Риски безопасности в процессах слияния и поглощения
Исследования и опросы бизнесменов неумолимо приводят к выводу, что сделки по слиянию и присоединению (M&A ) несут серьезные риски для финансов, корпоративной культуры работающего персонала, информационных интегрированных систем и прочих факторов бизнеса. В списке реальных угроз риски для физической охраны и кибербезопасности занимают центральное место, но зачастую игнорируются при обсуждении и совершении сделок по слиянию.
Последний отчет консалтинговой компании West Monroe Partners выявил острый дефицит квалифицированных специалистов по кибербезопасности, востребованных в процессе слияний. Более 40% опрошенных в США предпринимателей признались, что обнаружили серьезные проблемы с кибербезопасностью уже после завершения сделки. Каждый третий бизнесмен объяснил возникновение такой проблемы именно нехваткой или слабой квалификацией специалистов по информационной защите, участвовавших в процессе M&A.
Когда компания изучает возможности поглотить другую организацию, тщательный анализ состояния структуры кибербезопасности (или отсутствия таковой) последней имеет колоссальное значение с точки зрения цены всего вопроса, нередко предопределяет решение, а стоит ли вообще ввязываться в это дело.
Поэтому, настаивают эксперты, прежде чем принимать решение по M&A, менеджеры и владельцы бизнесы обязаны провести глубокое исследование не только очевидных инцидентов с утечками информации у объекта предполагаемой сделки, но и в целом слабостей и уязвимостей систем безопасности, о которых менеджмент предположительно поглощаемой организации, возможно, не имеет ясного представления.
Кроме взаимного предоставления документов и устных заявлений о состоянии информационной защиты (что, кстати, не всегда происходит!), партнеры по M&A должны тщательно разобраться в вопросах совместимости их систем безопасности между собой и относительно бизнес-планов. Покупатель обязан заблаговременно, до заключения сделки, внимательно изучить все инструкции, политики и процедуры, прописанные в документах поглощаемой фирмы, чтобы понять степень надежности действующих там программ безопасности. Речь идет фактически об аудите статуса безопасности партнера, его соответствия инструкциям и в целом требованиям времени и особенностям бизнеса.
Предваряющая сделку оценка может проводиться как собственными силами покупателя, так и с привлечением независимых специалистов со стороны.
Дэвид Бартон, директор службы информзащиты компании Forcepoint, полагает, что проверка должна быть нацелена на оценку уровня защищенности таких корпоративных «жемчужин» как интеллектуальная собственность, финансовые данные, клиентские списки и прочая чувствительная информация с грифом «для служебного пользования» (Chief Security Officer, September 13, 2016).
Другой вопрос для изучения – грамотность персонала в области кибербезопасности, уровень их подготовки для противодействия информационным утечкам.
Еще одна задача в ходе M&A: идентификация различий в системах безопасности обеих компаний, разработка и осуществление шагов по их выравниванию, устранению уязвимостей в структурах информационной защиты.
Наконец, нельзя забывать о наличии квалифицированных специалистов. Поздно их нанимать, когда сделка по M&A уже предрешена. Вовлекать их в процесс необходимо еще на самом раннем этапе. Между тем во множестве случаев корпоративные службы безопасности узнают о переговорах буквально накануне подписания документов о слиянии. Владельцы склонны объяснять такой подход «необходимостью соблюдения полной секретности», что звучит странно по отношению к функции, номинально ответственной как раз за обеспечение секретности.
Эксперты едины во мнении, что руководитель службы безопасности или/и главный специалист по информационной защите должны вовлекаться в процесс M&A с самого начала. В противном случае существует опасность проглядеть реальные риски, способные поставить под сомнение значение всей сделки в целом.
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|