.2) Análise de domínios e de contas de usuário: Reunir dados sobre cada domínio e conta de usuário – identificando automaticamente contas executivas, contas de serviço e contas privilegiadas – ajuda na preparação para a operação de M&A. Com esses dados, rapidamente temos um “cenário” da política de segurança da empresa a ser adquirida e sabemos se a mesma monitora constantemente as contas ativas de usuários ou tem capacidade para identificar se há contas obsoletas inutilizadas (as quais geralmente são a “porta de entrada” que um hacker usa para tentar roubar dados).
1.3) Avaliação de riscos: Identificar a forma que os dados são utilizados também permite avaliar se há um possível risco de violação de segurança que não tenho sido informada pela empresa a ser adquirida. Em caso positivo de risco, avançar com a M&A pode ser um erro fatal – com grande potencial de perda de receita para a empresa compradora.
2) Integração: Neste momento, o negócio está fechado e os sistemas de TI das duas empresas precisam ser consolidados e protegidos para que a nova empresa possa prosperar.
2.1) Automação do processo de migração dos dados de forma automatizada: As operações de M&A exigem uma atividade intensa de migração de dados e consolidação de armazenamento, devido ao grande volume de informações. Para que isso ocorra de forma segura, eliminando qualquer risco de perda de informações (principalmente as mais estratégicas, como as de caráter contratual, comercial e financeiro), é fundamental que o transporte de dados de um servidor para outro seja automatizado.
2.2) Gerenciamento de permissões de acesso às pastas dos repositórios de dados: O gerenciamento de todas as permissões de acesso às pastas dos repositórios de dados proporciona a visualização e a informação, instantaneamente, se existem (ou não) permissões inadequadas na rede. Dessa forma, o gerenciamento garante o acesso apenas das pessoas corretas, evitando que haja uso indevido de qualquer tipo de dado (desde os dados públicos até os dados sigilosos).
2.3) Bloqueio dos dados sensíveis: A descoberta de dados sensíveis, que começa na fase de Due Dilligence, deve ter continuidade na fase de integração das empresas. Assim, no momento em que mais dados sensíveis forem descobertos, eles vão ser bloqueados e movidos imediatamente para a pasta de quarentena – sem comprometer a estratégia de integração das empresas e a atuação da nova empresa.
3) Realização de valor: Nesta fase, as empresas precisam praticar a política de segurança da informação centrada em dados, com base em três princípios das fases anteriores: avaliar dados sensíveis, avaliar riscos e gerenciar permissões de acesso às pastas.
Executar tais ações de segurança, de forma contínua, nesta última fase da operação de M&A é a melhor forma de garantir o alto nível de produtividade e desempenho dos negócios da nova empresa.
* Carlos Rodrigues é vice-presidente da Varonis para a América Latina