Как обеспечить киберспокойствие при M&A-сделках

Что можно сказать про уязвимости компаний при заключении сделок M&A?

В первую очередь стоит сказать о разнородности ИТ-инфраструктуры. Каждая организация работает с индивидуальными информационными системами, ПО, зачастую использует уникальные аппаратные компоненты и протоколы безопасности. Таким образом, неоднородность систем может спровоцировать появление слабых мест в защите данных. 

Второе — это недостаток стандартизации и недокументированные процессы. Если оба предприятия применяют различные подходы к управлению ИТ-системами и поддержанию безопасности, это может привести к конфликтам и уязвимостям. К примеру, одна организация работает с более строгими методами защиты, а другая совсем этим пренебрегает. 

Ну и стоит сказать о недовольных специалистах. При увольнении в процессе слияния бывший сотрудник вполне может стать источником внутренних угроз (например, он намеренно или случайно раскроет конфиденциальные данные). 

Оценка кибербезопасности при слиянии или поглощении — насколько она важна (и важна ли)? 

Она, определенно, имеет значение, но не первостепенное. Прежде всего оцениваться будут финансовые результаты и перспективы роста. Любые ИТ-вопросы и информационная безопасность анализируются  как инфраструктурные, напрямую не влияющие на M&A-сделку. Могут быть, конечно, и исключения — например, ИТ-сервисы, где явно видны сложности в конфиденциальности данных пользователей.

Скажите, на чем базируется эффективная стратегия кибербезопасности при таких сделках?

При подготовке M&A-сделок в процедуру необходимо включать due diligence — анализ уровня автоматизации процессов и текущего состояния ИБ. Важно также синхронизировать подходы к обеспечению безопасности компаний, адаптируя и повышая их качество. В сфере IT-развития объединенной компании могут быть два подхода: переход на единую систему, чаще всего уже используемую одной из сторон, либо работа на отдельных системах с разработкой решений для синхронизации данных между ними.