并購（M&A）對買方和被收購方都有好處，能夠產生新的協同效應，為雙方注入活力，同時創造一個更新、更大、更強的實體。但新成員的加入也可能會帶來一系列網絡安全風險。

并購團隊通常規模有限，專注于財務和業務運營，將IT和網絡安全置于次要地位。更有甚者，有關網絡連接、“合理化”IT和網絡安全平臺以及員工的假設，通常都是在對每個組織的實際職能和工作知之甚少的情況下做出的。

Gartner在《并購和盡職調查過程中的網絡安全》報告中指出，正在合并、被收購或進行任何其他并購活動的公司，必須能夠評估可能影響未來實體業務戰略和風險的安全需求。這將有助于買方對被收購公司安全狀況有更全面的了解（在交易前可能的范圍內），以確保沒有意外的沖擊，并制定出如何安全可靠地解決整合問題的計劃。

例如，2017年，在雅虎披露兩起大規模數據泄露事件，導致其30億用戶賬戶全部泄露后，Verizon從收購雅虎運營業務的交易中削減了3.5億美元，并最終以44.8億美元收購了該公司。

管理并購中網絡安全風險的五個策略

有效管理并購過程中的網絡安全風險有助于避免買家后悔，以下是幫助企業在并購過程中管理網絡安全風險的五種策略。

1. 要求對目標公司進行安全評估

在收購之前，收購方需要對目標公司進行當前或近期的評估——無論是具體的審計、安全態勢評估還是企業評估——并考慮評估是在什么時候進行的。

理想情況下，這份評估最好是在過去9個月內完成的。任何超過一年的信息都是無效的。將這些信息與現行的策略和程序以及最新的戰略目標進行比對。確定他們的策略、程序和流程是否與此一致？這些策略和程序是否得到了遵守？

除此之外，收購方還應獲得有關可疑和已確認的安全或合規事件、風險暴露、妥協、網絡相關保險活動等的任何信息。這應該包括法律上可能不要求披露的事情。例如，即使只是一起無需向政府機構報告的內部事件，也屬于需要提前了解的相關信息。

2. 確保目標公司在其軟件中設計了安全性

在針對技術公司的交易中，技術往往是目標產品或其重要組成部分，網絡安全因此也是一個特別關注的焦點。因此，收購企業必須確定目標公司是否在其軟件中設計了安全性。如果沒有，那么收購方無異于是在購買一堆沒有計劃的“廢品”，未來必然需要無止境的補救工作。

由于過多的安全問題將意味著遭受網絡攻擊的幾率會增加，收購方可能希望將部分資金托管起來，以應對這種可能發生的情況。如果軟件明顯不符合行業規范，那么進行估值談判也是很正常的。

收購方并不期望目標企業表現完美，但如果需要解決的問題超出預期，收購方可能會改變對交易的看法。盡職調查通常并不會扼殺收購交易，但它們可能會影響交易條款、時機或估值。最重要的是，知識就是力量，收購方需要充分利用盡職調查過程，盡可能多地了解目標公司的軟件安全預成交情況，這樣他們就可以保護自己免受風險影響。

3. 盡早讓網絡安全和IT團隊參與進來

在并購之前，網絡安全和IT團隊很少參與，目的是將并購消息封鎖在一個較小的圈子內。由此導致的結果可能是，發現戰略性業務收購或合并目標充斥著糟糕的IT和安全問題，而修復這些問題可能要花費數百萬美元。因此，盡早讓網絡安全和IT團隊參與進來并找出關鍵的弱點是很重要的。

尤其是在監管寬松的行業（例如制造業），被收購的公司往往缺乏基本的安全補丁和端點安全措施，更不用說更先進的控制措施，例如安全信息和事件管理。

企業減輕網絡安全風險的最佳方法之一是讓IT或安全部門成為審查收購的團隊的一部分，以避免日后出現代價高昂的意外。此外，IT團隊應該有一個結構化的流程，具體說明他們如何進行收購，其中包括進行早期評估，并且告知員工關于財務交易變化的問題應該聯系誰，以及在收購的第一天就更改所有關鍵系統的管理密碼。

組織在進行盡職調查時，通常沒有一個將安全性包括在內的流程。從一開始就將網絡安全團隊包括在這個過程中可以避免許多令人頭痛的問題。在最糟糕的情況下，安全團隊或首席信息官可能會很晚才加入，而收購或合并團隊會說，“我們很快就會完成這次并購或收購。下周就要開始了，你們能在我們完成并購之前完成安全審查嗎？”

然而，如果網絡安全團隊或首席信息安全官總能獲得話語權，而不是只在出現問題時才參與進來，那么他們就可以評估目標公司的安全性，并就潛在的網絡安全風險提出想法。

4. 了解數據環境的風險

如果被收購的目標公司從一開始就沒有進行盡職調查，那么他們可能不了解自己所處的數據環境類型。這些目標公司可能要處理個人信息和可識別信息，以及可能要處理有監管要求的醫療保健信息，例如HIPAA法規。他們可能要處理有監管要求的支付信息，例如PCI或者有地理監管要求的GDPR法規。所以，收購方可能沒有真正從信息的角度或環境的角度很好地理解所得到的信息。

不了解數據環境風險的問題在于，收購方不知道目標公司實施了哪些類型的安全控制，也不知道他們的環境是否完全安全，這同樣適用于正在合并的公司。這些公司必須嘗試至少對其正在處理的數據環境有一個很好的想法，并確定潛在的風險。對正在追求或打算合并的公司進行SWOT（優勢、劣勢、機會和威脅）分析，可以讓收購方很好地了解正在處理的信息和資產。

5. 對目標公司的員工進行技能分析

重要的是要記住，除了收購目標公司的技術之外，收購方也在收購這些公司的員工。收購方需要對即將入職的員工進行全面的技能分析，因為這樣就可以更充分底利用每個員工的技能，以便更好地服務組織。在整合過程中，雙方可能會存在知識和技能差距，因為可能需要適應一些新技術，而收購方可能沒有相關領域的專業知識。

在任何整合過程中，對于招聘目標公司的員工必須做大量的工作，這是在日常經營業務的基礎上進行的，這可能會導致他們的倦怠、士氣低落和人員流動。在整合過程中，可以說是風險最高的時期，因為既需要合并網絡和技術，還要對流程做出改變。在這段時間里，如果出現了人員流失，或者他們的技能難以勝任現在的工作，那么真正的漏洞和風險就會浮出水面。技能分析可以幫助確保組織擁有在整合過程中全力運作的員工隊伍。

結語

對于考慮收購的組織來說，重要的是要有一個更廣闊的視野，并制定一個基本并購協議，其中的流程涵蓋當前風險、潛在風險和收購后審核的所有方面。最后還應提交一份報告，其中包括最新的風險態勢和相關剩余風險，以及對風險偏好的評估。

換句話說，收購方就是要放眼全局，并系統地完成整個過程。而且最重要的是，需要在整個過程中持續監控和審計。此外，還需要遵循幾個關鍵步驟，而且在這些步驟中面臨的問題都應該得到解決，以降低風險。