Table of Contents

درک اطلاعات محرمانه در مرگر

در زمینه M&A، اطلاعات محرمانه بسیار فراتر از بیانیه های مالی است.این شامل اسرار تجاری، مالکیت معنوی، قراردادهای مشتری و تامین کننده، سوابق کارکنان، برنامه های استراتژیک، ارزش گذاری های داخلی و ارتباطات غیر دولتی است. تعریف واضح کمک می کند هر دو خریداران و فروشندگان مرزهای مناسب برای به اشتراک گذاری و حفاظت.

داده های محرمانه معمولاً به سه دسته تقسیم می شوند:

  • ] اطلاعات کسب و کار و مالی [FLT 1 ] - تجزیه درآمد، حاشیه سود، ساختارهای بدهی، پیش بینی ها و نتایج حسابرسی.
  • ] اطلاعات اولویت و عملیاتی [FLT 1 ] - کد منبع، فرآیندهای تولید، تحقیق و توسعه، الگوریتم های اختصاصی و ارتباطات داخلی.
  • اطلاعات شخصی قابل شناسایی (PII) و داده های کارمند - شماره های امنیتی اجتماعی، سوابق سلامت، جزئیات حقوق و عملکرد - اغلب در معرض قوانین حفاظت از داده های دقیق.

اشتباه گرفتن هر یک از این دسته ها به عنوان کم خطر می تواند هزینه بر اساس مطالعه 2023 توسط شرکای مونرو غربی ، بیش از 40٪ از معاملات M&A در طول فرایند، اغلب ناشی از قرار گرفتن در معرض بی طرف در طول تلاش و تلاش به دلیل تاثیر مالی از چنین نقض می تواند از ارزش خود تجاوز کند، زمانی که در دادرسی، و آسیب رساندن به عامل جریمه، و آسیب رساندن به آن.

آماده سازی های پیش از مکرگر: ثبت فضای کاری برای امنیت

عدم توافق نامه های محرمانه (NDAs) به عنوان خط اول دفاع

قبل از هر گونه اطلاعات اساسی مبادله می شود، هر دو طرف باید یک NDA قوی را امضا کنند که به وضوح تعریف می کند که چه چیزی اطلاعات محرمانه را تشکیل می دهد، هدف که ممکن است مورد استفاده قرار گیرد، مدت محرمانه بودن و درمان برای نقض آن، NDA را به ساختار معامله خاص اختصاص می دهد - به عنوان مثال، شامل مقررات مورد توافق شده برای اینکه چگونه مواد محرمانه بازگردانده می شوند یا اگر مذاکرات به خوبی شکست بخورد، محدودیت های استخدام غیر مجاز برای استفاده از اطلاعات هدف را ممنوع می کند، و از آن استفاده می کند، به منظور جلوگیری از اطلاعات هدف، و یا از آن استفاده می کند، از آن استفاده می کند.

NDAs به طور فزاینده ای شامل اضافه کردن امنیت داده های خاص، نیاز به حزب دریافت کننده برای حفظ حداقل استانداردهای رمزگذاری، جدول زمانی اطلاع رسانی نقض و حقوق حسابرسی است.این تمرکز را از تعهد قانونی صرفا به انطباق عملیاتی فعال تغییر می دهد.

تیم های پاک و اتاق های داده های کنترل شده

برای به حداقل رساندن بیشتر نوردهی، بسیاری از معاملات یک "تیم تمیز" را به کار می گیرند - یک گروه کوچک از مشاوران قابل اعتماد (مدار، مالی و فنی) که اطلاعات بسیار حساس مانند استراتژی قیمت گذاری یا هوش رقیب را بررسی می کنند، قبل از اینکه با تیم گسترده تر جذب به اشتراک گذاشته شود، اعضای تیم پاک با تعهدات اضافی محرمانه و نمی توانند جزئیات حساس را به دیگران در سازمان خرید که در فعالیت های رقابتی شرکت می کنند، فاش کنند، حتی اگر این رویکرد خریدار با بهره مند باشد و حتی در این رویکرد ارزشمند باشد.

