企业通过并购获得持续的新产品和其他资产的好处,但他们也获得了所有已针对其他组织的威胁载体。此外,新的内部威胁可能出现的员工常常担心工作保障时,他们学习的并购交易。
2015年一直是丰富变化的一年,很多企业从私募股权投资公司向电信公司。
+ ALSO ON网有个足球雷竞技app络世界顶级高科技并购的2015年+
Trustwave,其宣布收购新加坡电信有限公司(SingTel)在八月下旬的完成,本身已经在过去获得的许多公司。
Steve Kelley是Trustwave公司产品和企业营销的高级副总裁,他说:“从并购的角度来看,我从未见过这个行业像今天这样炙手可热。其中一个关键原因是,安全已经从一个IT风险变成了真正的商业风险,这也是推动大量并购活动的原因。”
企业开始认识到,尽管风险增加和日益严重的威胁载体,没有绝对的安全。凯利说,“我们看到风险从IT转移到业务风险。不考虑并购,最关心的是数据的安全性。直到某些类型的数据被泄露对公司的攻击不会造成问题。”
许多企业并购的目标,凯利说,“是保护组织对敏感数据丢失,无论是信用卡数据,客户数据或知识产权。”
Steve Kelley是Trustwave公司产品和企业营销的高级副总裁
在世界各地,各行各业的企业一直在追求成长和发展的兼并和收购活动,但是他们也不得不应对突发安全问题。
詹姆斯·罗宾逊,董事,风险和威胁管理,Optiv说,“打破合并分解成几个不同的部分是很重要的。”在对话方式提出正确的问题之前搞做尽职调查。
罗宾逊说:“企业应该问,“什么是他们的安全计划?他们如何运作?这是一个好的程序或安全门面?”这些问题应该在任何采集会话的最前沿,以避免问题的交易关闭后。
When investigating the security program of an enterprise they might acquire, “Companies should be looking at the way that the operations exist, the documentation they have, their implemented policies and procedures, whether they have gone through their own certification process, and whether they’ve been validate by a third party,” said Robinson.
知道一个良好的安全计划和门面之间的差异将帮助收购公司,以确定安全性的皱纹和差距。“如果没有安全的领导者,没有更新的程序,或者他们没有一个程序,它是无所不包,这些都是先行指标,它更是一个危险的,”罗宾逊说。
虽然这些小故障可能是有风险的,但它们并不一定会像谈判要点一样成为交易的阻碍因素。了解被收购公司或被收购公司的安全计划有助于减轻一些风险,但随着企业在并购过程中开展工作,可能会出现新的和意想不到的威胁。
罗宾逊说,“走进并购您将引入更危险的工作力,可能导致内部对手谁不支持收购的下一个阶段。”安全领导者通常不是这些讨论的一部分,但是罗宾逊建议他们应该是有可能的程度。
〔也可CSO:云安全部门领导网络安全兼并和收购报告书]
此外,尽职调查手段寻找每一个潜在的危险,因此,了解其他公司的正常损耗率将有助于安全团队专注于内部威胁的潜力,一旦字失控。
据罗宾逊,高管并购后最关心的问题是过度通信。“请记住,员工并不总是会感到兴奋有关企业交易的高管。为安全团队的目标是降低你有内部威胁的数量,”罗宾逊说。
加里Alterson,在思科咨询服务高级经理,认为内部威胁提出了企业通过并购去一个安全的挑战。“内部威胁方面的相关性和体积和风险状况的不同而不同的业务类型。”
小型企业的员工可能不会感到威胁那些在大公司。
Alterson说,“如果一个组织购买或与另一个为了提高效率,行业整合并购,更可能对内部威胁风险程度较高,因为有裁员的更多可能性,创造赢家和输家的这种感觉。”
无论是心怀不满的雇员或刑事针对一个企业,当企业联手看来,他们还结合自己的安全威胁。Alterson说,“除了收购资产,他们也获得了风险。很多时候,不同的企业有不同的威胁概况。尤其是如果它是亚洲市场还是一个新的领域。”
“对于首席信息安全官面临的挑战,” Alterson说,“那是他们可能没有一个完整的视图到在特定市场的威胁,可能没有参与该领域的威胁的充分了解以及如何对这些威胁做出反应。”
兼并和收购导致策略和操作也会影响安全性的变化。Alterson说,“一个例子是,一直主要从事B2B业务,不直接面对消费者的收购,这是更多的消费者面临着一个单位的组织。”
“As a result, that organization was acquiring different kinds of data such as personal information, credit card data, banking data that is often the target of a lot of mass distributed malicious code or identity feeds that a B2B wasn’t prepared to deal with before,”Alterson continued.
他们不知道能不能伤害他们,所以企业需要了解安全风险,参与并购。
奥尔森说,“有时组织购买公司是为了特定的产品或服务。在这些情况下,应该有深度跳水,应该包括渗透测试或应用程序安全测试。我也建议组织要求披露过去的安全漏洞。”
这不是一个标准的尽职调查问题,你会得到一个融资人的出来,Alterson说。但是,如果安全领导不在谈判小组的组成部分,这些类型的问题需要来自金融的人,首席执行官或法律代表。
乔纳森·汤普森,创始人兼首席执行官鲁克安全说,“面临的挑战之一是不参与的CISO够早。”企业的安全以及关键业务交易的安全性将有利于公司扩大他们的信任圈,包括并购谈话的早期部分的CSO或CISO。
汤普森说,“我们的全球500个强客户正在经历国际化并购。他们会经常去酒店举行会议,并会使用酒店的互联网。”因为他们得到离散进行交易,他们通过不安全的无线网络危及企业的安全。
当企业进入并购,它的关键双方了解安全策略以及它们需要被交织成保护关键数据的新的安全架构的方式。
这个故事,“继承的风险:并购缺点”最初发表CSO 。