YORUM
Birleşme ve satın alma (M&A) faaliyeti, ABD’de %130 artışla 288 milyar dolara ulaşarak çok beklenen bir geri dönüş yapıyor. Dünya genelinde birleşme ve satın almalar yüzde 56 artışla 453 milyar dolara ulaştı. Dealogic’ten veriler.
İki şirket birleştiğinde aralarında mali kayıtlar, müşteri bilgileri ve fikri mülkiyet de dahil olmak üzere çok büyük miktarda hassas veri ve bilgi alışverişi yapılır. Ek olarak, farklı yazılım ve donanım türlerinin sıklıkla entegre edilmesi gerekir; bu da siber suçluların yararlanabileceği güvenlik açıkları oluşturabilir.
Siber güvenlik, gizli verilerin bütünlüğünü korumak ve muhafaza etmek için kritik öneme sahiptir ve bir birleşme ve satın alma anlaşmasının yapılmasına veya bozulmasına neden olabilir. Kariyerim boyunca bankacılık ve finanstan sağlık hizmetlerine, teknolojiye ve hükümete kadar çok çeşitli sektörlerde çalışmış biri olarak, bu gelişmelere ilk elden tanık oldum. Birleşme ve Devralmaların yönetimiyle ilgili siber güvenlik zorlukları. Katıldığım her birleşme ve satın alma işlemi, başlangıçta öngörüldüğünden çok daha karmaşıktı ve tamamlanması beklenenden daha uzun sürdü. Bu, özellikle teknoloji yığınının entegrasyonu söz konusu olduğunda doğrudur.
Birleşme ve Satın Almalarda Siber Güvenliği Anlamak
Siber güvenlik duruşu zayıf olan bir şirketle birleşmek veya onu satın almak, siber suçluların saldırı başlatmasını çok daha kolay hale getirir. Veri ihlali, yalnızca yasal ücretler ve mali cezalar dahil olmak üzere ciddi mali sonuçlar doğurmakla kalmaz, aynı zamanda bir kuruluşun itibarına da son derece zarar verebilir.
Siber risklerin etkili bir şekilde önlenmesi ve hafifletilmesi olmadan kuruluşlar müşterilerin, iş ortaklarının ve yatırımcıların güvenini kaybedebilir ve bu da anlaşmayı tehlikeye atabilir. Bu nedenle siber güvenlik, birleşme ve satın alma yaşam döngüsünün başlangıcından itibaren önemli bir husus olmalıdır, gerçekleştikten sonra değil. Düzenleyiciler ayrıca birleşme ve satın alma anlaşmalarının denetimini artırıyor ve uyumsuzluk durumunda ciddi para cezaları kesiyor. Pek çok eyalet ve ülkede, AB’nin Genel Veri Koruma Yönetmeliği (GDPR) gibi kurallar, kişisel verileri kuruluşlar arasında aktarıldığında korur.
Birleşme ve Satın Alma Siber Güvenlik Kontrol Listesi
Risk, yönetişim ve siber güvenlik alanındaki 25 yılı aşkın deneyimimden yararlanarak kuruluşların birleşme ve satın alma öncesinde, sırasında ve sonrasında dijital varlıklarını korumalarına yardımcı olmak için bu kontrol listesini hazırladım:
-
Erken durum tespiti yapın. Her iki kuruluş da hedef şirketin mevcut siber güvenlik uygulamalarını, dahili BT altyapısını ve olay geçmişini değerlendirmek ve herhangi bir zayıf noktayı ve güvenlik açığını belirlemek için işbirliği yapmalıdır. Hatta birleşme ve satın alma işlemlerinde uzmanlaşmış dış denetçileri ve siber güvenlik uzmanlarını da getirmek isteyebilirler.
-
Risk ölçümlerini benimseyin. Bir plan yapmadan önce her iki kuruluşun da kabul edilen risk düzeyi ve bu riskin nasıl ölçüleceği konusunda anlaşması gerekir. Standartlaştırılmış risk ölçümleri, riskin kararlaştırılan düzeylerde kalmasını sağlayarak, yeni organizasyondaki liderliğin tüm seviyelerinde iletişimi ve işbirliğini kolaylaştırır.