اتاق های داده مجازی (VDRs) استاندارد برای دسترسی کنترل شده هستند.ارائه دهندگان VDR (به عنوان مثال، Intralinks یا ارائه دهندگان VDR2 [Fview3] ارائه تنظیمات اجازه، آبمارک، دسترسی پویا، و حسابرسی که هر سند مشاهده می کند، و یا "ارزیابی انتقادی" را در صورت اجرای آن "FLTDR" انجام می دهد.

با توجه به تفاوت در یک لنز امنیتی

خریداران باید اقدامات امنیتی خود را در مورد شیوه های حفاظت از داده های موجود هدف انجام دهند.پرسش ها عبارتند از: فروشگاه هدف و رمزگذاری داده های حساس؟ آیا آنها هر گونه نقض داده ها را در سه سال گذشته تجربه کرده اند؟ آیا آنها یک سیاست امنیتی اطلاعات مستند دارند؟ ارزیابی وضعیت امنیت سایبری هدف قبل از بستن کمک می کند تا شناسایی خطرات و تضمین کند که اقدامات محرمانه توسط تجزیه و تحلیل امنیت شرکت تضعیف نمی شود، و تحلیل امنیت بخش نهایی باید به دلیل شکاف دسترسی کارکنان بخش باشد.

بهترین روش ها برای مدیریت اطلاعات محرمانه در طول مذاکرات

محدود کردن دسترسی به یک Basis مورد نیاز برای شناختن

در طول مذاکرات فعال، تنها افرادی که نیاز به اطلاعات محرمانه برای تکمیل معامله دارند باید دسترسی داشته باشند، این شامل بانکداران سرمایه گذاری، مشاوره حقوقی، مدیریت ارشد و انتخاب سرب عملیاتی است.استفاده از مجوزهای مبتنی بر نقش در VDR برای محدود کردن دسترسی به پوشه ها یا اسناد خاص است، به عنوان مثال، تیم HR ممکن است نیاز به برنامه های سود کارکنان داشته باشد، اما تیم محصول ممکن است به مشخصات فنی نیاز نداشته باشد، اما لیست های حقوق و یا مشاوران دسترسی منظم را برای دسترسی به هر کسی که دسترسی به طور منظم نیاز به هر کسی که به هر کسی که به طور منظم دارند، به آنها را حذف می دهد.

کانال های ارتباطی امن

ایمیل هایی که حاوی اسناد محرمانه هستند باید در حمل و نقل رمزگذاری شوند و در حالت استراحت، با استفاده از سیستم عامل های پیام رسانی رمزگذاری شده برای بحث های حساس در نظر بگیرید.تمام انتقال فایل ها باید از طریق VDR اتفاق بیفتد، نه از طریق پیوست های ایمیل ناامن یا سیستم های ذخیره سازی ابری مصرف کننده، اگر ایمیل باید استفاده شود، محافظت از رمز عبور را با انتقال جداگانه از رمز عبور از طریق کانال های مختلف (به عنوان مثال، یک سیستم عامل جلوگیری از تماس بسیار حساس ارائه می دهد.

پروتکل های مدیریت داده ها و برچسب گذاری

هر سند مشترک باید به وضوح "Confidential" یا "Attorney-Client Privileged" را به عنوان مناسب مشخص کند.ایجاد یک پروتکل کتبی برای چگونگی رسیدگی به اسناد فیزیکی (به عنوان مثال، قفل کردن کابینت فایل، پاره شدن پس از استفاده) و فایل های دیجیتال (به عنوان مثال، استانداردهای رمزگذاری، حذف پس از معامله نزدیک) شامل قوانین و دستگاه های مدیریت قابل حمل (حتی باید از استفاده از وسایل دسترسی شخصی ذخیره شده در سرویس های دسترسی و یا اسناد دیجیتال)

آموزش کارکنان و آگاهی

تمام کارکنانی که با هدف یا رسیدگی به داده های مربوط به توافق تعامل خواهند کرد باید آموزش هدفمند در مورد تعهدات محرمانه دریافت کنند.آموزش باید شرایط NDA را پوشش دهد، استفاده مناسب از VDR، چگونگی گزارش نقض مظنون و عواقب افشای غیر مجاز، به ویژه مهم است اگر فاز مذاکره بیش از چند ماه گسترش یابد.

