管理并購(gòu)中網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的五個(gè)策略
并購(gòu)(M&A)對(duì)買(mǎi)方和被收購(gòu)方都有好處,能夠產(chǎn)生新的協(xié)同效應(yīng),為雙方注入活力,同時(shí)創(chuàng)造一個(gè)更新、更大、更強(qiáng)的實(shí)體。但新成員的加入也可能會(huì)帶來(lái)一系列網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
并購(gòu)團(tuán)隊(duì)通常規(guī)模有限,專注于財(cái)務(wù)和業(yè)務(wù)運(yùn)營(yíng),將IT和網(wǎng)絡(luò)安全置于次要地位。更有甚者,有關(guān)網(wǎng)絡(luò)連接、“合理化”IT和網(wǎng)絡(luò)安全平臺(tái)以及員工的假設(shè),通常都是在對(duì)每個(gè)組織的實(shí)際職能和工作知之甚少的情況下做出的。
Gartner在《并購(gòu)和盡職調(diào)查過(guò)程中的網(wǎng)絡(luò)安全》報(bào)告中指出,正在合并、被收購(gòu)或進(jìn)行任何其他并購(gòu)活動(dòng)的公司,必須能夠評(píng)估可能影響未來(lái)實(shí)體業(yè)務(wù)戰(zhàn)略和風(fēng)險(xiǎn)的安全需求。這將有助于買(mǎi)方對(duì)被收購(gòu)公司安全狀況有更全面的了解(在交易前可能的范圍內(nèi)),以確保沒(méi)有意外的沖擊,并制定出如何安全可靠地解決整合問(wèn)題的計(jì)劃。
例如,2017年,在雅虎披露兩起大規(guī)模數(shù)據(jù)泄露事件,導(dǎo)致其30億用戶賬戶全部泄露后,Verizon從收購(gòu)雅虎運(yùn)營(yíng)業(yè)務(wù)的交易中削減了3.5億美元,并最終以44.8億美元收購(gòu)了該公司。
管理并購(gòu)中網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的五個(gè)策略
有效管理并購(gòu)過(guò)程中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有助于避免買(mǎi)家后悔,以下是幫助企業(yè)在并購(gòu)過(guò)程中管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的五種策略。
1. 要求對(duì)目標(biāo)公司進(jìn)行安全評(píng)估
在收購(gòu)之前,收購(gòu)方需要對(duì)目標(biāo)公司進(jìn)行當(dāng)前或近期的評(píng)估——無(wú)論是具體的審計(jì)、安全態(tài)勢(shì)評(píng)估還是企業(yè)評(píng)估——并考慮評(píng)估是在什么時(shí)候進(jìn)行的。
理想情況下,這份評(píng)估最好是在過(guò)去9個(gè)月內(nèi)完成的。任何超過(guò)一年的信息都是無(wú)效的。將這些信息與現(xiàn)行的策略和程序以及最新的戰(zhàn)略目標(biāo)進(jìn)行比對(duì)。確定他們的策略、程序和流程是否與此一致?這些策略和程序是否得到了遵守?
