本文来自微信公众号“安全牛”。
并购重组一直是现代企业提质增效、激发竞争活力的重要抓手。而在全球经济增长放缓,产业链供应不确定性加大的宏观经济形势下,企业并购交易也在向精细化、战略化方向转型,企业并购不再单纯追求生产规模的扩大,而是更注重标的企业的质量,以及与自身业务的有效融合性,希望通过并购真正达到强化核心竞争力的目标。
在并购重组活动中,并购双方需要交换大量的敏感数据和信息,包括财务记录、客户信息和知识产权。此外,不同类型的数字化业务系统也需要加以集成,这往往会给网络犯罪分子留下趁虚而入的机会。
在此背景下,做好网络安全防护工作对于确保企业机密数据的完整性至关重要,如果对网络风险缺少有效的预防和缓解措施,组织可能会失去合作伙伴和投资者的信任,从而危及并购交易顺利进行。
并购中的网络安全风险
据一项最新的调查数据显示,有71%的受访企业表示,会在并购活动中将网络安全性作为对标的企业的考量因素。因为所有的投资活动都会包含风险,对于并购交易的发起者,在表现出真正的并购意愿之前,必须积极主动地检查标的企业的网络安全立场。这种方法能够最大限度地了解与并购交易决策有关的网络风险情况,通过研究所有的网络安全变量,才能够确定它们是否在自己的风险承受能力范围内。
为了在一个日益数字化、网络化、网络攻击严重的世界中,保护自己的业务和商誉安全,企业必须从并购活动的开始就重点关注,而不是在并购活动完成之后才考虑。影响并购交易成败的网络安全风险主要包括以下方面:
1
监管合规风险
当前,网络安全监管要求趋严,调查标的企业应对安全风险的能力和自身合规性已成为并购过程中不可或缺的一环。如果在并购完成后才发现被投企业存在网络违规行为或信息泄露,将可能遭受政府的处罚,并造成品牌的损害、信任的丧失,将直接影响并购的价值,甚至会影响企业未来上市、出海或后续的投资活动。
2
网络攻击风险
越来越多社会工程和网络钓鱼攻击的出现,是由于组织的网络安全管理意识不强,内部人员可能遭受攻击,导致公司资产非法访问并引发知识产权流失和商业机密泄露等。对于并购标的公司,如果存在严重的网络安全漏洞,除了直接的经济损失之外,还会增加企业的网络攻击面,为后续的业务开展带来隐患。
3
隐私保护风险
目标企业无论有意或无意在业务运营中收集了个人信息,均应提高重视。如未对收集的外部用户信息进行有效保护,可能导致泄露事件,违规收集以及未能有效保护导致泄露,公司将面临行政处罚、负面舆情、商誉损失、法律诉讼等一系列严重问题。
并购交易网络安全核查清单
为了更好地保护数字资产安全,保障并购活动的顺利开展,企业可以在并购交易开展前,参照以下网络安全核查清单,进行相应的评估准备:
•尽早开展网络安全摸底调查。并购双方必须充分合作,以评估标的公司当前的网络安全态势,包括内部IT基础设施安全性、历史安全事件,以识别任何可能存在的风险和安全漏洞。在理想的情况下,并购双方还需要聘请第三方审计人员和网络安全专家,对并购交易中的网络安全风险进行评估。
•采用风险度量指标。在制定风险评估计划之前,并购双方应该就可接受的风险水平以及如何度量风险进行讨论并达成一致。标准化的风险度量指标可以确保风险保持在双方约定的水平内,便于并购完成后各级领导的沟通和协作。
•建立联合网络安全团队。应该建立一个联合的网络安全团队,汇集并购双方的安全运营专家,共同解决和管理潜在的网络风险。这将确保当前的安全实践能够在并购后的新组织中保持一致性。
•制定风险缓解策略。基于早期评估结果,联合网络安全团队就可以确定在双方合并之前必须实施哪些安全程序、流程和技术,以改善目标公司的网络安全态势。该计划还应清楚地概述双方未来在管理网络安全方面的角色和责任。
•为IT系统集成做好计划。在并购完成后的IT系统和网络整合时,实施有效的安全管控措施必不可少。这包括审查和改进当前的安全体系结构、实施安全策略以及测试可能的安全漏洞。集成过程中可能需要采用一些新的工具和技术来保护数据安全性。
•检查第三方风险。如果有第三方外部供应商也参与了并购过程,那么应该要求其详述如何管理和监控网络安全风险的流程。这项评估必须确保供应商的做法符合并购后公司的统一网络安全标准。
•建立统一的身份及访问管控机制。并购活动需要实施强有力的控制措施,确保只有经过授权的人员才能访问敏感信息、数字资产、数据或系统,并根据角色和职责,赋予不同的访问级别。这将有助于防止或尽量减少黑客攻击、内部数据泄露和人为性错误。
•制定事件应急响应计划。并购重组的过程会充满挑战,一旦发生数据泄露,组织要有一项准备充分的计划,才能够尽量减小对业务造成的破坏。备份关键数据库并将其存储在安全的地方,以确保数据在面临攻击时也可以被访问,这至关重要。事件响应计划应该通知到每一个利益相关的员工,这样在遭遇网络攻击期间,每个人都会知道应该怎么做。
•确保持续安全监控。网络安全的挑战并不会随着并购交易的结束而结束,并购后对并购双方来说可能会遭受攻击,所以有必要保持警惕。这就是为什么组织需要全天候监控系统和网络的机制,同时还需要实时威胁检测机制,以识别安全漏洞和潜在威胁。
•加强员工安全意识培养。要确保参与并购公司的所有员工都接受全面的网络安全最佳实践培训,这一点至关重要:每个人都可以通过留意威胁并及时报告来帮助加强安全。企业可以通过进行网络安全演习,让员工做好应对网络攻击的准备。