销售与并购中的网络安全：不可忽视的尽职调查

关键要点

• 网络安全的尽职调查在销售与并购（M&A）中至关重要，需及早融入评估过程。
• 网络风险的复杂性让其难以识别，强调了仔细评估的必要性。
• 整个过程可分为四个阶段，需逐步深入每一阶段的分析。
• 不仅技术，还需注意人员和流程，全面评估企业的网络安全。

随著网络事件频发及其成本不断上升，网络安全的尽职调查已成为任何收购或合并过程中不可或缺的一部分。然而，谈及网络安全实践的话题往往是在交易和安全团队之间的最后时刻才会提及。这种对于风险的漫不经心的评估方式可能对购买公司产生负面影响。

目前许多并购交易中，风险的程度或复杂性并不容易识别或总是能够得知。Yahoo收购Verizon的交易就曾因Yahoo进一步披露数十亿用户帐户曾经受到攻击的情况而几乎中止。

网络尽职调查应该作为整体并购评估过程中的核心活动，并且必须及早进行评估，以在签署收购之前减轻潜在威胁。随著评估过程的深入，网络安全的尽职调查也应随之深入。为了有效实施，企业需开发并遵循一个网络安全尽职调查流程，从了解公司的安全状况开始，最后以持续的监控和分析作结。企业必须采取主动的立场，而非被动应对。

可以将网络安全的尽职调查视为四个阶段的过程，每一阶段都需要更深入且详细。如果每一步骤都用与传统并购过程相同的紧迫感与细节来处理，将大大提高评估的有效性。

第一阶段

在早期评估中，识别目标公司因网络风险而承担的财务风险。需要询问的问题包括：

• 目标公司拥有哪些有价值的数位资产？
• 目标公司的财务风险轮廓是什么？
• 公司是否有任何措施来应对这些风险？

第二阶段

接下来，了解目标公司整体治理政策、IT架构及网络安全技术的覆盖范围和有效性。需要询问的问题包括：

• 公司有哪些网络安全策略，使用了哪些网络安全工具？
• 该业务在已建立的网络安全标准下的合规性如何？
• 目标公司的网络安全保险政策是什么？
• 目标公司在过去的攻击中是如何应对和恢复的？（注意：成功的过去攻击不一定意味著当前存在不良的安全控制）

第三阶段

在尽职调查中，基于现有安全工具的信号进行内部分析，以深入了解公司的真实安全状况。需要询问的问题包括：

• 基于威胁模型的安全控制效果如何？
• 网络风险情景实现的可能性有多大？
• 目前存在的主要安全漏洞是什么？公司需要多少预算来修复这些漏洞？

第四阶段

在正式收购之后，以及在整合阶段，持续进行实时分析。需要询问的问题包括：

• 如何制定整合路线图，以最小化新合并实体的网络风险提高的可能性？（注意：不仅仅是技术，人员和流程同样重要。）
• 如何重新调整新实体的网络风险概况？
• 如何创建进一步降低网络风险的路线图？

企业在收购后并不总能有效处理网络安全的尽职调查。如果公司在