Düzenleyiciler yeni kurallar önermeye ve yaptırımların genişletilmesi hakkında kamuoyu önünde konuşmaya devam ettikçe, birleşme ve devralmalarla ilgili riskler artıyor. Tatmin edici durum tespiti eksikliği, genellikle yalnızca yeni bir varlığın dahil edilmesine değil, aynı zamanda eski güvenlik risklerine ve devam eden güvenlik olaylarına neden olur. Bu sadece varlıkların daha yavaş entegrasyonuna neden olmakla kalmaz, aynı zamanda birleşme ve satın alma ile ilişkili maliyetleri artırır ve beklenen kazançları azaltma potansiyeline sahiptir. Ek olarak, politika ve teknik azaltımlar düzenleyicilerin görev alanının daha büyük bir parçası haline geldiğinden, bunun düzenleyici yaptırım için yeni bir yol olması muhtemeldir.
Tıpkı geleneksel durum tespitinde olduğu gibi, tüm varlıklar aynı düzeyde incelemeyi hak etmez. Siber durum tespiti gerekliliklerini ve bunların anlaşmalara dayattığı ödünleşimi, hem yürütme süresi hem de hedef şirket veya varlık ile sürtüşme açısından değerlendirmeye yönelik birkaç husus vardır.
Çalıştırılması en az müdahaleci ve en kolay kontrol türü, harici bir risk puanıdır. Bu tür bir değerlendirme, hedef şirketin kamuya açıklanması hakkında bir temel bilgi oluşturur. Açık bağlantı noktaları, şifreleme sertifikaları ve yanlış yapılandırılmış bulut varlıkları gibi verilere bakıldığında, şirket kaynaklarının harici olarak taranması, şirketin şu anda nasıl çalıştığına dair değerli ve müdahaleci olmayan bir anlayış sağlayabilir.
Bununla birlikte, bir şirketin güvenlik durumunu değerlendirirken bu yöntem yüksek hata oranlarına eğilimlidir, çünkü bu yöntemlerle toplanabilecek verilerin çoğu, bu tarama tekniklerinde kolayca tespit edilemeyen teknik hafifletmelere sahip olabilir. Ek olarak, bu tür analiz için kullanılan veri kümeleri genellikle hatalıdır, çünkü IP adresleri ve teknik varlıklar genellikle sahiplerini değiştirdiklerinde güncellenmezler ve bu da diğer şirketin varlıkları üzerinden puanların hesaplanmasına neden olur.
Riski Daha Derine Kazmak
Bir sonraki titizlik düzeyi, tarama yeteneklerinin üzerine inşa edilir ve şirket, kilit kişiler ve mevcut sızdırılmış veya hedeflenen veriler hakkında araştırma yapar. Hedef şirket veya varlık ile herhangi bir doğrudan etkileşim olmaksızın yürütülen bu faaliyet, ağlarının istismar edilmesini veya devam eden hedefleme ve istismarın mevcut kanıtlarını mümkün kılacak verileri bulmaya odaklanır. Bu düzeyde bir inceleme, bilgisayar korsanları tarafından şirketin sistemlerine yetkisiz erişim sağlamak için kullanılabilecek bilgileri ortaya çıkarmakla kalmaz, aynı zamanda şirketin güvenlik kültürü hakkında fikir verir. Mühendisler, yardım isterken ne sıklıkla teknik formlar hakkında hassas bilgiler yayınlar? Çalışanlar benzer forumlarda başkalarına yardım ederken ne kadar bilgi paylaşıyor? VirusTotal’a veya diğer sitelere yanlışlıkla kaç tescilli belge yüklendi?
Bunların hepsi güvenlik kültürüne hitap ediyor ve dahili olarak hangi sorunların var olabileceğine dair bir değerlendirmeye izin veriyor. Bu kültürü ve zaten kamuya açık olan zayıf noktaları anlamak, çalışmanın geri kalanında daha bilinçli sorulara olanak tanır ve ayrıca bir iç güvenlik incelemesini etkinleştirmek için kullanılabilir.
En müdahaleci özen, mevcut kontrollerin, politikaların ve tespitlerin denetlenmesidir. Bu, en yüksek düzeyde güvence sağlar, ancak hassas teknik bilgilere üçüncü tarafların erişimini gerektirdiğinden en fazla sürtüşmeye de neden olabilir. Ancak bu, bir şirketin satın alma sırasında üstlendiği risk düzeyi hakkında güvence kazanmanın en iyi yoludur. Bir şirketin şu anda ne kadar güvenli olduğu ve devam eden herhangi bir uzlaşma belirtisi olup olmadığı yalnızca dahili verilerle yapılabilir.
Birleşme ve Satın Alma Sırasında Siber Özenliliği Neden Arttırmalısınız?
Bu analizle ilgili bulgular, anlaşma büyüklüğünü, beklenen getirileri ve entegrasyon planlarını önemli ölçüde etkileyebilir. BT varlıklarını birleştirmeden önce sorunları bulmak, bir anlaşma yapıldıktan sonra uzun vadeli tasarruflar sağlayacaktır, ancak kısa vadeli hedefleri kesintiye uğratabilir. Satın alanın neyle karşı karşıya kalacağı konusunda sağlam bir kavrayışa sahip olmak, daha iyi kazanç projeksiyonları ve genel olarak daha iyi bir anlaşma değerlemesi sağlar.
Ek olarak, düzenleyiciler siber güvenliğe odaklanmaya devam ettikçe, artan inceleme ve olası para cezaları olasılığı yalnızca artıyor. Birleşme ve satın alma süreci sırasında bir uzlaşmaya varma veya güvenlik ve mahremiyet endişelerini göz ardı etme kültürünün devam etmesine izin verme riskinin, artan bir şekilde düzenleyici eylemle sonuçlanması muhtemeldir ve yeni varlığı, beklenen getiriler gerçekleştirilmeden önce potansiyel bir yükümlülük haline getirir.
Endüstriler dijital dönüşüme doğru ilerlemeye devam ederken, bu önemli iş varlıklarının etrafındaki güvenlik ve kültür, değerlerini zayıflatabilir veya güçlendirebilir. Siber titizlik hızla gerekli hale geliyor. Özen düzeyi etrafında sürdürülebilir ve nesnel bir çerçeve oluşturmak, özel sektör daha düzenli ve teknolojiye bağımlı hale geldikçe daha değerli hale gelecektir.