如果您参与考虑收购的私募股权集团 (PEG),您可能已经开始尽职调查过程。在评估目标公司的财务报表和其他关键指标时,评估业务的另一个关键要素——公司的网络安全风险敞口也很重要。

风险评估

在进行尽职调查时,有一位称职、值得信赖的风险评估员代表您进入目标并对公司的控制进行客观评估,这一点至关重要。虽然您可以依赖来自可信来源的第三方收购报告,但它们可能不包含识别和解决您的具体问题的信息。

妥协和事故将会发生,因为没有零风险这样的东西。真正的问题是目标是否有合理的保护和控制措施,以便及时发现潜在问题并迅速做出反应,而不是让这些问题持续数月或数年。

违规不会自动使收购成为一个糟糕的目标。但是,公司需要有一个合理且适合组织规模和复杂性的信息安全计划,并确保该计划到位并运行。

作为尽职调查的一部分,您首先要确定该公司是否存在任何已知的数据泄露事件。

其次,尽职调查应该集中在网络安全的关键领域,这基本上归结为“你怎么知道你是否有问题?”

答案来自对系统和用户活动的有效记录和监控;了解什么是正常和异常活动;以及是否有一种机制可以在出现问题时主动和一致地告诉目标。

识别过程

政策和治理很重要,但您还需要查看已实施的流程。有时,这就像索要公司最新风险评估的副本一样简单。

逐年查看目标的风险评估和整体风险管理计划,可帮助您确定它是否是由信誉良好的第三方完成的综合评估。它还可以帮助您了解如何逐年跟踪风险,并提供有关该组织是否了解其存在风险以及它正在采取哪些措施来管理风险的见解。

确保您睁大眼睛进入收购,这样您就可以对组织中的优点做出明智的决定,并评估关键和次要问题。

关键是要了解收购目标的原因以及未来的计划,然后投入足够的资源进行彻底的、定制的风险评估,以确保目标收购是合适的。

范钢 是 LBMC 信息安全部门的高级经理。