除此之外,收購(gòu)方還應(yīng)獲得有關(guān)可疑和已確認(rèn)的安全或合規(guī)事件、風(fēng)險(xiǎn)暴露、妥協(xié)、網(wǎng)絡(luò)相關(guān)保險(xiǎn)活動(dòng)等的任何信息。這應(yīng)該包括法律上可能不要求披露的事情。例如,即使只是一起無(wú)需向政府機(jī)構(gòu)報(bào)告的內(nèi)部事件,也屬于需要提前了解的相關(guān)信息。
2. 確保目標(biāo)公司在其軟件中設(shè)計(jì)了安全性
在針對(duì)技術(shù)公司的交易中,技術(shù)往往是目標(biāo)產(chǎn)品或其重要組成部分,網(wǎng)絡(luò)安全因此也是一個(gè)特別關(guān)注的焦點(diǎn)。因此,收購(gòu)企業(yè)必須確定目標(biāo)公司是否在其軟件中設(shè)計(jì)了安全性。如果沒(méi)有,那么收購(gòu)方無(wú)異于是在購(gòu)買(mǎi)一堆沒(méi)有計(jì)劃的“廢品”,未來(lái)必然需要無(wú)止境的補(bǔ)救工作。
由于過(guò)多的安全問(wèn)題將意味著遭受網(wǎng)絡(luò)攻擊的幾率會(huì)增加,收購(gòu)方可能希望將部分資金托管起來(lái),以應(yīng)對(duì)這種可能發(fā)生的情況。如果軟件明顯不符合行業(yè)規(guī)范,那么進(jìn)行估值談判也是很正常的。
收購(gòu)方并不期望目標(biāo)企業(yè)表現(xiàn)完美,但如果需要解決的問(wèn)題超出預(yù)期,收購(gòu)方可能會(huì)改變對(duì)交易的看法。盡職調(diào)查通常并不會(huì)扼殺收購(gòu)交易,但它們可能會(huì)影響交易條款、時(shí)機(jī)或估值。最重要的是,知識(shí)就是力量,收購(gòu)方需要充分利用盡職調(diào)查過(guò)程,盡可能多地了解目標(biāo)公司的軟件安全預(yù)成交情況,這樣他們就可以保護(hù)自己免受風(fēng)險(xiǎn)影響。
3. 盡早讓網(wǎng)絡(luò)安全和IT團(tuán)隊(duì)參與進(jìn)來(lái)
在并購(gòu)之前,網(wǎng)絡(luò)安全和IT團(tuán)隊(duì)很少參與,目的是將并購(gòu)消息封鎖在一個(gè)較小的圈子內(nèi)。由此導(dǎo)致的結(jié)果可能是,發(fā)現(xiàn)戰(zhàn)略性業(yè)務(wù)收購(gòu)或合并目標(biāo)充斥著糟糕的IT和安全問(wèn)題,而修復(fù)這些問(wèn)題可能要花費(fèi)數(shù)百萬(wàn)美元。因此,盡早讓網(wǎng)絡(luò)安全和IT團(tuán)隊(duì)參與進(jìn)來(lái)并找出關(guān)鍵的弱點(diǎn)是很重要的。
尤其是在監(jiān)管寬松的行業(yè)(例如制造業(yè)),被收購(gòu)的公司往往缺乏基本的安全補(bǔ)丁和端點(diǎn)安全措施,更不用說(shuō)更先進(jìn)的控制措施,例如安全信息和事件管理。
企業(yè)減輕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的最佳方法之一是讓IT或安全部門(mén)成為審查收購(gòu)的團(tuán)隊(duì)的一部分,以避免日后出現(xiàn)代價(jià)高昂的意外。此外,IT團(tuán)隊(duì)?wèi)?yīng)該有一個(gè)結(jié)構(gòu)化的流程,具體說(shuō)明他們?nèi)绾芜M(jìn)行收購(gòu),其中包括進(jìn)行早期評(píng)估,并且告知員工關(guān)于財(cái)務(wù)交易變化的問(wèn)題應(yīng)該聯(lián)系誰(shuí),以及在收購(gòu)的第一天就更改所有關(guān)鍵系統(tǒng)的管理密碼。
組織在進(jìn)行盡職調(diào)查時(shí),通常沒(méi)有一個(gè)將安全性包括在內(nèi)的流程。從一開(kāi)始就將網(wǎng)絡(luò)安全團(tuán)隊(duì)包括在這個(gè)過(guò)程中可以避免許多令人頭痛的問(wèn)題。在最糟糕的情況下,安全團(tuán)隊(duì)或首席信息官可能會(huì)很晚才加入,而收購(gòu)或合并團(tuán)隊(duì)會(huì)說(shuō),“我們很快就會(huì)完成這次并購(gòu)或收購(gòu)。下周就要開(kāi)始了,你們能在我們完成并購(gòu)之前完成安全審查嗎?”
