合并带来更大的安全风险

企业并购往往伴随着财务、企业文化、人员、IT系统集成等方面的风险。

安全风险，包括网络和物理上的，当然应该放在关注的清单上。而且，由于目前在数据保护的各个方面都缺乏专家，再加上关于数据泄露和其他安全威胁的报告似乎源源不断，这已成为正在考虑或正在进行并购交易的公司更大的担忧。

“任何并购活动都需要承担风险，”域名注册提供商GoDaddy负责安全策略、隐私和信任的副总裁阿里埃勒•西尔弗斯通(Ariel Silverstone)表示。

Silverstone在并购活动中关注的问题包括法规遵从性、安全框架兼容性以及新组织可能带来的不同业务风险。他说:“这些例子包括物理访问控制、地理数据中心位置、云使用模型、入侵后曝光以及安全功能的组织布局。”2020欧洲杯预赛

[另就民政事务总署:如何使合并和收购奏效]

商业和技术咨询公司West Monroe Partners最近的一份报告发现企业在并购过程中缺乏合格的网络安全人才。根据这项研究，大多数公司(80%)表示，网络安全问题在并购尽职调查过程中变得非常重要。

但报告称，超过三分之一(40%)的收购企业表示，他们在收购完成后发现了网络安全问题，这表明尽职调查的标准仍然很低。

缺乏熟练的信息安全人才似乎是主要原因，32%的收购方称，在最近的交易中，没有足够的合格人员参与网络安全调查过程。为了进行这项研究，西门罗委托Mergermarket对30名北美资深并购从业者进行了采访，这些人来自医疗保健、制造和分销、银行和高科技行业。

许多接受调查的人士表示，合规问题是尽职调查期间发现的最常见的网络安全问题之一，缺乏全面的安全架构是另一个常见问题。

报告指出:“在并购领域，当企业瞄准收购目标时，对网络安全的担忧正成为一个关键问题。”“一家公司的网络安全基础设施(或缺乏网络安全基础设施)可能会影响交易价格，有时还会决定潜在收购方是否会完成交易。”

对于希望收购另一项业务的公司来说，作为尽职调查的一部分，首先要做的事情之一就是彻底调查并了解它们打算收购的公司。

美国普衡律师事务所(Paul Hastings LLP)华盛顿特区办事处合伙人、隐私与网络安全业务全球联席主席贝纳姆•达亚尼姆(Behnam Dayanim)表示:“这不仅包括那些显而易见的未决索赔和已报告的入侵，还包括目标(公司)可能没有意识到的缺陷。”

达亚尼姆表示:“隐私和安全问题应该成为每笔并购交易的一个组成部分。”“令人惊讶的是，除了简单地要求代表以外，收购方和合并合作伙伴还应了解，针对交易对手的业务适用何种监管制度。”

[相关阅读：继承风险:并购的负面影响]

达亚尼姆说，他们还应该审查所有安全政策和程序，并直接与CISO或其他负责安全的执行官员进行讨论，以深入了解组织的安全计划的复杂程度。

预计可能进行收购的公司最好审计目标公司的信息安全合规状况。达亚尼姆说:“这可能涉及外部验证，但至少应该包括对现有政策和程序的审查，以及对现有资源的评估。”

收购前的评估应包括使用第三方收集安全情报，并直接向目标公司的IT安全人员发放安全问卷

安全公司Forcepoint的首席信息安全官大卫·巴顿说，这包括识别公司的“皇冠上的宝石”，如知识产权和财务数据，并确保它得到充分的保护。

确保公司在网络钓鱼和数据共享等方面有积极主动的员工沟通也很重要，Barton说。

巴顿说，随着交易的推进，收购方应采取措施，纠正已发现的任何漏洞，并评估两家公司的安全政策，以确定差距和差异。

有合适的人在适当的安全和并购问题的知识是理想的。但当收购即将到来时，聘用网络安全人才来帮忙已经太晚了。

达亚尼姆说:“指望一家公司能够引进一位‘白衣骑士’来修补漏洞百出的安全形势是不现实的。”“尽管如此，如果一家公司发现自己处于这种境地，它会谨慎地雇佣有能力的员工，而且很可能会保留外部援助，以便在收购前尽可能做好内部事务。”

巴顿表示，在并购活动完成前对人才进行升级“往好里说也很困难”。“在大多数情况下，直到并购接近完成时，安全团队才会得到并购活动的通知。”

Silverstone说，一些组织只有在合并完成后才会面对新的威胁。他表示:“这意味着，收购/合并后的公司可能会价值受损。”

一个好的做法是在交易结束前拥有信息安全功能——或者至少是一个准备好的清单。Silverstone说:“我成功地使用了这个模型，结果是，有时，交易结束后，会有一些交易资金投入到第三方托管中，以缓解被发现的安全问题。”

公司应该使用基于风险的方法来进行合并审查，Silverstone说。他表示:“如果能有一位专注于安全的项目经理，以及一位熟悉被收购公司业务中涉及的独特风险的人士，那就太好了。”

Silverstone说，当这些技能在公司内部无法获得时，有信誉的第三方应该对收购公司的框架和被收购公司的市场(如金融服务)进行风险评估。

安全高管的角色在并购交易将不同交易协议,基于行业的敏感程度和数据保护,目标公司的历史包括是否经历了之前的漏洞或问题,目标的明确性现有的政策和程序,和其他因素,Dayanim说。

达亚尼姆表示:“一般而言，收购方的CSO/CISO只有在交易团队提出要求时才会直接参与进来。”“这种参与可能包括审查关键文件，与目标的对应人员进行谈话，或对目标进行更广泛的调查。”

西尔弗斯通说，高级安全管理人员参与并购交易的程度也取决于两家公司的相对规模。他表示:“首席财务官至少应该负责在整个过程中对企业进行咨询，并在向董事会、首席财务官或并购部门提交报告之前对报告进行审核。”

巴顿说，CSO和/或CISO从一开始就应该包括在任何并购活动中。他表示:“应指派首席安全官负责并购中所有与安全相关的问题。”这让他们为最终连接两家合并公司的网络做好准备。这些网络经常被连接，而没有考虑任何潜在的安全风险。”

相关视频:

这个故事，“合并产生更大的安全风险”最初发表于方案 。