Управление ИБ при слияниях и поглощениях компаний

Сажин С.В.
Выпускник группы MBA СSO-5
Школы IT-менеджмента
РАНХиГС при Президенте РФ

В последние годы на Российском рынке наблюдается тенденция к укрупнению компаний. Слияния компаний и поглощение ими других компаний происходят постоянно, поскольку это является одним из основных способов увеличения масштаба, территориального расширения и получения синергетического эффекта от приобретения нового бизнеса. 

В работе делается попытка систематизировать, на примере телекоммуникационных компаний, применение различных подходов связанных с обеспечением информационной безопасности этого процесса. Делается анализ зависимости различных способов объединения компании на уровне организации общего бизнеса,  и того, как это отражается на возможных способах объединения их (Технологических) Технических и ИТ инфраструктур.

Стратегия обеспечения информационной безопасности Компании, особенно в период слияний и поглощений, должна обеспечивать поддержку бизнеса Компании, внедряя такие методы, способы и решения, которые в максимальной степени способствуют росту бизнеса Компании и достижению им своих целей, и в то же время обеспечивают максимальный уровень защищённости технологической инфраструктуры и информационных активов. Такая ситуация предполагает сильную зависимость выбора решений по обеспечению информационной безопасности от корпоративной стратегии по слияниям и поглощениям и от способа ее реализации в части интеграции технологических инфраструктур компаний.

Для этого руководителю подразделения информационной безопасности компании необходимо не только принимать активное участие в команде интеграции, но и знать существующие способы объединения технологических инфраструктур, какими сильными и слабыми сторонами они обладают, какие риски связанные с информационной безопасностью они приносят, и какие основные шаги необходимо предпринимать при реализации выбранных сценариев интеграции. Крайне важно, когда в результате слияния компаний организация процесса информационной безопасности изменяется вместе с лучшими практиками всех участвующих в сделке компаний, приводя ее к общему росту.

Подготовка к интеграции приобретённых компаний в единую инфраструктуру компании должна начинаться задолго до начала самого процесса интеграции и даже задолго до начала покупки первой компании, и должна затрагивать все аспекты работы компании. Подразделению информационной безопасности необходимо обеспечить принятие единых правил обеспечения информационной безопасности при:

• внедрении новых и эксплуатации существующих ИТ и технических систем
• выполнении корпоративных требований по надёжности и доступности информации
• организации взаимодействия между бизнес-системами и технологическими платформами

Кроме того, достаточно полезным является разработка и внедрение общей политики по интеграции компаний в части соблюдения требований по информационной безопасности.

Объединение компаний на уровне руководства предполагает получения дополнительных бизнес преимуществ за счёт объединения бизнес-процессов этих компаний, а объединение технологических инфраструктур или кадровой базы может быть способом достижения этих целей.  Объем этого объединения конечно зависит от степени интеграции, но в каком-то виде такое объединение всегда присутствует. Предпосылками для интеграции и построения сквозных бизнес процессов между головной и приобретённой компанией могут стать:

• необходимость работы сотрудников приобретённой компании по единым бизнес-процессам
• то, что отсутствие сквозных бизнес-процессов мешает развитию бизнеса компании

На рисунке выше представлены основные  сценарии построения сквозных бизнес-процессов. Надо отметить, что со временем степень интеграции может усиливаться, что является примером органического развития бизнеса компании. В то время, как децентрализация является довольно сложной задачей к которой прибегают только в исключительных случаях.

В результате слияния бизнес-процессов всегда возникает новая технологическая инфраструктура с  новыми целями, политиками, системами и бизнес-приложениями, поэтому компания должна получить новую модель функционирования технологической инфраструктуры, которая отвечала бы изменившимся условиям и способствовала бы реализации поставленных перед бизнесом задач, а также обладала необходимым уровнем защищённости.

Первым шагом на пути к реализации объединения инфраструктур  должна быть разработка стратегии ее достижения. Приоритетное значение имеет предмет интеграции, а именно, технологическая инфраструктура приобретённой компании. После тщательного анализа и оценки существующего технического потенциала технологической инфраструктуры приобретённой компании, следует перейти к выбору стратегии интеграции, на основе понимания целей новой компании и наличия необходимых ресурсов.

