此列可在每周通讯中提供,称为最佳实践。点击在这里订阅。
As of mid-February, the plan for Verizon Communications to acquire a majority of Yahoo’s web assets is still on, despite the announcement of Yahoo having suffered two massive breaches of customer data in 2013 and 2014. The sale price, however, has been discounted by $350 million, and Verizon and Altaba Inc. have agreed to share any ongoing legal responsibilities related to the breaches. Altaba is the entity that will own the portion of Yahoo that Verizon is not acquiring.
在披露这些违约之后,雅虎受到对网络安全的LAX姿态受到高度批评。例如,Venafi实验室的团队研究了外部雅虎Web属性的加密姿势并声称已经发现了自2015年1月以来,该公司的27%的安全证书尚未重新发行。根据Venafi,在违规之后更换证书是一个批判性缓解实践;除非替换证书,否则违反组织不能确定攻击者没有持续访问加密通信。此外,Venafi表示,41%的外部雅虎证书发现了使用SHA-1,这是一个不再被认为安全的散列算法。显然,雅虎甚至试图在马匹逃离后关闭谷仓门。
verizon收购雅虎提供了为什么公司 - 即使是技术行业的原因 - 也需要在任何合并和收购(并购)活动的一部分中包括网络安全截止值。任何计划收购另一家的公司都必须彻底评估目标公司的网络安全态度。太多网络风险可以破坏交易的价值并延迟适当的投资回报。
战略网络冒险LLC的首席执行官Tom Kellermann表示,并购活动中的公司需要积极主动。据Kellermann称,鉴于网络空间中的罪犯在网络空间中的韧度,投资者必须将网络风险应用于他们的微积分。
由于公司委员会更深入地了解自己公司的网络安全姿势,因此他们希望了解有关收购目标的类似信息。因此,网络安全尽职调查迅速成为并购交易中标准最佳实践的一部分。
网络安全和M&A尽职调查过程报告来自纽约证券治理服务和Veracode指出:“购买公司转换为购买数据。并购买数据意味着您正在购买过去,现在和未来的数据安全问题。交易的经济影响可以急剧转移,如果交易发生在结束后,过去或正在进行的数据违规者会亮起。“
The NYSE Governance Services/Veracode report includes survey information from 276 public company directors and officers: 85% of the respondents said the discovery of major vulnerabilities during the audit of an acquisition target’s software assets would “likely” or “very likely” affect their final decision to complete the deal; 22% of those surveyed said the occurrence of a high-profile data breach at an acquisition target would deter them entirely from completing the transaction; Only 4% of the respondents said it’s not important to evaluate the quality and extent of intellectual property and technology as part of M&A due diligence.
即使在尽职调查过程中没有发现主要的网络风险,也有两家具有巨大不同网络安全程度的公司可以在一起将其系统遇到问题。将较少的成熟公司达到更成熟公司的标准,可以复杂且昂贵。
网络安全律师和第三方法医和技术顾问和顾问正在成为并购网络风险调查过程中的成分球员。埃莱恩斯坦库·斯坎德·斯坎普·克兰克·沃莱克·威廉·普罗特(Elaine Stanko)建议收购公司调查以下目标习得:
- 该公司在所有平台上的隐私和数据安全策略,程序和程序,包括移动,云和网络
- 所有适用行业和政府法规的审计与合规记录
- 关于所有已知违规的信息,即使他们没有公开
- 与第三方供应商的合同以及任何与其网络安全风险风险姿势的信息
- 有关计算基础架构物理安全的信息
- 识别所有临界或敏感数据,包括受保护的数据类,它位于其中以及它如何保护
- 关于该公司的社交媒体存在和公司政策的审查,员工如何以官方能力使用社交媒体
对于该列表,我将添加一个进一步的方面来调查,这是员工的风险。由于许多违规者归因于内部人员,因此收购公司应了解员工网络安全培训要求和记录。
这几天,网络事件的后果可以达到数百万美元。一个收购公司了解它在吸收另一家公司时,这是至关重要的。