并购(M&A)对买方和被收购方都有好处,能够产生新的协同效应,为双方注入活力,同时创造一个更新、更大、更强的实体。但新成员的加入也可能会带来一系列网络安全风险。
并购团队通常规模有限,专注于财务和业务运营,将IT和网络安全置于次要地位。更有甚者,有关网络连接、“合理化”IT和网络安全平台以及员工的假设,通常都是在对每个组织的实际职能和工作知之甚少的情况下做出的。
Gartner在《并购和尽职调查过程中的网络安全》报告中指出,正在合并、被收购或进行任何其他并购活动的公司,必须能够评估可能影响未来实体业务战略和风险的安全需求。这将有助于买方对被收购公司安全状况有更全面的了解(在交易前可能的范围内),以确保没有意外的冲击,并制定出如何安全可靠地解决整合问题的计划。
例如,2017年,在雅虎披露两起大规模数据泄露事件,导致其30亿用户账户全部泄露后,Verizon从收购雅虎运营业务的交易中削减了3.5亿美元,并最终以44.8亿美元收购了该公司。
管理并购中网络安全风险的五个策略
有效管理并购过程中的网络安全风险有助于避免买家后悔,以下是帮助企业在并购过程中管理网络安全风险的五种策略。
1. 要求对目标公司进行安全评估
在收购之前,收购方需要对目标公司进行当前或近期的评估——无论是具体的审计、安全态势评估还是企业评估——并考虑评估是在什么时候进行的。
理想情况下,这份评估最好是在过去9个月内完成的。任何超过一年的信息都是无效的。将这些信息与现行的策略和程序以及最新的战略目标进行比对。确定他们的策略、程序和流程是否与此一致?这些策略和程序是否得到了遵守?
除此之外,收购方还应获得有关可疑和已确认的安全或合规事件、风险暴露、妥协、网络相关保险活动等的任何信息。这应该包括法律上可能不要求披露的事情。例如,即使只是一起无需向政府机构报告的内部事件,也属于需要提前了解的相关信息。
2. 确保目标公司在其软件中设计了安全性
在针对技术公司的交易中,技术往往是目标产品或其重要组成部分,网络安全因此也是一个特别关注的焦点。因此,收购企业必须确定目标公司是否在其软件中设计了安全性。如果没有,那么收购方无异于是在购买一堆没有计划的“废品”,未来必然需要无止境的补救工作。
由于过多的安全问题将意味着遭受网络攻击的几率会增加,收购方可能希望将部分资金托管起来,以应对这种可能发生的情况。如果软件明显不符合行业规范,那么进行估值谈判也是很正常的。
收购方并不期望目标企业表现完美,但如果需要解决的问题超出预期,收购方可能会改变对交易的看法。尽职调查通常并不会扼杀收购交易,但它们可能会影响交易条款、时机或估值。最重要的是,知识就是力量,收购方需要充分利用尽职调查过程,尽可能多地了解目标公司的软件安全预成交情况,这样他们就可以保护自己免受风险影响。
3. 尽早让网络安全和IT团队参与进来
在并购之前,网络安全和IT团队很少参与,目的是将并购消息封锁在一个较小的圈子内。由此导致的结果可能是,发现战略性业务收购或合并目标充斥着糟糕的IT和安全问题,而修复这些问题可能要花费数百万美元。因此,尽早让网络安全和IT团队参与进来并找出关键的弱点是很重要的。
尤其是在监管宽松的行业(例如制造业),被收购的公司往往缺乏基本的安全补丁和端点安全措施,更不用说更先进的控制措施,例如安全信息和事件管理。
企业减轻网络安全风险的最佳方法之一是让IT或安全部门成为审查收购的团队的一部分,以避免日后出现代价高昂的意外。此外,IT团队应该有一个结构化的流程,具体说明他们如何进行收购,其中包括进行早期评估,并且告知员工关于财务交易变化的问题应该联系谁,以及在收购的第一天就更改所有关键系统的管理密码。
组织在进行尽职调查时,通常没有一个将安全性包括在内的流程。从一开始就将网络安全团队包括在这个过程中可以避免许多令人头痛的问题。在最糟糕的情况下,安全团队或首席信息官可能会很晚才加入,而收购或合并团队会说,“我们很快就会完成这次并购或收购。下周就要开始了,你们能在我们完成并购之前完成安全审查吗?”
然而,如果网络安全团队或首席信息安全官总能获得话语权,而不是只在出现问题时才参与进来,那么他们就可以评估目标公司的安全性,并就潜在的网络安全风险提出想法。
4. 了解数据环境的风险
如果被收购的目标公司从一开始就没有进行尽职调查,那么他们可能不了解自己所处的数据环境类型。这些目标公司可能要处理个人信息和可识别信息,以及可能要处理有监管要求的医疗保健信息,例如HIPAA法规。他们可能要处理有监管要求的支付信息,例如PCI或者有地理监管要求的GDPR法规。所以,收购方可能没有真正从信息的角度或环境的角度很好地理解所得到的信息。
不了解数据环境风险的问题在于,收购方不知道目标公司实施了哪些类型的安全控制,也不知道他们的环境是否完全安全,这同样适用于正在合并的公司。这些公司必须尝试至少对其正在处理的数据环境有一个很好的想法,并确定潜在的风险。对正在追求或打算合并的公司进行SWOT(优势、劣势、机会和威胁)分析,可以让收购方很好地了解正在处理的信息和资产。
5. 对目标公司的员工进行技能分析
重要的是要记住,除了收购目标公司的技术之外,收购方也在收购这些公司的员工。收购方需要对即将入职的员工进行全面的技能分析,因为这样就可以更充分底利用每个员工的技能,以便更好地服务组织。在整合过程中,双方可能会存在知识和技能差距,因为可能需要适应一些新技术,而收购方可能没有相关领域的专业知识。
在任何整合过程中,对于招聘目标公司的员工必须做大量的工作,这是在日常经营业务的基础上进行的,这可能会导致他们的倦怠、士气低落和人员流动。在整合过程中,可以说是风险最高的时期,因为既需要合并网络和技术,还要对流程做出改变。在这段时间里,如果出现了人员流失,或者他们的技能难以胜任现在的工作,那么真正的漏洞和风险就会浮出水面。技能分析可以帮助确保组织拥有在整合过程中全力运作的员工队伍。
结语
对于考虑收购的组织来说,重要的是要有一个更广阔的视野,并制定一个基本并购协议,其中的流程涵盖当前风险、潜在风险和收购后审核的所有方面。最后还应提交一份报告,其中包括最新的风险态势和相关剩余风险,以及对风险偏好的评估。
换句话说,收购方就是要放眼全局,并系统地完成整个过程。而且最重要的是,需要在整个过程中持续监控和审计。此外,还需要遵循几个关键步骤,而且在这些步骤中面临的问题都应该得到解决,以降低风险。
