Надійна кібербезпека відіграє важливу роль у злиттях і поглинаннях. Коли справа дійшла до великого скандалу з даними Marriott у 2018 році, безпеці заздалегідь не приділялося достатньо уваги.
Злиття та поглинання (M&A) надають компаніям значні можливості для досягнення швидкого зростання або отримання конкурентної переваги. Вони варіюються від об’єднання ресурсів до диверсифікації портфоліо продуктів і послуг, освоєння нових ринків і придбання нових технологій або спеціальних знань.
Кожна транзакція злиття та поглинання передбачає комплексний і детальний due diligence, тобто ретельний аналіз всієї компанії. Виходячи з цього, можна оцінити, наскільки складним буде злиття з існуючими бізнес-структурами. Чим плавніше відбуваються процеси інтеграції, тим більший остаточний успіх транзакції. Традиційно огляд M&A зосереджувався на сферах фінансів, права, бізнес-операцій та людських ресурсів. З огляду на те, що бізнес-процеси стають все більш цифровими, належну перевірку слід також проводити в сфері кібербезпеки.
Скандал із даними Marriott 2018 року
Тривожним дзвіночком у цьому відношенні є скандал із даними Marriott у 2018 році, який є яскравою ілюстрацією потенційно серйозних наслідків невдалої належної перевірки кібербезпеки. Придбання Marriott Starwood Hotels & Resorts у 2016 році створило одну з найбільших готельних мереж у світі. Пропозиція для клієнтів Marriott і Starwood зросла до понад 5.500 готелів у 100 країнах. Однак на той момент Marriott не знав, що ІТ-системи Starwood вже були зламані в 2014 році. Лише в листопаді 2018 року компанія Marriott нарешті виявила, що незнайомці протягом багатьох років отримували доступ до особистих даних близько 339 мільйонів гостей у всьому світі через базу даних бронювання Starwood.
У своєму звіті про розслідування британський наглядовий орган із захисту даних ICO встановив, що компанія Marriott не виявила достатньої належної обачності під час придбання Starwood і повинна була зробити більше для захисту своїх систем. Рік тому вона також заявила про намір оштрафувати мережу готелів на 99 мільйонів фунтів стерлінгів за порушення GDPR.
Потреба в цифровій належній перевірці
Сьогодні компанії будь-якого розміру все більше покладаються на хмарні інструменти, Інтернет речей і служби цифрового підключення, щоб обслуговувати своїх клієнтів і запускати бізнес-процеси. Як наслідок, розширене підключення відкриває більше можливостей для кіберзлочинців для здійснення зловмисних атак, крадіжки даних або спроб порушити бізнес-операції. Тому проведення детального аудиту та оцінки кібербезпеки має вирішальне значення для виявлення критичних вразливостей, які можуть виявитися порушниками угоди. Доцільно використовувати підхід, який починається безпосередньо з даних і на їх основі оцінює пов’язані структури та процеси:
1. Знання власних систем
По-перше, організації, які займаються M&A, потребують повної прозорості щодо своїх власних ІТ-систем, перш ніж вони зможуть зробити надійну оцінку інших. Таким чином можна створити комплексні вказівки щодо безпеки для обох структур. Це формує основу для стратегії інтеграції, яка усуває створення нових вразливостей, коли платформи, рішення та служби об’єднуються разом. Безпечна ІТ-екосистема включає детальне застосування політики безпеки, шифрування даних, захист від втрати даних у реальному часі, контроль доступу користувачів і постійний моніторинг.
2. Інвентаризація запасів даних
Інвентаризація всіх даних є необхідним першим кроком до розуміння того, які дані збираються, як і де вони зберігаються, а також як довго вони зберігаються, перш ніж їх утилізують. Це дає уявлення про місцеві юридичні вимоги та внутрішні правила, особливо для міжнародних компаній. Можливості запобігання втраті даних (DLP) допомагають ідентифікувати шаблони конфіденційних і нормативних даних, які потенційно знаходяться під загрозою. Не менш корисними є журнали активності, які детально записують усі дії користувачів, програм і файлів.
Слід проводити консультації з усіма внутрішніми та зовнішніми аудитами й оцінками кібербезпеки, щоб зрозуміти суть можливих нерозкритих порушень даних. Вони можуть пролити світло на можливі недоліки існуючих заходів безпеки і таким чином допомогти оцінити потенціал ризику.
3. Розробка інтегративної стратегії безпеки
Після визначення того, які дані потрібно захистити та де вони зберігаються, наступним завданням є зрозуміти, хто має доступ до даних, що з ними відбувається та які пристрої використовуються для доступу до них. Ефективна кібербезпека залежить від здатності захистити всі конфіденційні дані в будь-якій програмі, на будь-якому пристрої та будь-де. З цим пов’язана відповідна видимість усіх кінцевих точок, веб-адрес, пристроїв і програм, а також політики доступу, які гарантують доступ до конфіденційних даних лише авторизованим користувачам.
Детальна оцінка всіх ІТ-систем і кінцевих точок мережі в компанії необхідна для того, щоб мати можливість спланувати, як обидва підрозділи можуть поєднати свої ІТ-системи та процеси та забезпечити безперебійну роботу бізнесу після інтеграції. Наприклад, необхідно визначити, скільки зусиль потрібно докласти, щоб усунути наявні вразливості в архітектурі безпеки та зробити об’єднану інфраструктуру стійкою до ризиків.
Надійне управління ІТ як фактор успіху
Добре організоване управління ІТ зрештою спрощує процедури належної перевірки для всіх учасників і, отже, є фактором успіху для підприємницької діяльності. Для того, щоб мати можливість розробити відповідні стандарти оцінки безпеки та захисту даних, важливою передумовою є те, що компанії також відповідають високим стандартам у своїх власних системах. Інакше існує ризик того, що вони інтегрують свої власні недоліки в ще більші структури та завдадуть серйозної шкоди. Таким чином, надійно керований ІТ-ландшафт зацікавлений у всіх компаніях - як тих, хто хоче розширюватися, так і тих, хто хоче залучити відповідних покупців.
[starboxid=4]