Vijf kenmerken van een goed beveiligde dataroom voor M&A

Wereldwijd was Nederland in 2021 het land met de grootste toename in het aantal slachtoffers van cyberaanvallen. Dat blijkt uit cijfers van serviceprovider AAG. Dezelfde statistieken laten zien dat Europa meer werd aangevallen dan bijvoorbeeld Noord-Amerika. Cyberdreigingen zijn jammer genoeg geen ver-van-mijn-bed-show meer. Elke elf seconden wordt ergens in de wereld een bedrijf getroffen door een cyberaanval. Niet alleen kan dat veel geld kosten, op de lange termijn moeten organisaties ook rekening houden met reputatieschade en klantverlies.

Bij een overname of fusie is goede cybersecurity nog belangrijker, omdat bedrijven in M&A-processen soms meer risico lopen om op de radar van aanvallers te verschijnen. In plaats van documenten en data via de cloud te delen, is het essentieel om gedurende de volledige procedure van due diligence en onderhandelingen op een veilige dataroom terug te vallen. Die maakt gebruik van de vertrouwde features van de cloud, maar beschikt ook over strengere securityprotocollen zodat gebruikers zonder zorgen gevoelige informatie kunnen delen.

Wanneer is een dataroom goed beveiligd?
In de meeste organisaties neemt het bewustzijn rond cybersecurity toe, maar het blijkt niet eenvoudig om bijvoorbeeld externe software en tools te evalueren. Ook bij de keuze voor een dataroom moet je goed nagaan of de provider alle noodzakelijke securityfeatures aanbiedt. Beperk je daarbij zeker niet tot algemene standaarden, zoals ISO 27000:2013. Voor ontwikkelaars zijn deze normen een minimum waar hun oplossing aan moet voldoen. Er zijn nog heel wat andere factoren waar je voor optimale beveiliging rekening mee dient te houden. Dit zijn vijf vragen die je moet stellen:

1. Beschikt de dataroom over tweefactor-authenticatie?
We lezen nog wekelijks berichten over gestolen data en gelekte wachtwoorden. Tweefactor-authenticatie is een extra securitylaag die ervoor zorgt dat enkel gerechtigde gebruikers toegang krijgen tot een online account. Zeker als het gaat om gevoelige informatie moet een oplossing hierover beschikken. Tweefactor-authenticatie betekent dat het identificatieproces twee aparte stappen vereist. Extra veilig is het gebruik van een gecertificeerde ‘authenticator app’, zoals de veelgebruikte Google Authenticator, die een tijdelijke code toont die na aanmelding ingevoerd moet worden.  

Na identificatie biedt een goede dataroom ook veel mogelijkheden om rechten te verlenen, zodat de ene gebruiker meer privileges krijgt dan de andere. De beheerder van de dataroom kan er bijvoorbeeld voor zorgen dat sommige gebruikers, afhankelijk van hun rol of taak, geen toegang krijgen tot bepaalde folders of documenten.

2. Is alle informatie in de dataroom versleuteld?
Encryptie is een ander belangrijk element voor het toegankelijk maken van data. De gebruikers van een dataroom moeten gemakkelijk informatie kunnen delen en downloaden. Maar zodra je data exporteert, verlaat je de veilige omgeving van de dataroom. Zeker voor grootschalige downloads is het daarom belangrijk dat de data versleuteld is. Mocht de data in verkeerde handen vallen, dan zorgt encryptie ervoor dat de informatie onleesbaar en onbruikbaar blijft. Een goed beveiligde dataroom zorgt er trouwens voor dat de data niet enkel tijdens een transfer, maar ook in rust op elk moment versleuteld is.

3. Gaat een sessie bij inactiviteit automatisch in time out?
Koffie gaan drinken en ondertussen ingelogd blijven in de dataroom? Voor gebruikers is dat handig, maar vanuit een securitystandpunt is dit natuurlijk niet slim. Om inbreuken te voorkomen, moet een dataroom daarom beschikken over een feature die een sessie automatisch in time out plaatst zodra de gebruiker niet meer actief in de dataroom aan het werken is.

4. Kunnen gebruikers op een veilige manier communiceren?
Wanneer teams gevoelige informatie moeten delen, maken ze nog vaak gebruik van klassieke tools zoals e-mail. Dat is echter veel minder veilig dan we denken. In een M&A-proces – en in de bedrijfsvoering in het algemeen – moet het gebruik van dat soort tools voor het delen van belangrijke documenten absoluut worden vermeden. Een goed beveiligde dataroom biedt gebruikers een platform met functionaliteiten die een veilig alternatief vormen voor de vertrouwde externe communicatiekanalen.

5. Is re-authenticatie voor integraties van derde partijen vereist?
Vaak zien we dat bedrijven bij een cyberaanval in het systeem van een partner zelf ook gecompromitteerd raken. Zodra je ergens een toegangspoort opent, creëer je immers een risico voor de data in je eigen systeem. Voor M&A heeft een dataroom verschillende toegangspoorten nodig om de data van derde partijen te integreren. Daarom is re-authenticatie een vereiste. Als het systeem van een externe partij dan wordt aangevallen, blijft de inhoud van de dataroom gevrijwaard.

Tot slot is het natuurlijk belangrijk dat  de hoofdgebruikers van de dataroom over voldoende security-kennis beschikken. In veel organisaties is dat nog steeds een probleem. Een goede dataroom is daarom zodanig ontwikkeld dat het veilig gedrag faciliteert en gebruikers helpt om de juiste keuzes te maken zonder dat zij zich hier zorgen over hoeven te maken.

De datarooms van Visma-Admincontrol zijn ontworpen met elk van deze vijf eigenschappen in het achterhoofd. Ze bieden een uitermate veilige en efficiënte omgeving om vertrouwelijke documenten te delen en erover te communiceren. Ontdek hier alles over onze sterk beveiligde datarooms.