{ Banner Image }

适当调查中的网络安全和数据隐私考虑因素

数据隐私和网络安全问题正在改变潜在的投资者和收购者通过尽职调查评估目标公司的方式。数据和安全相关风险可能是非常昂贵的–特别是那些没有在尽职调查中未覆盖的人。

例如,对相关数据保护法律的控制不足或不合规的历史可能导致明显的结束后监管罚款。此外,以前未公开或未发现的数据泄露可能在尽职调查中可能不会显而易见,但在交易结束后可能会在危险之中施加大笔资金。这些风险可以开辟收购者以实现重大责任。例如,在verizon购买雅虎之后,它了解到雅虎的程度’S 2014数据泄露显着低估,导致雅虎掉落的重新谈判’价值近3.5亿美元。

鉴于网络安全和数据隐私尽职调查的重要性,更新的尽职调查策略应:

  1. 识别目标’s Digital Assets;
  2. 评估目标’■内部和外部网络安全和数据隐私计划;
  3. 确定正在进行的或过去的事件和违规行为;
  4. 评估法规遵从性;和
  5. 评估潜在负债。

 1. Identify the Target’s Digital Assets

收购者必须清查目标拥有的数字资产。虽然一些数字资产可能是显而易见的,但其他数字资产也不是。数字资产包括从客户端列表到客户数据的源代码的任何内容。库存应包括这些资产的位置,并确定它们是否存储在内部或第三方供应商内部。

最后,库存还应评估每个资产的风险水平。例如,包含受访问限制保护的敏感信息的本地存储的数据库可能比云服务器上的第三方所持的相同数据更少。

2. Evaluate the Target’S内部和外部网络安全和数据隐私计划

随着库存完成,收购者应重点调查目标是否有保护这些资产和处理安全威胁的政策和程序。审查目标的网络安全协议是一个很好的开始,但验证员工是否遵循这些协议也很重要。例如,有些公司定期发送带有外部链接的垃圾邮件,以测试员工是否正在打开可疑链接,使公司容易受到网络钓鱼攻击的攻击。更复杂的IT努力包括跟进从事不安全行为的员工进行额外培训。具有宽松安全协议的目标更有可能不知道未来可能成为大量费用的先前或正在进行的安全事件。

重要的是,收购者还认为目标的外部供应商,包括供应商的权利和责任,因为它们与与他们共享的数据相关。例如,一些供应商合同允许供应商与广告商共享电子邮件地址和其他数据。一些合同要求供应商通知公司事件或违规行为,而其他合同则对此问题沉默。知道一旦它离开该公司就会发生数据会发生什么,就像了解公司内部数据会发生什么一样重要。

3. 确定正在进行的或现有的网络安全漏洞

调查过去的违规者有助于两种方式。首先,通过分析目标’对违约的回应,收购方可以深入了解目标的程度’S的内部控制和协议工作。其次,收购方可以确定目标是否按照适用的法律,法规和标准作出响应违约行为。如果目标没有遵循自己的隐私政策或违反法律,那么风险可能会对目标的估值产生负面影响。

虽然罕见,尽职调查有时会挖出持续的违规行为。这些案件允许收购者实时查看目标’答案,判断其内部控制的有效性,并衡量违约所产生的未来费用的潜力。

4. 评估法规遵从性

识别过去的违规是一种知道目标是否在过去遵守情况的好方法;但是,收购方还应考虑目标是否会符合地平线上任何新规定。例如,与欧盟’S一般数据保护规则(GDPR)于2018年生效,尽职调查应确定目标是否受到规定,如果是,其合规性姿势是否对目标产生了重大影响’s valuation.

5. 评估与传统尽职调查有关的潜在负债

收购方不应考虑上面的问题。相反,我们建议使用上述调查结果来评估目标的数据隐私和网络安全与目标相关的风险和负债’对更传统的尽职调查请求的回应。类似于其他形式的尽职调查,公司可以决定过去的事件和现行做法是否使目标暴露于材料风险,并使用这些风险谈判较低的购买价格。

如果没有彻底考虑,目标的数据隐私和安全风险可能导致交易完成后征收收购年份的令人惊讶和大量成本。

如果您对当前的数字尽职调查策略有任何疑问,请联系成员 福斯特迅速’S Cyber​​security团队。

类别: 网络安全, 你知道吗?, 数字资产, 隐私

泰勒帮助企业和企业主解决,防止福斯特斯威夫特的业务和税务惯例集团的问题。他处理业务形成和交易,税收争议,员工福利和技术相关问题。

查看作者的所有帖子›

Type the following characters: mike, three, foxtrot, five, three

* 表示必填字段。