Özel sermaye fonu düzeyindeki teknoloji liderleri, portföy şirketlerini durum tespitinden çıkışa kadar siber saldırılardan korumada etkili bir rol oynayabilir
Yazan: John Hauser, EY Amerika İşlem Desteği – Siber Durum Tespiti Lideri, Ernst & Young LLP
Özel sermaye fonları, portföy şirketlerini etkileyen son siber saldırı dalgasıyla mücadele ediyor. FBI, özel sermaye liderleri ve siber güvenlik danışmanlığı konusunda uzman EY-Parthenon ekipleri, mağdurların fidye yazılımı taleplerini karşılayacak zengin ceplere sahip daha kolay hedefler olarak algılandığı PE işlemlerini ve portföy şirketlerini hedef alan siber faaliyetlerde ölçülü bir artış görüyor.
Ayrıca, portföy şirketlerinin her çeşidi üzerinde yasal ve düzenleyici baskılar artıyor. Bu baskı, bir olayın şirketin itibarı üzerinde domino etkisi yaratması riskini artırır ve şirketin olay sonrası hasar kontrolü ve iyileştirme çalışmaları listesine katkıda bulunur. Örneğin, hem Avrupa Birliği hem de Amerika Birleşik Devletleri, kritik altyapıdaki şirketlerin olayları zamanında hükümete raporlamasını gerektiren bir yasayı kabul etti. Menkul Kıymetler ve Borsa Komisyonu yakın zamanda üst düzey yönetim ve kurullar üzerinde siber riski azaltmak için harekete geçmeleri ve aldıkları çabaları açıklamaları konusunda baskı uygulayan yeni kuralları kabul etti. ABD’de yakın zamanda yaşanan bir dava, şirketlerin daha sonraki bir ihlal durumunda ihmal iddialarını engellemek için siber güvenliği kendi inceleme süreçlerine dahil etmeleri gerektiği konusunda uyardı.
Tek bir önemli olay, fonun yatırım planlarını ve şirketin portföyden çıkma takvimini sekteye uğratacak kadar yıkıcı olabilir. Ancak kurumsal ana şirketlerin aksine fonlar, portföy şirketlerine doğrudan koruma sağlayabilecek kendi siber ekipleriyle donatılmıyor. Bazı fonlar ayrıca portföy şirketinin siber güvenliğine fazla dahil olmanın fonun kendisine yönelik riski artırabileceğinden endişe ediyor.
Yine de fonlar, portföy şirketlerinin siber programlarını devralmasa bile portföy şirketlerini korumada önemli ve etkili bir rol oynayabilir. PE fonu düzeyindeki teknoloji liderleri, durum tespiti ve satın alma aşamasından çıkışa kadar portföy şirketi sahipliği yaşam döngüsü boyunca daha kapsamlı bir siber güvenlik stratejisi oluşturabilir.
Fonların faydalı olabileceği yollardan bazıları şunlardır:
Sahiplik yaşam döngüsü boyunca portföy şirketi siber güvenliğine odaklanın
- Potansiyel sorunların erken göstergesi olarak siber durum tespitini kullanan fonlar, kendilerini ihmal iddialarına karşı koruyabilir ve bunu yapmayan fonlara göre avantaj elde edebilir.
- Fonlar, siber sonuçların üst düzey liderlik tarafından kararlaştırılan stratejik planın bir parçası olarak dahil edilmesi gerektiğinde, portföy şirketinin işe alımı sırasında siber güvenliği vurgulamaya devam edebilir.
- Değer yaratma döneminde portföy şirketi siber güvenliğindeki eksiklikleri takip eden ve müdahaleyi hızlandıran bir program, bir olayın sorunun ilk göstergesi olmasını beklemek yerine tüm tarafların riskten uzak kalmasına yardımcı olacaktır.
- Çıkışa hazır olmadan önce siber güvenlik başarısının nasıl göründüğüne dair bir bakış, fonları ve portföy şirketlerini değeri korumak konusunda çok daha iyi bir konumda bırakacak ve siberi gelecekteki alıcılar için önemli bir endişe haline getirmeyecektir.
Verimliliği artırmak için satın alma gücünden yararlanın
Fonlar, portföy şirketi satın alımını değiştirmeden, saygın güvenlik sağlayıcılarının satıcıları fiyatları düşürmeye yönlendirdiği ve portföy şirketlerinin indirimli hizmetlerden yararlanmasına olanak tanıdığı “tercih edilen ortak” programları oluşturabilir. Fonlar ayrıca portföy şirketlerinin sektör lideri sağlayıcıları kullandığını doğrulamak için güvenlik satıcılarını da inceleyebilir. Bu arada satıcılar da portföyde güvenilir bir isim olmanın ve pazara yönelik kolaylaştırılmış bir kanal olmanın avantajından yararlanıyor.
Sinerjiyi gerçekleştirmek için portföy şirketi siber güvenlik programlarına ilişkin verileri toplayın
Tüm portföy şirketlerine ilişkin genel bir bakışa sahip olma benzersiz konumunun bilincinde olmak, fonun ekstra siber güvenlik değeri sağlamasına olanak tanıyor. Örneğin, farklı portföy şirketleri arasındaki ortak sıkıntı noktalarını tespit edebilen fonlar, riskin geniş ölçekte azaltılmasına yardımcı olmak için uzmanlık getirebilir.
Etkili liderliğin sağlanmasında değerli bir rol oynayın.
Fonların genellikle portföy şirketi yönetim kurulunda bir temsilcisi bulunur. Bu yönetim kurulu üyesi daha fazla sorumluluk alabilir ve siber güvenliğe odaklanabilir. Buna ek olarak, fonlar genellikle portföy şirketindeki üst düzey liderliği etkileyebilir, böylece doğru yetenek sonuçlara yol açabilir. Bu gözetim, fonun geleneksel üst düzey yönetişim rolünü oynamasına olanak tanırken aynı zamanda daha iyi siber sonuçların beklendiğini de açıkça ortaya koyuyor.
Siber güvenliği iyileştirme ihtiyacı, başarılı bir saldırının potansiyel finansal ve itibar risklerinin ötesine geçer. Siber güvenliği gevşek olan portföy şirketleri aynı zamanda devlet sözleşmeleri ve özel sektör işlerinde rekabetin dışında kalma riskiyle de karşı karşıyadır.
Ancak yukarıdaki stratejiler, özel sermayenin büyüyen bir tehdit riskini hafifletme becerisi açısından çığır açıcı bir değişimi temsil edebilir.
yazar hakkında
John Hauser, EY Amerika İşlem Desteği – Siber Durum Tespiti Lideridir. John’un kariyeri yaklaşık 20 yıllık kamu hizmeti ve özel sektör deneyiminden oluşmaktadır. EY US’te, müşterilerin artan teknoloji ve işlemlerin yol açtığı yasal siber riskler arasında gezinmelerine yardımcı olan yenilikçi, pazar lideri siber durum tespiti uygulamalarına başkanlık etmektedir.
EY US’e katılmadan önce John, FBI’da Özel Ajan ve ABD Başsavcı Yardımcısı olarak çalıştı. Uluslararası siber suç çeteleri ve ABD şirketlerinin ticari sırlarını çalan ulus devlet korsanları da dahil olmak üzere karmaşık, yüksek profilli davaları soruşturma ve kovuşturma konusunda geniş deneyime sahiptir.
John’a çevrimiçi olarak ey.com adresinden ulaşılabilir.
İfade edilen görüşler yazara aittir ve Ernst & Young LLP’nin veya küresel EY organizasyonunun herhangi bir üye firmasının görüşlerini temsil etmeyebilir.