企业并购(M&A)可以是充满了有关财务事项,企业文化,人才,IT系统集成等方面的风险。
安全隐患,无论是网络和物理,肯定属于关注名单上。并与专业人士谁是专家在数据保护,加之有关数据泄露等安全威胁,这已成为公司的一个更大的担心,正在考虑或之中的报告看似层出不穷的各个方面的持续短缺并购交易。
“任何并购活动涉及危险的假设,”碧浪银石,在GoDaddy的安全策略,隐私和信任的副总裁,域名注册的供应商说。
在银石赛道并购活动期间看了看问题是合规性,安全架构的兼容性和潜在的不同业务风险通过新的组织提出。“的例子包括物理访问控制,地理数据中心位置,云应用模型,违约暴露后,安全功能的组织的位置,”他说。雷竞技电脑网站
〔也可CSO:如何使兼并和收购中工作]
最近的一份报告由商业和技术咨询公司西梦露合作伙伴发现企业在并购中缺乏合格的网络安全人才。根据研究,大多数公司(80%)说,网络安全问题已经成为并购尽职调查过程中非常重要。
但收购企业的三分之一以上(40%)表示,他们在收购发现了一个网络安全问题后的交易经历,说明尽职调查标准仍然很低,该报告称。
缺乏熟练的信息安全人才似乎是主要原因,由于收购的32%声称没有足够的合格人在最近的交易中涉及的网络安全调查程序。为了进行这项研究,西梦露委托并购市场从医疗采访30总部设在北美的资深并购从业者,制造和分销,银行和高科技行业。
其中许多质疑的报告说,遵约问题是最常见的类型的尽职调查过程中发现的网络安全问题之一,缺乏全面的安全架构是另一个常见的问题。
“在并购领域,对网络安全的担忧正在成为一个关键的问题,当公司的收购目标,”报告指出。“一个公司的网络安全基础设施,或缺乏,可影响交易价格,有时确定潜在的收购者是否经过与所有的交易。”
对于寻求收购其他公司,第一件事做尽职调查的深入调查和了解他们想收购该组织的一部分。
“That includes not only the obvious—pending claims and reported breaches, for example—but also what the target [company] may not realize is deficient,” says Behnam Dayanim, a partner in the Washington, D.C. office of law firm Paul Hastings LLP, and global co-chair of its Privacy and Cybersecurity practice.
“隐私和安全问题应该是每一个并购交易的一个组成部分,” Dayanim说。“除了简单地要求的表示,这令人惊讶有些人仍然不要求,收购与兼并合作伙伴应了解哪些监管制度适用于对方的业务。”
[相关:继承的风险:并购缺点]
他们还应该检查所有的安全政策和程序,并直接与首席信息安全官或负责安全的其他执行官交谈,深入了解企业的安全程序的复杂程度,Dayanim说。
正在期待一个潜在的收购公司将做好审计目标公司的信息安全合规性状态。“这可能涉及到外部验证,但至少应包括现行政策和程序的审查和现有资源的评估,” Dayanim说。
在收购前评估应包括通过使用第三方和指导安全调查问卷,目标公司的IT安全人员收集安全情报,说:
大卫·巴顿,首席信息安全官安全公司Forcepoint说,包括识别公司的“皇冠上的宝石”,如知识产权和财务数据,并确保它的充分保护。
这一点也很重要,以确保该公司已经就如网络钓鱼和数据共享领域的地方积极员工沟通,巴顿说。
作为交易向前移动时,收购方应采取什么步骤来修复已发现的任何漏洞,同时评估公司的安全策略来确定的差距和分歧,巴顿说。
让人们在并购问题正确的安全知识和技能的地方是理想的。但雇用到帮助网络安全人才的时候收购是迫在眉睫的是为时已晚。
“这是不现实的期望公司能在一个‘白衣骑士’谁可以修补有缺陷的安全局势带来” Dayanim说。“但是,如果一家公司发现自己在这种情况下,这将是谨慎的雇佣人员精干,最可能的是,保留外部援助把它的房子作为良好的秩序可能在收购之前。”
并购活动的完成之前升级人才“是很难达到最佳,”巴顿说。“在大多数情况下,安全团队没有告知并购活动的,直到它的合并接近完成。”
有些组织接近后才合并完成后,新的威胁环境,银石说。“这意味着在收购/合并组织的价值可能发生减值的,”他说。
一个好的做法是,信息安全功能,或者至少准备好的清单,之前交易关闭。“我已经成功地使用这种模式,这就造成,有时在交易美元放在对发现的安全问题处理后封缓解代管,”银石说。
公司应使用基于风险的方法来合并审查,银石说。“这将是件好事,在船上安全为重点的项目经理,熟悉参与收购公司的业务独特风险的人,”他说。
当这种技能不是内部提供,一个有信誉的第三方应进行相关的收购公司的框架和被收购公司的市场,如金融服务,风险评估,银石说。
The role of senior security executives in M&A transactions will vary from deal to deal, based on the degree of sensitivity of the industry and data to be protected, the target company’s history including whether it has experienced prior breaches or problems, the clarity of the target’s existing policies and procedures, and other factors, Dayanim says.
“一般来说,如果在交易团队要求收购公司的CSO / CISO只会直接参与,” Dayanim说。“这种参与可能包括关键文件,与他或她的目标或更广泛目标的调查对方谈话的审查。”
在并购交易中的高级安全主管的参与程度也取决于这两个组织的相对大小,银石说。“民间组织至少应该负责整个过程的咨询业务,而这些之前审查报告提交给董事会,向CFO或并购功能,”他说。
巴顿表示,CSO和/或CISO应该从一开始就被纳入任何并购活动。他表示:“应该指派首席安全官牵头处理并购中所有与安全相关的问题。”这让他们为两家合并公司的网络最终连接做准备。这些网络经常没有考虑任何潜在的安全风险就连接起来了。”
相关的视频:
这个故事,“合并形成更大的安全隐患”最初发表CSO 。