Open search

    Kyberturvallisuuden due diligence yrityskaupoissa ja yritysjärjestelyissä

    Yrityskaupat ja muut yritysjärjestelyt (M&A) ovat hyvä tapa laajentaa yrityksen liiketoimintaa. Usein kaupan kohteena on pienehkö yritys, jolla on esimerkiksi innovatiivinen tuote tai palvelu, loistava myyntitiimi tai kevyt kulurakenne.

    Ostettavan yrityksen tai sen tuotteen tai palvelun kyberturvallisuuden arviointi ennen ostopäätöstä on osa huolellisesti tehtyä due diligence -prosessia. Se auttaa osaltaan yrityskaupan ja -järjestelyn päätöksenteossa läpivalaisemalla ostokohteen kyberturvallisuuden ja varmistaa että mahdolliset riskit voidaan huomioida oston hinnassa ja ehdoissa.   

    Kyberturvallisuuden arviointi löytää mahdolliset piilevät riskit ja mahdollisuudet

    Arviointi keskittyy ostettavan yrityksen, tuotteen tai palvelun kyberturvahistorian ja tulevaisuuden näkymien arviointiin. Käytännössä se siis:

    • Tunnistaa jo realisoituneet ja helposti transaktion jälkeen realisoituvat kyberriskit
    • Määrittää riskien hallitsemisen kulut ja investoinnit
    • Osoittaa yrityksen sitoutumisen kyberturvallisuuteen

    Riskit siirtyvät kaupan mukana. Siksi keskeistä on tiedostaa ostettavan kohteen riskiprofiili. Tyypillisesti riskiprofiili koostuu datasta, kyberturvakäytännöistä, kolmansista osapuolista ja johdon valveutuneisuudesta.

    Kaupan mukana tuleva data

    Yritysostossa ostetaan yhä useammin erilaisia datan hyödyntämismahdollisuuksia. Siksi kyberturvallisuuden due diligence -prosessissa tulee hakea vastaukset kysymyksiin: mikä data on tärkeintä, missä dataa käsitellään ja mitä uhkia dataan kohdistuu sekä miten data on suojattu. Dataa voidaan katsoa esimerkiksi tietosuojan ja IPR:n näkökulmista.

    Ostettavan kohteen kyberturvakäytännöt

    Riittävät hallinnolliset ja tekniset kyberturvakäytännöt osoittavat, että oston kohde ymmärtää kyberturvallisuuden merkityksen liiketoiminnalle.

    Kolmansiin osapuoliin liittyvät riskit

    Verkottuneessa liiketoiminnassa myös kolmansiin osapuoliin liittyvät vastuut siirtyvät kaupan mukana. Keskeistä onkin kartoittaa, miten oston kohde suhtautuu kolmansiin osapuoliin (ts. alihankkijoihin, toimittajiin) ja ovatko näihin liittyvät sopimukset ja vastuut kunnossa.  

    Johdon valveutuneisuus

    Valveutuneisuus antaa osviittaa siitä, että kyberriskit ovat hallittuja ja vastuut selkeitä. Mikäli kyberturvallisuuden due diligence -prosessi osoittaa, että johdon ymmärryksessä on puutteita, on todennäköisempää, että oston kohteessa on piileviä riskejä.

    Insta Secrays neuvoo kyberturvallisuuden due diligence -prosessin läpiviennissä.

    Lisätietoja

    elin-a_meri-copy-200x300

    Elina Niemimaa

    Instan visio on olla edelläkävijä turvallisessa digitalisaatiossa

    Lue vuoden 2018 vuosikertomus

    Tutustu Instaan työnantajana