サイバー リスクの旅、パート 3: 買収と売却を安全に行う

M&A Cyber Due Diligence news

トランザクションのバイ側またはセル側に存在するかどうかにかかわらず、回復力のあるデジタル資産 (特にネットワーク システムと顧客データ保護) は、すべてのビジネスの成功にとって最も重要です。データと情報は、多くの組織にとって流動的な商品であることが証明されていますが、組織を悪用しようとする攻撃者にとって活用のポイントでもあります。買収または売却しようとしている企業が、サイバー セキュリティの脅威に対してどれほど脆弱であるか、またどの程度防御できるかを理解することは、組織にとって「あるとよい」というよりも期待されることになりつつあります。現在のビジネス環境では、買収や合併による無機的な成長によって推進される組織戦略がより頻繁になっています。反対側にあるのは、さまざまなビジネスの優先順位を変更または追求するためのダイベストメントの機会を探している組織です。そこでは、買い手を引き付け、資産評価を最適化することに関して、売却用の資産を配置する能力がより競争力を増しています。

どのような買収についても、買収と場合によっては統合を決定する前に、対象組織の既存のサイバー セキュリティの慣行と運用を詳しく調べることが重要です。売却の準備をしている組織は、評価を最適化することを目指しており、サイバーの結果を積極的に提供することに傾倒し始めており、データ保護慣行を保護し、最低限の保証を提供する安全でセキュアな基準をどのように維持しているかを実証しています。これは、多くの業界でまだ十分に成熟した慣行ではありません。デュー ディリジェンスの実施が浅いために、買収企業が過大評価された買収を行ったり、知的財産 (IP) が侵害されたり、不適切なサイバー プラクティスに関連する法的紛争が迫り、顧客データに損害を与えたりした既知の事例や前例があります。

既存または開発中の M&A プラクティスにデュー デリジェンス プラクティスを組み込むことを検討している場合、注入の論理的なポイントとして、事前および事後フェーズに焦点を当てることをお勧めします。図 1 を参照してください。

M&A Cyber Due Diligence
図 1: M&A サイバー デュー デリジェンス

バイヤーの視点から

買収に関与する企業は、直面するリスクを認識する必要があります。組織は、対象企業の資産を取得するだけでなく、その弱点やリスクも取得している可能性があります。サイバー衛生が不十分な組織の買収を完了すると、買収した企業は侵害のリスクにさらされるか、それらのネットワークにすでに存在している可能性のある脅威アクターからさらに侵害される可能性があります。これらのリスクを最小限に抑えるために、私たちはしばしば企業と協力して、環境内で進行中または過去の攻撃者の活動を特定するように設計された侵害評価を通じて侵害の証拠を探します。

買収は、業界、地域、およびそれらの組織に関連付けられているパートナーに応じて、組織のリスク プロファイルを増加させる可能性があります。そのため、買収企業は脅威の状況について最新の理解を得る必要があります。技術的な統合が計画されていない単独の買収の場合でも、買収された企業が公表されたサイバーセキュリティ侵害の被害者である場合、評判の低下や企業の評価への悪影響が生じる可能性があります。

標的に不適切なサイバーセキュリティ慣行が存在することを発見した場合、組織は何をすべきか?合併後の統合計画またはロードマップを策定して、サイバー セキュリティ慣行を改善し、買収した企業のサイバー セキュリティ オペレーションを確実に成熟させてから、その企業をプライマリ ネットワークに統合することが重要です。これらの努力と関連する費用は、見込み客の購入価格または取引の質に織り込む必要があります。

見込み客を獲得する前にサイバーセキュリティ評価を実施すると、次のようなメリットが購入者にもたらされます。

  • 見込み顧客のセキュリティ プログラム内に存在する監視とガイダンスのレベルを確認する。セキュリティ プログラムの監督と指導が不十分であると、通常、体系的なサイバー セキュリティの問題が発生し、コストや財政的負債の増加につながる可能性があります。
  • 見込み客が現在侵害されているかどうかを理解する。アクティブな攻撃者がターゲットの環境内にいる場合、機密データまたは知的財産がすでに盗まれている可能性があり、それによってターゲットの価値に影響を与えます。買い手が取引を進めることを決定した場合、非常に費用がかかり、会社の評判を損なう可能性がある副産物に対処する準備も整えておく必要があります。
  • 見込み顧客のセキュリティ体制とインフラストラクチャを改善するためのコストと労力を見積もることができる。コストが高い場合、買収の条件に影響を与える可能性があります。評価中に提供される的を絞った実用的な洞察は、従来のデュー デリジェンスでは買主が通常対象としないものです。
  • インサイダーの脅威の可能性を明らかにし、そのような脅威を管理するための既存の緩和制御。買収された企業の従業員が自分の仕事に不安を抱いている場合、インサイダーが悪意のある人物と協力する、または単独で行動するという脅威が高まります。組織は、そのような悪意のあるアクティビティを検出するために監視を導入する必要があるかどうかを確認する必要があります。
  • 買収される見込み客/会社が、買収者よりも成熟したセキュリティ プログラムを持っているという認識。このような状況が発生した場合、統合されたセキュリティ プログラムの将来の状態で、両社をどのように調整するのが最善かについての決定が必要になります。

売り手の視点から

評価と組織の魅力の実証に関して言えば、サイバーセキュリティ評価からの最近のレポートを潜在的な購入者に紹介することは大いに役立ちます.これは、独立した買収または合併のいずれかについて、検討されている資産の健全性に関する前向きな考え方を買収者に提供します。買収前にサイバーセキュリティ評価を実施すると、売り手に次のようなメリットがあります。

  • 買い手が独自のデューデリジェンスを実施する前に、課題を特定して是正すること。ロードマップに沿った現在の修復作業は、自信を持って購入者に提供できます。これは、販売者がサイバー セキュリティ体制を改善するための積極的な取り組みを示していることを示しています。
  • 主要なセキュリティ関連の第三者契約、および主要なデジタル クラウン ジュエルを保護するためのこれらの第三者の責任について、購入者に詳細を提供します。
  • サードパーティの承認を通じて提供覚書を改善します (つまり、「当社のサイバーセキュリティ体制は…によって低リスクと評価されています」)。
  • 評価計算の信頼性が高まります。

脅威アクターは止まらず、サイバー リスクは増加し続けているため、組織は M&A プロセスのすべての段階で、サイバー セキュリティについて慎重かつ積極的に対処するしかありません。当社の包括的なアプローチにより取引の計画、実行、および買収後のフェーズを強化するのに役立ちます。買収前、買収中、そして買収後に、勤勉であることは、買収者と売り手の両方の責任です。取引の結果を脅かし、両当事者の価値に影響を与える可能性のあるあらゆるリスクに備えることが、これまで以上に重要です。

参考: https ://www.mandiant.com/resources/blog/cyber-risk-journey-three

Comments

タイトルとURLをコピーしました