Wereldwijde fusies en overnames (M&A) bereikten een record van $ 5,1 biljoen in 2021, en met economische tegenwind waardoor acquisitie de enige levensvatbare exit is voor veel startups, is verdere marktconsolidatie onvermijdelijk. Aangezien recente M&A-transacties zoals Amazon/One Medical en JetBlue/Spirit Airlines de krantenkoppen blijven halen, moeten beveiligings-, IT- en bedrijfsleiders voorbereid zijn op de technische uitdagingen van het integreren van de digitale activa van bedrijven die hun activiteiten willen combineren.
Van het beoordelen van de financiële administratie van de overgenomen partij tot het nauwkeurig bekijken van de roadmaps voor producten, bedrijven die een overnamedoel beoordelen, moeten zakelijke kansen identificeren en tegelijkertijd rekening houden met een groot aantal cyberbeveiligingsrisico’s. Tijdens deze inspanning moet de overnemende organisatie de gegevens en systemen van het andere bedrijf beoordelen om te bepalen hoe – en soms of – IT- en beveiligingsactiviteiten moeten worden samengevoegd. Dit is niet eenvoudig, gezien de verscheidenheid aan technologieën, datalocaties en processen in moderne organisaties.
Naarmate IT-omgevingen steeds complexer worden, worden fusies en overnames technisch steeds uitdagender. Er zijn een paar cruciale dingen waarmee u rekening moet houden om de kracht van een beveiligingsprogramma na de fusie te vergroten.
Begin met de zakelijke behoeften
Beveiligingsprofessionals hebben de neiging om M&A vanuit een puur technisch standpunt te beoordelen. Het is begrijpelijk dat we ons zorgen maken over het erven van kwetsbare of, erger nog, gecompromitteerde IT-activa en zwakke beveiligingspraktijken. We denken ook na over het integreren van de beveiligings- en IT-technologieën van het overgenomen bedrijf in het programma en de beveiligingskaders van de overnemende partij.
Dit is een redelijk uitgangspunt. Als u zich echter uitsluitend richt op de technologische aspecten van de M&A-transactie, kan dit ertoe leiden dat u de kans mist om toegevoegde waarde te bieden aan de organisatie. M&A dient een specifiek zakelijk doel, en de tijd nemen om de drijvende kracht achter de transactie te begrijpen, maakt het mogelijk om technologische projecten op elkaar af te stemmen ter ondersteuning van de zakelijke doelstellingen. Dit vergroot de kans dat de IT- en beveiligingsprogramma’s van de bedrijven samensmelten op een manier die de transactie ondersteunt in plaats van belemmert.
Als het doel van de overname bijvoorbeeld de integratie van de bedrijfsactiviteiten is, zullen de bedrijven waarschijnlijk IT- en beveiligingsplatforms moeten samenbrengen. De tijdlijn van deze integratie zal echter bepalen hoe agressief de IT- en beveiligingsorganisaties deze zullen moeten ondersteunen. Meer tijd betekent meer planning en meer mogelijkheden voor de twee technologieteams om elkaar te begrijpen. Bovendien biedt de tijd een betere kans om te bepalen welke IT-systemen en applicaties van het bedrijf moeten worden behouden ter ondersteuning van de bedrijfsvisie voor de geïntegreerde entiteit.
Als het overgenomen bedrijf daarentegen als een afzonderlijke bedrijfseenheid zal opereren – in ieder geval voor een vrij lange termijn – zullen sommige technologieën gescheiden blijven en coördinatie vereisen voor veiligheidstoezicht en risicobeheer. U moet ook begrijpen welke IT- en beveiligingscomponenten nog kunnen worden geïntegreerd om schaalvoordelen te behalen of om het algehele IT- en beveiligingsprogramma te versterken.
U moet bepalen of het overgenomen bedrijf de reikwijdte van het beveiligingsnalevingsprogramma van de gecombineerde entiteit uitbreidt. Mogelijk moet u nieuwe wettelijke vereisten en contractuele verplichtingen met betrekking tot IT en beveiliging leren kennen en aanpassen.
Als u eenmaal duidelijk bent over de zakelijke doelstellingen en tijdlijnen achter de M&A-transactie, is het tijd om inzicht te krijgen in de staat van de technologie die u overneemt, samen met de bijbehorende mensen en processen die de overgenomen organisatie aansturen. Dit begint vaak met een uitgebreide inventarisatie van IT-activa.
Begin met meer te weten te komen over de IT-middelen van de organisatie, de aard van de gegevens die erdoorheen stromen en de bijbehorende gebruikers en zakelijke doeleinden. Leg deze informatie vast uit meerdere gegevensbronnen: netwerkscans, identiteitssystemen, cloudorkestratieplatforms, hulpmiddelen voor apparaatbeheer en alle andere IT- en beveiligingssystemen die mogelijk inzicht hebben in het bestaan en de status van de bedrijfsmiddelen. Houd rekening met lokale, cloud- en externe netwerken (inclusief de huizen van werknemers) en vergeet niet de SaaS-applicaties te inventariseren.