-
Bir siber güvenlik ekibi kurun. Potansiyel siber risklerin ele alınması ve yönetilmesi konusunda birlikte çalışmak üzere her iki kurumdan uzmanları bir araya getiren özel bir ekip oluşturun. Bu, güvenlik uygulamalarının yeni organizasyonun tamamında tutarlı olmasını sağlayacaktır.
-
Bir risk azaltma stratejisi geliştirin. Siber güvenlik ekibi, erken değerlendirmeye dayanarak, kuruluşlar birleşmeden önce hedef şirketin siber güvenlik duruşunu geliştirmek için hangi prosedürlerin, süreçlerin ve teknolojilerin uygulanması gerektiğini belirleyebilir. Bu plan aynı zamanda şirket politikalarını ve her iki kuruluşun siber güvenliği yönetmeye yönelik rol ve sorumluluklarını da açıkça özetlemelidir.
-
BT entegrasyonunu planlayın. BT sistemlerini ve ağlarını entegre ederken güvenlik önlemleri önemlidir. Bunlar arasında mevcut güvenlik mimarisinin gözden geçirilmesi ve geliştirilmesi, güvenlik politikalarının uygulanması ve güvenlik açıklarının test edilmesi yer alır. Entegrasyon süreci sırasında verileri korumak için yeni araç ve teknolojilerin benimsenmesi gerekli olabilir.
-
Üçüncü taraf risklerini kontrol edin. Birleşme ve satın alma sürecine harici tedarikçiler katılıyorsa, onlardan siber güvenlik risklerini yönetme ve izlemeye ilişkin süreçlerini ayrıntılı olarak açıklamalarını isteyin. Değerlendirme, satıcı uygulamalarının hedef şirketin siber güvenlik standartlarıyla uyumlu olmasını sağlamalıdır.
-
Kimlik oluşturun ve yönetişim ve yönetime erişin. Rol ve sorumluluklara bağlı olarak farklı erişim düzeyleriyle yalnızca yetkili kişilerin hassas bilgilere, dijital varlıklara, verilere veya sistemlere erişebilmesi için güçlü kontroller uygulayın. Bu, bilgisayar korsanlığını, dolandırıcılığı, dahili veri ihlallerini ve insan hatasını önlemeye veya en aza indirmeye yardımcı olacaktır.
-
Bir olay müdahale planı oluşturun. Bir veri ihlali meydana gelirse kuruluşların iş kesintilerini en aza indirecek bir plana ihtiyacı vardır. Verilere hâlâ erişilebildiğinden emin olmak için kritik veritabanlarını yedeklemek ve bunları ağ dışında saklamak önemlidir. Herkesin bir siber saldırı sırasında ne yapacağını bilmesi için olay müdahale planının çıktısı alınmalı veya personele dağıtılmalıdır.
-
Sürekli izlemeyi sağlayın. Siber güvenlik, anlaşma tamamlandığında sona ermez ve birleşme ve satın alma sonrası dönem şirketler için özellikle savunmasız bir dönem olabilir; bu nedenle dikkatli olmak çok önemlidir. Bu nedenle kuruluşlar, güvenlik açıklarını ve potansiyel ihlalleri tespit etmek için sistemlerin ve ağların sürekli 7/24 izlenmesine ve gerçek zamanlı tehdit tespitine yönelik mekanizmalara ihtiyaç duyar.
-
Çalışanları eğitin. Birleşme veya satın alma işleminde yer alan her iki kuruluşun tüm çalışanlarının siber güvenlikle ilgili en iyi uygulamalar hakkında kapsamlı ve düzenli eğitim almasını sağlayın. Tehditlere dikkat ederek ve bunları derhal bildirerek her kişinin bir rol oynamasına yardımcı olabileceğinin iletilmesi hayati önem taşımaktadır. Personeli bir siber saldırının nasıl görünebileceğine hazırlamak için siber güvenlik tatbikatları yapmayı düşünün.