然而,如果網(wǎng)絡(luò)安全團(tuán)隊(duì)或首席信息安全官總能獲得話語(yǔ)權(quán),而不是只在出現(xiàn)問(wèn)題時(shí)才參與進(jìn)來(lái),那么他們就可以評(píng)估目標(biāo)公司的安全性,并就潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提出想法。
4. 了解數(shù)據(jù)環(huán)境的風(fēng)險(xiǎn)
如果被收購(gòu)的目標(biāo)公司從一開(kāi)始就沒(méi)有進(jìn)行盡職調(diào)查,那么他們可能不了解自己所處的數(shù)據(jù)環(huán)境類型。這些目標(biāo)公司可能要處理個(gè)人信息和可識(shí)別信息,以及可能要處理有監(jiān)管要求的醫(yī)療保健信息,例如HIPAA法規(guī)。他們可能要處理有監(jiān)管要求的支付信息,例如PCI或者有地理監(jiān)管要求的GDPR法規(guī)。所以,收購(gòu)方可能沒(méi)有真正從信息的角度或環(huán)境的角度很好地理解所得到的信息。
不了解數(shù)據(jù)環(huán)境風(fēng)險(xiǎn)的問(wèn)題在于,收購(gòu)方不知道目標(biāo)公司實(shí)施了哪些類型的安全控制,也不知道他們的環(huán)境是否完全安全,這同樣適用于正在合并的公司。這些公司必須嘗試至少對(duì)其正在處理的數(shù)據(jù)環(huán)境有一個(gè)很好的想法,并確定潛在的風(fēng)險(xiǎn)。對(duì)正在追求或打算合并的公司進(jìn)行SWOT(優(yōu)勢(shì)、劣勢(shì)、機(jī)會(huì)和威脅)分析,可以讓收購(gòu)方很好地了解正在處理的信息和資產(chǎn)。
5. 對(duì)目標(biāo)公司的員工進(jìn)行技能分析
重要的是要記住,除了收購(gòu)目標(biāo)公司的技術(shù)之外,收購(gòu)方也在收購(gòu)這些公司的員工。收購(gòu)方需要對(duì)即將入職的員工進(jìn)行全面的技能分析,因?yàn)檫@樣就可以更充分底利用每個(gè)員工的技能,以便更好地服務(wù)組織。在整合過(guò)程中,雙方可能會(huì)存在知識(shí)和技能差距,因?yàn)榭赡苄枰m應(yīng)一些新技術(shù),而收購(gòu)方可能沒(méi)有相關(guān)領(lǐng)域的專業(yè)知識(shí)。
在任何整合過(guò)程中,對(duì)于招聘目標(biāo)公司的員工必須做大量的工作,這是在日常經(jīng)營(yíng)業(yè)務(wù)的基礎(chǔ)上進(jìn)行的,這可能會(huì)導(dǎo)致他們的倦怠、士氣低落和人員流動(dòng)。在整合過(guò)程中,可以說(shuō)是風(fēng)險(xiǎn)最高的時(shí)期,因?yàn)榧刃枰喜⒕W(wǎng)絡(luò)和技術(shù),還要對(duì)流程做出改變。在這段時(shí)間里,如果出現(xiàn)了人員流失,或者他們的技能難以勝任現(xiàn)在的工作,那么真正的漏洞和風(fēng)險(xiǎn)就會(huì)浮出水面。技能分析可以幫助確保組織擁有在整合過(guò)程中全力運(yùn)作的員工隊(duì)伍。
結(jié)語(yǔ)
對(duì)于考慮收購(gòu)的組織來(lái)說(shuō),重要的是要有一個(gè)更廣闊的視野,并制定一個(gè)基本并購(gòu)協(xié)議,其中的流程涵蓋當(dāng)前風(fēng)險(xiǎn)、潛在風(fēng)險(xiǎn)和收購(gòu)后審核的所有方面。最后還應(yīng)提交一份報(bào)告,其中包括最新的風(fēng)險(xiǎn)態(tài)勢(shì)和相關(guān)剩余風(fēng)險(xiǎn),以及對(duì)風(fēng)險(xiǎn)偏好的評(píng)估。
換句話說(shuō),收購(gòu)方就是要放眼全局,并系統(tǒng)地完成整個(gè)過(guò)程。而且最重要的是,需要在整個(gè)過(guò)程中持續(xù)監(jiān)控和審計(jì)。此外,還需要遵循幾個(gè)關(guān)鍵步驟,而且在這些步驟中面臨的問(wèn)題都應(yīng)該得到解決,以降低風(fēng)險(xiǎn)。
