在选举安全,企业数据泄露和围绕数据隐私的持续讨论之间,网络安全是所有行业的首选。今天的企业对网络事件的财务和声誉影响的范围无法更加清晰。最近的一项研究发现,在2018年期间,数据泄露的平均总成本增加了6.4%,平均数据泄露中丢失或被盗的数据量增加了2.2%。
但网络安全不仅是一个内部问题。投资者越来越担心投资一个后来经历代价高昂的违规行为的组织,或者通过合并或收购继承组织的安全漏洞。事实上,网络安全现在对交易构成了重大威胁。最近的研究通过ForeScout的技术进行发现,IT和商业决策者的53%报告说,他们发现的组织的材料的网络安全事件,冒着潜在的并购交易。美国证券交易委员会还强调了投资者持续面临的网络安全风险。
也许最值得注意的网络安全对投资影响的一个例子是万豪/喜达屋黑客,它于2018年公布。在万豪和喜达屋甚至开始围绕收购进行谈判之前,黑客窃取了大约5亿喜达屋客户记录,包括支付信息。万豪没有进行彻底的尽职调查,无意中继承了喜达屋的漏洞。当事件在2018年曝光时,结果是对万豪的负面压力导致声誉受损,新的法律责任和股价下跌。
投资者有5个网络漏洞
各地的投资者必须开始将网络安全尽职调查纳入其投资决策过程,无论他们是具有长期视野的大型机构投资者,私募股权公司是否拥有企业的所有权,或者是提供早期融资的风险投资公司。此外,一些投资者会发现他们希望在投资的整个生命周期内持续监控投资的网络风险。
由于评估网络风险仍然是一个相对较新的概念,因此组织应该考虑一些最佳实践,以及要避免的常见错误。我们来探讨下面的几个方面。
1.未能确定尽职调查责任
在投资的勤奋阶段,可能会混淆哪一方负责表面和减轻潜在的安全问题。让我们明确一点 - 责任在于投资者,投资者必须进行强有力的努力来验证和验证潜在投资的主张。同样清楚的是,投资目标应该是流程这一阶段的积极参与者,提供有关组织安全绩效的支持信息。通过这样做,目标可以展示组织对管理企业风险的承诺,这应该提高企业价值。
2.没有问正确的问题
多年来,网络调查包含一个问题:“你有没有遇到过违规行为?”
对于大多数目标而言,该问题的答案是响亮的“不”,无论该陈述的真实性如何。投资者需要超越这个简单的问题,例如,探索目标的数据保护战略,它为降低风险,执行领导和员工培训所采用的技术类型,以获得更广泛的理解。
3.未开发的数据
虽然提出更多问题很重要,但投资者还必须寻求定量,客观的安全绩效信息。从历史上看,尽职调查过程在很大程度上依赖于基于对高管和董事会成员的书面或面对面访谈的定性数据,这些数据经常产生主观的,情绪驱动的结果。在评估组织可能通过投资继承的潜在风险时,最好避免直觉并关注事实。虽然直接听取高管的意见是有价值的,但定性分析应该在整个期间内对安全成功和挑战进行客观,直接的衡量。安全评级在此提供重要的相关见解。
4.安全监控
网络安全是动态的,事情可以迅速改变。投资者通常在关系开始时评估投资的网络安全环境状况,并且在整个投资期间未能监控环境。如果未能持续监控安全环境,则会导致对风险和潜在威胁缺乏可见性。正如销售团队每季度报告潜在客户和收入一样,网络安全团队应该持续监控并向有关各方报告组织安全战略的状态。
5.缺乏业务背景
通常,那些推动尽职调查过程的人不是网络安全专业人员,这意味着他们需要将网络安全指标与潜在的业务影响联系起来。例如,分享在数据泄露中暴露的100万条记录是不够的;投资者还需要了解业务所带来的损失。投资者应该确保在业务影响的背景下提出构建这些指标的问题,例如“这将如何影响股票价格,收入和我们品牌的声誉?”
对于任何一个组织来说,投资都是一个巨大的飞跃,可以看到巨大的回报或巨大的损失,对网络风险的评估也是尽职调查的一部分。投资者及其潜在投资应共同努力,以简化沟通,更好地定义重大风险和违规行为,并利用客观,可量化的数据来了解目标组织的网络安全态势的风险。通过平衡尽职调查流程并认识到风险对声誉,收入及其他方面的重大影响,投资者可以更好地确定他们的目标是低风险,网络健全的投资,还是可能是最好的走开。
2018年,数据泄露的平均总成本增加了6.4%,平均黑客中丢失或被盗的数据量增加了2.2%
53%的IT和业务决策者报告称,他们的组织发现了一起重大网络安全事件,这可能导致潜在的并购交易风险。
万豪/喜达屋黑客是一个值得注意的例子,但每项投资都面临风险。
