Due Diligence Informatica e Tecniche: La Cyber Due Diligence
Gli esperti di informatica forense e investigazioni di DEFENSIS forniscono supporto tecnico indipendente in ambito di contenziosi, M&A, antitrust, indagini interne e white collar crimes.
Il team prevede figure con competenze diverse e specifiche per analizzare in modo completo la tematica di interesse e fornire risultati che permettano ad aziende, fondi e studi legali di agire in modo perfettamente consapevole.
Cyber Due Diligence
Ormai uno standard nelle operazioni di acquisizione M&A, la cyber due diligence è ancora una tema di frontiera in Italia. Mentre le law firm sono già abituate da tempo a supportare le tematiche finanziarie e legal, dei contratti, delle attività e delle passività della società target. La cyber due diligence, o due diligence tecnica informatica, diventa essenziale nel processo di revisione ed indagine pre o post acquisizione per valutare, per analizzare e comprendere:
Le effettive possibilità di commercializzazione di un software
La presenza di componenti/software diversi o difformi da quelli dichiarati
Il livello di sicurezza dell’applicazione rispetto alle normative in vigore
Il gap rispetto a best practice di settore
L’impatto economico e commerciale delle possibili remediation
La due diligence informatica aggiunge una dimensione al lavoro finanziario/legale. Fornisce infatti ai fondi o agli studi legali nuovi spunti di riflessione, elementi di valutazione e potenziali criticità.
Va inoltre ad analizzare dal punto di vista esclusivamente tecnico una revisione e un’analisi delle politiche, dei programmi e sistemi informatici e della loro corretta configurazione nonché delle procedure di protezione dei dati, Inoltre essa dovrebbe avere ad oggetto non solo la società target ma anche terze parti, quali fornitori e dipendenti chiave, non dovrebbero essere trascurati.
Due Diligence Software
All’interno delle Cyber Due Diligence possiamo individuare alcune attività più circostanziate derivante da esigenze molto precise. La prima è sicuramente la due diligence relativa al software, ovvero al codice sorgente in senso stretto.
In sede di dialogo con la società venditrice consigliamo di richiedere le seguenti informazioni per poter valutare fattibilità e budget per questa attività:
Elencazione dei framework, software di terze parti o software open source utilizzati
Numero di righe di codice
Linguaggio con cui sono scritti
Fornitura degli eseguibili
Fornitura del codice sorgente
La Due Diligence Software è strettamente correlata all’uso delle licenze contenute ed utilizzate nel codice sorgente, che mediamente sono per il 75% open source o di terze parti. Verificare la completezza e veridicità di quanto dichiarato diventa pertanto di importanza primaria.
Due Diligence Tecnologica
Nel momento in cui si acquisisce un software, un’applicazione, o un portale web, non si acquista un’isola indipendente dal resto del mondo. Tutto ciò che è connesso al software, le interdipendenze con i database o servizi terzi, l’ambiente in cui risiede, sia esso cloud o presso un datacenter privato, vanno analizzati per comprenderne effettivamente lo stato attuale e le possibili criticità.
Per una valutazione adeguata dello stato attuale e dei rischi potenziali, vi consigliamo di porre almeno le seguenti domande:
Descrizione del software, delle funzionalità e delle modalità di utilizzo lato utente e lato backend
Descrizione dell’architettura del software
Audit di terze parti (vulnerability assessment/ penetrations test/ code review)
Sono implementati standard di sicurezza quali ad esempio PCI, HIPAA, etc…
Standard utilizzati nello sviluppo del software
Certificazioni ottenute dal software
Roadmap di sviluppo sia software che tecnologica
Descrizione dei miglioramenti e delle modifiche più significative degli ultimi due anni
Schema e caratteristiche delle piattaforme tecnologiche, data centers, localizzazione, cloud, backup, piani di disaster recovery e business continuity, RPO e RTO
Documentazione relativa all’analisi del rischio, censimento dei dati e DPIA svolte
Report relativo ai problemi tecnici degli ultimi 3 anni
Report relative a incidenti informatici, data breach, indagini interne, degli ultimi 5 anni
Documentazione per l’utente finale, manuali e brochure
Che tipo di log vengono raccolti? Come e con che retention?
Vengono raccolte log relativamente alle azioni degli utenti?
DEFENSIS con i propri tecnici specializzati supporta nella raccolta e comprensione delle informazioni al fine di fornire un panorama chiaro e completo dell’oggetto di interesse. Può essere inoltre redatto un parere sulle tecnologie adottate e su eventuali criticità da approfondire.
A seguito, o contestualmente alle attività di due diligence tecnica o due diligence software, può essere utile svolgere attività di verifica della sicurezza del sistema. Maggiori sono le dimensioni e la sofisticazione dell’applicazione, maggiore può essere l’impegno necessario all’acquirent per correggere bug e vulnerabilità. L’output fornito è una relazione tecnica dettagliata contenente le vulnerabilità presenti e le possibili remediation.
Al fine di poter stimare l’effort per lo svolgimento di un Vulnerability Assessment di una Applicazione Web vi suggeriamo di richiedere:
Numerosità di url esposti sul web
elencazione delle diverse tipologie di profili utenti che si possono autenticare
fornitura di credenziali di autenticazione per ogni profilo da testare
Per valutare invece il Vulnerability Assessment del Server su cui risiede l’applicazione vi consigliamo di chiedere:
Numero di server da testare (in datacenter, in locale, in cloud come ad esempio azure, aws…)
Elenco degli IP esposti su internet per ogni server
fornitura di credenziali di autenticazione per l’accesso ad ogni server da testare
SCARICA IL MODELLO PER LE DUE DILIGENCE INFORMATICHE (2 pagine, pdf)
DEFENSIS è certificata ISO27001:2013, il più noto standard nell’information security. La prima società di consulenza in ambito corporate security ad ottenere tale certificazione.