Стратегические цели подразделения информационной безопасности при подготовке к интеграции приобретённой компании:

1. сохранение уровня обеспечения ИБ:
1. обеспечения единого уровня ИБ для объединённой Компании
2. построение эффективного взаимодействия внутри объединённой компании по вопросам обеспечения информационной безопасности
3. оптимизация ресурсов для обеспечения информационной безопасности (люди, затраты)
4. общее повышение эффективности работы систем управления информационной безопасностью
2. обеспечение выполнения требований Российского законодательства (в соответствии со спецификой работы компании)
3. обеспечение требований международных стандартов и требований законодательства других стран
4. Поиск возможности получения синергетического эффекта:
1. возможности создания новых сервисов для клиентов Компании на основе полученных новых возможностей
2. создание бренда «безопасной» компании

Также можно выделить следующие типичные проблемы обеспечения информационной безопасности при интеграции приобретённых компаний:

• различные уровни зрелости технологических и ИБ процессов приобретённой и головной компаний
• различные подходы к обеспечению информационной безопасности
• появление элементов корпоративной инфраструктуры с разным уровнем доверия
• отсутствие единого уровня ИБ в рамках всей компании
• разная корпоративная культура, на уровне обработки и защиты данных

Не любое слияние компаний приводит к обязательному их объединению на уровне инфраструктуры. Тем не менее, уже сам факт такого объединения компаний имеет важное значение, принося, в том числе, и репутационные риски для обеих компаний. Кроме того, отсутствие интеграции в данный момент времени не означает отсутствия планов по ее проведению в последующем. Поэтому даже в случае выбора такого сценарий интеграции необходимо провести:

• анализ рисков ИБ в приобретённой компании
• оценку уровня зрелости ее процесса обеспечения информационной безопасности

В случае принятия решения о создании площадки для размещения глобальных бизнес-процессов ее можно рассматривать как отдельную инфраструктуру, имеющую полный набор необходимых для ее защиты средств безопасности. При этом она имеет более одного подключения к сторонним инфраструктурам по защищённым каналам связи и по ограниченному набору сервисов и сетевых протоколов. В связи с этим для обеспечения ее безопасности необходимо сконцентрироваться на:

• защите подключений внешних инфраструктур
• дополнительной защите предоставляемых глобальных ресурсов

,перечень и объем необходимых дополнительных мер будет зависеть от расположения площадки и набора имеющихся на ней глобальных ресурсов.
Как уже было показано выше, можно выделить три основных стратегии интеграции инфраструктуры приобретённой компании в инфраструктуру головной компании:

• Поглощение
• Естественный отбор
• Трансформация

Можно сделать несколько основных (общих) тезисов по работе подразделения информационной безопасности при таких стратегиях интеграции:

• Защитите свои активы как только это возможно
• Постарайтесь минимизировать влияние новых элементов инфраструктуры на самые критичные бизнес системы и процессы
• Найдите самые слабые места в безопасности интегрируемой компании и сфокусируйтесь на их устранении
• Создайте план устранения несоответствий
• Работайте в режиме “осады”  
• Обеспечьте полный контроль процесса интеграции со стороны подразделения ИБ головной Компании

Проведённый в работе анализ существующих схем и способов интеграции технологических инфраструктур в процессе выполнения проектов слияния и поглощения компаний на примере компаний телекоммуникационной отрасли, позволяет сделать следующие выводы:

• необходимо уделять существенное внимание вопросам обеспечения информационной безопасности при подготовке и проведении работ по объединению технологических инфраструктур компаний в процессе слияний и поглощений.
• в зависимости от выбранной стратегии интеграции определённой на уровне руководства компании будет в существенной степени меняться и объем интеграции инфраструктур компаний, изменяясь от полной независимости до полного поглощения инфраструктуры приобретённой компании.

При подготовке к интеграции необходимо:

• проведения анализа рисков, связанных с инфраструктурой приобретённой компании, и способов их устранения 
• определения уровня зрелости процесса обеспечения информационной безопасности приобретённой компании, его сильных и слабых сторон.
• анализа возможностей применяемых в приобретённой компании систем защиты с целью получения синергетического эффекта от объединения систем защиты компаний.

Полученные результаты могут быть использованы не только в телекоммуникационных компаниях, но и в любых других компаниях России, где влияние ИТ и технических решений является высоким для достижения целей бизнеса компании