Yrityskaupat ja muut yritysjärjestelyt (M&A) ovat hyvä tapa laajentaa yrityksen liiketoimintaa. Usein kaupan kohteena on pienehkö yritys, jolla on esimerkiksi innovatiivinen tuote tai palvelu, loistava myyntitiimi tai kevyt kulurakenne.
Ostettavan yrityksen tai sen tuotteen tai palvelun kyberturvallisuuden arviointi ennen ostopäätöstä on osa huolellisesti tehtyä due diligence -prosessia. Se auttaa osaltaan yrityskaupan ja -järjestelyn päätöksenteossa läpivalaisemalla ostokohteen kyberturvallisuuden ja varmistaa että mahdolliset riskit voidaan huomioida oston hinnassa ja ehdoissa.
Kyberturvallisuuden arviointi löytää mahdolliset piilevät riskit ja mahdollisuudet
Arviointi keskittyy ostettavan yrityksen, tuotteen tai palvelun kyberturvahistorian ja tulevaisuuden näkymien arviointiin. Käytännössä se siis:
- Tunnistaa jo realisoituneet ja helposti transaktion jälkeen realisoituvat kyberriskit
- Määrittää riskien hallitsemisen kulut ja investoinnit
- Osoittaa yrityksen sitoutumisen kyberturvallisuuteen
Riskit siirtyvät kaupan mukana. Siksi keskeistä on tiedostaa ostettavan kohteen riskiprofiili. Tyypillisesti riskiprofiili koostuu datasta, kyberturvakäytännöistä, kolmansista osapuolista ja johdon valveutuneisuudesta.
Kaupan mukana tuleva data
Yritysostossa ostetaan yhä useammin erilaisia datan hyödyntämismahdollisuuksia. Siksi kyberturvallisuuden due diligence -prosessissa tulee hakea vastaukset kysymyksiin: mikä data on tärkeintä, missä dataa käsitellään ja mitä uhkia dataan kohdistuu sekä miten data on suojattu. Dataa voidaan katsoa esimerkiksi tietosuojan ja IPR:n näkökulmista.
Ostettavan kohteen kyberturvakäytännöt
Riittävät hallinnolliset ja tekniset kyberturvakäytännöt osoittavat, että oston kohde ymmärtää kyberturvallisuuden merkityksen liiketoiminnalle.
Kolmansiin osapuoliin liittyvät riskit
Verkottuneessa liiketoiminnassa myös kolmansiin osapuoliin liittyvät vastuut siirtyvät kaupan mukana. Keskeistä onkin kartoittaa, miten oston kohde suhtautuu kolmansiin osapuoliin (ts. alihankkijoihin, toimittajiin) ja ovatko näihin liittyvät sopimukset ja vastuut kunnossa.
Johdon valveutuneisuus
Valveutuneisuus antaa osviittaa siitä, että kyberriskit ovat hallittuja ja vastuut selkeitä. Mikäli kyberturvallisuuden due diligence -prosessi osoittaa, että johdon ymmärryksessä on puutteita, on todennäköisempää, että oston kohteessa on piileviä riskejä.
Insta Secrays neuvoo kyberturvallisuuden due diligence -prosessin läpiviennissä.
