安全专家经常告诫组织不仅要在内部而且要在与第三方的业务关系中改进其安全性。
在许多情况下,它不仅仅是一种劝诫——它是一种命令。去年的更新标准支付卡行业(PCI)做出应对第三方的风险点。
但是,有一些证据表明那里的安全仍落后于第三方关系的一个领域是兼并和收购(M&A)。
在一个调查总部位于伦敦的富而德律师事务所(Freshfields Bruckhaus Deringer)发现,尽管有很多人(74%的收购者和60%的卖家)意识到网络安全风险可能会对待定交易产生影响,绝大多数受访者(78%)“认为网络安全没有作为并购尽职调查的一部分进行深入分析或具体量化。”
这可能是昂贵的——非常昂贵。
如果一家公司的价值很大程度上是基于其知识产权或其他专有信息(如客户数据),而这些信息已被泄露,那么它可能会落入竞争对手之手,从而失去大部分价值。
此外,如果涉及合并或收购任何一家公司已被破坏,这是很容易为攻击者渗透两家公司,这可能会对两者的价值灾难性的影响。
基于该领域的活动,并购为有进取心的网络罪犯提供了一个巨大的攻击面。一个最近的博客岗位由安全公司FireEye的注意的是,“在美国,只是在四月和五月有近2000并购事件,而在亚太地区,并购活动在首6个月到2015年达到创纪录的$ 367.7十亿”
所有这些都提出了一个显而易见的问题:既然企业的财务或市场份额都可能受到网络攻击的影响,那么为什么不把重点放在企业的网络安全态势或历史上的并购尽职调查,也同样关注它们的财务或市场份额呢?
据业内人士称,这个问题正在得到解决,但仍存在重大弱点,规模较小的公司可能需要一段时间才能迎头赶上。
“我认为现在是对人的雷达,而在此之前它可能是一种事后的想法,”斯科特·科勒,律师在律师事务所BakerHostetler说。“问题是,它应该是它未作为严重,或有风险的下升值。”
他说,在评估一家公司的安全状况时,很容易采用所谓的“复选框”心态,比如:“你有防火墙吗?”(检查)。你有杀毒软件吗?
“但安全需要了解组织存储的数据的类型和数量、监管和法律环境,以及对组织的潜在威胁,”他说。
西门罗合作伙伴公司(West Monroe Partners)安全和基础设施咨询业务主管肖恩·科伦(Sean Curran)对此表示赞同,他指出,问题的一部分在于,对许多公司来说,评估网络风险“仍然是一个非常奇怪的话题,有些公司甚至在问,如何找到合适的人来做这件事。”
纪文舜主任,西梦露合作伙伴的安全和基础架构咨询实践
他说,尽职调查的网络风险的目的不是要知道一家公司是否可以被黑客攻击。事实上,在安防行业这几天的口头禅是,有两类公司:那些知道自己已被黑客入侵,和那些谁已被黑客入侵,但不知道它。
“关键是要知道你买的 - 什么是‘秘密武器’,使公司独特的,”他说。“是财政,声誉,法律,什么是该值?哪些可能会违反费用是多少?”
Crowe Horwath高级经理迈克尔•德尔•吉迪斯(Michael Del Giudice)表示,很有必要调查一下目标公司是否遭到入侵,而且目前仍不知情。他以波耐蒙研究所为例研究即发现了零售企业的平均197天 - 超过六个月 - 检测违反。
迈克尔·德尔GIUDICE在国富浩华高级经理
他表示:“如果潜在收购者依赖于一份调查问卷,那么收购目标可能并不知道有可能对公司估值造成重大影响的违规行为。”
这也是从罗恩雅顿,副总裁兼首席营销官Fasoo消息。“收购方需要了解资产和将收购的负债,并期待在缺乏足够的安全作为企业的风险,正如租赁,债务和潜在的诉讼是法律责任,”他说。
审查的那水平下的$ 75十亿到$ 200十亿范围管理(AUM)“非常成熟”,在更大的私人股权投资公司如黑石,凯雷投资集团和TPG,与资产,根据埃里克·费尔德曼,滨江公司的首席信息官。
他说,“但公司之间的复杂程度差异很大,这意味着对许多较小的公司来说,网络方面可能是一个弱点。”
罗恩·雅顿副总裁兼首席营销官,Fasoo
然而,在小企业甚至提高,他说,由于公共和私营部门的压力。
在公共端,联邦证券交易委员会(SEC)拥有超过1.5亿的资产管理规模超过$位于美国的私募股权投资公司的监管机构。“覆盖他们的大多数,”他说。
在过去的几年中,合规性检查和考试的机构办公室发布了几项“风险提示”致力于改善网络安全。
这些警报也伴随着一些牙齿。费尔德曼指出,美国证券交易委员会已开始对证券公司处以罚款。
事实上,证券交易委员会达到了a结算就在上个月,对冲基金R.T. Jones Capital Equities Management还因未能阻止黑客攻击、泄露10万名客户的个人信息而受到谴责,并被处以7.5万美元罚款。
费尔德曼表示,从民间角度来看,主要养老基金等有限合伙人"想知道管理公司有哪些控制措施,以确保公司建立更广泛的网络意识项目,保护关键数据。"
科勒同意审查和安全的监管是重要和必要的,但他增加了一个警告,一个公司的网络风险不必是一个大忌。“这是比较容易修复公司凭借雄厚的财务状况,但安全性差比是重振公司以极大的安全性,但金融股疲软,”他说。
除此之外,有数据泄露历史的公司——即使是大公司——仍可能是并购的有价值的目标。科勒说:“一个组织如果在过去遭遇过一次或多次入侵,那么在未来应对这些入侵的准备就会更加充分。”
柯伦同意。“很少有公司已经在头版头条(对违反)已经失去了市场份额,”他说。“有越来越多的看法,已经被攻击的组织变成一个更好的组织。的看法是,我想与他们做生意。”
尽管许多小公司可能缺乏内部专业知识,无法在并购期间对安全风险进行充分的尽职调查,但柯伦和其他人表示,寻找外部专家应该不是那么困难。他说,他的公司是提供安全咨询的公司之一。
他说,大多数试图进行自我评估的公司“都会出错”。仅仅知道有防火墙是不够的。甚至对于那些使用QSA(合格的安全评估人员)的人来说,这可能还不够。不幸的是,并非所有的质量保证体系都是一样的——有些公司比其他公司更严格。
“我已经在许多情况下,即使企业提供了一个QSA从事发现的不符合,因为他们驾驶的范围和QSA没有推回,”他说。
Del Giudice补充说,虽然一些目标公司的网络风险可能低到足以让评估仅仅依赖于一份问卷,但这对那些风险较高的公司来说是不够的。
他说:“进行尽职调查的公司应该考虑进行深入的现场分析,不仅要识别以前发生的事件,还要了解组织如何识别和应对事件,评估未知入侵的系统,并评估组织减轻网络安全风险的能力。”
这个故事,“关于寻找合并或收购?”确保你的目标是安全的”方案 。