優れたサイバーセキュリティは、合併や買収において重要な役割を果たします。 2018 年のマリオットの大規模なデータ スキャンダルに関しては、事前にセキュリティに十分な注意が向けられていませんでした。
合併と買収 (M&A) は、企業が急速な成長を達成したり、競争上の優位性を獲得したりするための重要な機会を提供します。 これらは、リソースのバンドルから、製品とサービスのポートフォリオの多様化、新しい市場の開拓、新しい技術や専門知識の獲得にまで及びます。
すべての M&A 取引には、複雑で詳細なデューデリジェンス、つまり会社全体の慎重な調査が含まれます。 この調査結果に基づいて、既存のビジネス構造との合併がどれほど複雑になるかを見積もることができます。 統合プロセスがスムーズに実行されるほど、トランザクションの最終的な成功は大きくなります。 従来、M&A レビューは、主に財務、法律、事業運営、および人事の分野に焦点を当ててきました。 ビジネスプロセスのデジタル化が進む中、サイバーセキュリティの分野でもデューデリジェンスを実施する必要があります。
2018年のマリオットのデータスキャンダル
この点に関する警鐘は、2018 年の Marriott のデータ スキャンダルです。これは、失敗したサイバーセキュリティ デュー デリジェンスの潜在的に深刻な影響を強力に示しています。 2016 年にマリオットがスターウッド ホテル & リゾートを買収したことで、世界最大のホテル チェーンの 5.500 つが誕生しました。 マリオットとスターウッドの顧客向けのオファーは、100 か国の 2014 を超えるホテルにまで拡大しました。 しかし、当時マリオットは、スターウッドの IT システムが 2018 年にすでに侵害されていたことを知りませんでした。 339 年 XNUMX 月になって初めて、見知らぬ人が影響を受けたスターウッド予約データベースを介して世界中の約 XNUMX 億 XNUMX 万人のゲストの個人データに何年にもわたってアクセスしていたことを発見しました。
英国のデータ保護監督機関である ICO は調査報告書の中で、マリオットがスターウッドを購入する際に十分なデューデリジェンスを行っておらず、システムを保護するためにもっと多くのことを行うべきだったことを発見しました。 99 年前、彼女はまた、GDPR に違反したとしてホテル チェーンに XNUMX 万ポンドの罰金を科す意向を発表しました。
デジタルデューデリジェンスの必要性
今日、あらゆる規模の企業が、クラウドベースのツール、IoT、およびデジタル接続サービスにますます依存して、顧客にサービスを提供し、ビジネス プロセスを実行しています。 その結果、接続性が向上すると、サイバー犯罪者が悪意のある攻撃を開始したり、データを盗んだり、事業運営を妨害しようとしたりする機会が増えます。 したがって、詳細なサイバーセキュリティの監査と評価を実施することは、契約違反となる可能性のある重大な脆弱性を発見するために不可欠です。 データから直接開始し、これに基づいて、関連する構造とプロセスを評価するアプローチを使用することをお勧めします。
1.自社システムの知識
第一に、M&A 活動に関与する組織は、他の組織をしっかりと評価する前に、自社の IT システムについて完全な透明性を確保する必要があります。 このようにして、両方の構造に対して包括的なセキュリティ ガイドラインを作成できます。 これは、プラットフォーム、ソリューション、およびサービスが統合されたときに新しい脆弱性の作成を排除する統合戦略の基礎を形成します。 安全な IT エコシステムには、詳細なセキュリティ ポリシーの適用、データ暗号化、リアルタイムのデータ損失保護、ユーザー アクセス制御、および継続的な監視が含まれます。
2. データストックの目録
どのデータが収集され、どのように、どこに保存され、破棄されるまでどのくらいの期間保持されるかを理解するには、すべてのデータを把握することが必要な最初のステップです。 これにより、特に国際企業の場合、現地で適用される法的要件と内部規制についての洞察が得られます。 データ損失防止 (DLP) 機能は、危険にさらされている可能性のある機密データや規制データのパターンを特定するのに役立ちます。 同様に役立つのは、すべてのユーザー、アプリケーション、およびファイルのアクティビティを詳細に記録するアクティビティ ログです。
未公開のデータ侵害の可能性を突き止めるために、すべての内部および外部のサイバーセキュリティ監査および評価を参照する必要があります。 それらは、既存のセキュリティ対策の潜在的な弱点を明らかにし、リスクの可能性を評価するのに役立ちます。
3. 統合的なセキュリティ戦略の開発
保護する必要があるデータとその保存場所を決定したら、次の課題は、データにアクセスできるユーザー、そのデータで何が起こっているか、データにアクセスするためにどのデバイスが使用されているかを理解することです。 効果的なサイバーセキュリティは、アプリケーション、デバイス、場所を問わず、すべての機密データを保護できるかどうかにかかっています。 これに関連して、すべてのエンドポイント、Web 宛先、デバイス、およびアプリケーションの適切な可視性と、許可されたユーザーのみが機密データにアクセスできるようにするアクセス ポリシーが必要になります。
企業内のすべての IT システムとネットワーク エンドポイントの詳細な評価は、両方のユニットが IT システムとプロセスをどのように組み合わせ、統合後のスムーズなビジネス運用を確保できるかを計画できるようにするために必要です。 たとえば、セキュリティ アーキテクチャの既存の脆弱性を修復し、統合されたインフラストラクチャをリスクに対して回復力のあるものにするために、どの程度の労力が必要かを判断する必要があります。
成功要因としての信頼できる IT 管理
よく組織化された IT 管理は、最終的に関係者全員のデュー デリジェンス手順を簡素化するため、起業家活動の成功要因となります。 セキュリティとデータ保護のための適切な評価基準を開発できるようにするためには、企業が独自のシステムでも高い基準を満たすことが重要な前提条件です。 そうしないと、彼ら自身の省略がさらに大きな構造に統合され、深刻な損害を引き起こす危険性があります。 したがって、確実に管理された IT ランドスケープは、拡大を望む企業と適切な買い手を引き付けたい企業の両方にとって、すべての企業の利益になります。
[スターボックス=4]