Due Diligence Informatica e Tecniche: La Cyber Due Diligence

Gli esperti di informatica forense e investigazioni di DEFENSIS forniscono supporto tecnico indipendente in ambito di contenziosi, M&A, antitrust, indagini interne e white collar crimes.

Il team prevede figure con competenze diverse e specifiche per analizzare in modo completo la tematica di interesse e fornire risultati che permettano ad aziende, fondi e studi legali di agire in modo perfettamente consapevole

Cyber Due Diligence

Ormai uno standard nelle operazioni di acquisizione M&A, la cyber due diligence è ancora una tema di frontiera in Italia. Mentre le law firm sono già abituate da tempo a supportare le tematiche finanziarie e legal, dei contratti, delle attività e delle passività della società target. La cyber due diligence, o due diligence tecnica informatica, diventa essenziale nel processo di revisione ed indagine pre o post acquisizione per valutare, per analizzare e comprendere:
  • Le effettive possibilità di commercializzazione di un software
  • La presenza di componenti/software diversi o difformi da quelli dichiarati
  • Il livello di sicurezza dell’applicazione rispetto alle normative in vigore
  • Il gap rispetto a best practice di settore
  • L’impatto economico e commerciale delle possibili remediation

La due diligence informatica aggiunge una dimensione al lavoro finanziario/legale.
Fornisce infatti ai fondi o agli studi legali nuovi spunti di riflessione, elementi di valutazione e potenziali criticità.

Va inoltre ad analizzare dal punto di vista esclusivamente tecnico una revisione e un’analisi delle politiche, dei programmi e sistemi informatici e della loro corretta configurazione nonché delle procedure di protezione dei dati, Inoltre essa dovrebbe avere ad oggetto non solo la società target ma anche terze parti, quali fornitori e dipendenti chiave, non dovrebbero essere trascurati.

Due Diligence Software

All’interno delle Cyber Due Diligence possiamo individuare alcune attività più circostanziate derivante da esigenze molto precise. La prima è sicuramente la due diligence relativa al software, ovvero al codice sorgente in senso stretto.

In sede di dialogo con la società venditrice consigliamo di richiedere le seguenti informazioni per poter valutare fattibilità e budget per questa attività:
  1. Elencazione dei framework, software di terze parti o software open source utilizzati
  2. Numero di righe di codice
  3. Linguaggio con cui sono scritti
  4. Fornitura degli eseguibili
  5. Fornitura del codice sorgente

La Due Diligence Software è strettamente correlata all’uso delle licenze contenute ed utilizzate nel codice sorgente, che mediamente sono per il 75% open source o di terze parti. Verificare la completezza e veridicità di quanto dichiarato diventa pertanto di importanza primaria.

Due Diligence Tecnologica

Nel momento in cui si acquisisce un software, un’applicazione, o un portale web, non si acquista un’isola indipendente dal resto del mondo. Tutto ciò che è connesso al software, le interdipendenze con i database o servizi terzi, l’ambiente in cui risiede, sia esso cloud o presso un datacenter privato, vanno analizzati per comprenderne effettivamente lo stato attuale e le possibili criticità.

Per una valutazione adeguata dello stato attuale e dei rischi potenziali, vi consigliamo di porre almeno le seguenti domande:
  1. Descrizione del software, delle funzionalità e delle modalità di utilizzo lato utente e lato backend
  2. Descrizione dell’architettura del software
  3. Audit di terze parti (vulnerability assessment/ penetrations test/ code review)
  4. Sono implementati standard di sicurezza quali ad esempio PCI, HIPAA, etc…
  5. Standard utilizzati nello sviluppo del software
  6. Certificazioni ottenute dal software
  7. Roadmap di sviluppo sia software che tecnologica
  8. Descrizione dei miglioramenti e delle modifiche più significative degli ultimi due anni
  9. Schema e caratteristiche delle piattaforme tecnologiche, data centers, localizzazione, cloud, backup, piani di disaster recovery e business continuity, RPO e RTO
  10. Documentazione relativa all’analisi del rischio, censimento dei dati e DPIA svolte
  11. Report relativo ai problemi tecnici degli ultimi 3 anni
  12. Report relative a incidenti informatici, data breach, indagini interne, degli ultimi 5 anni
  13. Documentazione per l’utente finale, manuali e brochure
  14. Che tipo di log vengono raccolti? Come e con che retention?
  15. Vengono raccolte log relativamente alle azioni degli utenti?

DEFENSIS con i propri tecnici specializzati supporta nella raccolta e comprensione delle informazioni al fine di fornire un panorama chiaro e completo dell’oggetto di interesse. Può essere inoltre redatto un parere sulle tecnologie adottate e su eventuali criticità da approfondire.

A seguito, o contestualmente alle attività di due diligence tecnica o due diligence software, può essere utile svolgere attività di verifica della sicurezza del sistema. Maggiori sono le dimensioni e la sofisticazione dell’applicazione, maggiore può essere l’impegno necessario all’acquirent per correggere bug e vulnerabilità. L’output fornito è una relazione tecnica dettagliata contenente le vulnerabilità presenti e le possibili remediation.

Al fine di poter stimare l’effort per lo svolgimento di un Vulnerability Assessment di una Applicazione Web vi suggeriamo di richiedere:
  1. Numerosità di url esposti sul web
  2. elencazione delle diverse tipologie di profili utenti che si possono autenticare
  3. fornitura di credenziali di autenticazione per ogni profilo da testare

Per valutare invece il Vulnerability Assessment del Server su cui risiede l’applicazione vi consigliamo di chiedere:
  1. Numero di server da testare (in datacenter, in locale, in cloud come ad esempio azure, aws…)
  2. Elenco degli IP esposti su internet per ogni server
  3. fornitura di credenziali di autenticazione per l’accesso ad ogni server da testare

SCARICA IL MODELLO PER LE DUE DILIGENCE INFORMATICHE
 
(2 pagine, pdf)
 



DEFENSIS è certificata ISO27001:2013, il più noto standard nell’information security. La prima società di consulenza in ambito corporate security ad ottenere tale certificazione.


 
Articoli Correlati:
Recupero dati cancellati
CTP - Perizie Informatiche
Perizie Informatiche Forensi
Perito forense Milano
Perito informatico forense
Perizie Informatiche Tribunale
Consulenze Tecniche Forensi
Consulente Informatico Forense
Antitrust Forensics: Data Collection
Due Diligence Informatica
Forensic Readiness
Noleggio UFED

Hai degli asset di valore della tua azienda?
Noi possiamo aiutarti a proteggerli.