ملاحظات حقوقی و اخلاقی

قوانین حفاظت از داده ها (GDPR، CCPA و Beyond)

مرگرها اغلب شامل انتقال و پردازش اطلاعات شخصی در سراسر حوزه قضایی هستند. تحت مقررات عمومی حفاظت از داده ها (GDPR) در اروپا، به اشتراک گذاری اطلاعات شخصی با خریدار ممکن است نیاز به یک مبنای قانونی (به عنوان مثال رضایت یا منافع قانونی) و یک توافقنامه پردازش داده باشد.

مشاور حقوقی باید زود هنگام به ارزیابی اینکه آیا ارزیابی تاثیر حریم خصوصی مورد نیاز است و پیش نویس توافق های اشتراک گذاری داده ها که مسئولیت نقض را اختصاص می دهند، برای معاملات مرزی، مکانیسم های اضافی مانند استاندارد شماره های قرارداد (SCC) یا قوانین شرکت های Binding ممکن است برای اعتبار انتقال داده ها ضروری باشد.

مقررات تجارت و سوء استفاده از بازار

اطلاعات محرمانه M&A اطلاعات کلاسیک غیر عمومی است.هر کسی که اوراق بهادار را بر اساس این دانش معامله می کند - یا راهنمایی دیگران - می تواند مسئول تجارت داخلی باشد، هر دو شرکت خرید و فروش باید سیاست هایی را برای محدود کردن معاملات توسط کارکنانی که "LTLT را مشخص می کنند، اعمال کنند. "بسیاری از شرکت ها نیاز به اعضای تیم دارند تا قراردادهای دوره های اضافی را امضا کنند و همه معاملات را از طریق الگوهای تجاری دقیق (F) و مقررات معامله گران قیمت معاملات عمومی (CE) امضا کنند.

ریسک و فرهنگ اخلاقی

فراتر از رعایت قانونی، مدیریت اطلاعات محرمانه به طور اخلاقی اعتماد کارکنان، مشتریان و شرکای خود را حفظ می کند. نشتی که نشان می دهد ادغام در انتظار قبل از آن است که عمومی می تواند شرکت را بی ثبات کند، باعث عدم اطمینان کارکنان و آسیب رساندن به روابط با تامین کنندگان فرهنگ نقش دارد: زمانی که مدیریت بالا نشان می دهد تعهد به محرمانه بودن، آن مجموعه یک هنجار است که دیگران آموزش اخلاقی باید شامل سناریوهایی مانند رسیدگی به سوالات اخلاقی محرمانه و یا گزارش های اخلاقی تصادفی از طرف دیگر از طرف های پرداخت اطلاعات محرمانه است.

تکنولوژی و ابزار برای اشتراک گذاری داده های امن

اتاق های داده مجازی – Beyond Basic Security

VDRs مدرن ویژگی هایی را ارائه می دهد که فراتر از حفاظت از رمز عبور ساده است.نشانه های آب پویا که نام و زمان بیننده را در هر صفحه نمایش می دهند کمک می کنند تا از اشتراک گذاری غیر مجاز جلوگیری کنند و تکنولوژی "Fence-view" جلوگیری از تصاویر در دستگاه های پشتیبانی تلفن همراه است.

رمزگذاری همه جا

تمام داده های محرمانه باید در حالت استراحت و در حمل و نقل با استفاده از الگوریتم های قوی (به عنوان مثال AES-256 برای ذخیره سازی، TLS 1.3 برای انتقال) رمزگذاری شوند، این امر در مورد ایمیل ها، انتقال فایل ها و سازمان های داده شده باید اطمینان حاصل کند که کلید های رمزگذاری شده به طور جداگانه از داده های رمزگذاری شده مدیریت می شوند، به طور ایده آل با استفاده از یک ماژول امنیتی سخت افزار یا یک سرویس مدیریت کلید رمزگذاری شده اند.

پیشگیری از از دست دادن داده ها (DLP) و نظارت بر

ابزارهای DLP که ارتباطات ورودی (mail، آپلود وب، انتقال USB) را برای الگوهای حساس مانند شماره کارت اعتباری، بیانیه های مالی یا برچسب های محرمانه اسکن می کنند، سیستم های DLP می توانند تیم های امنیتی را برای اقدامات بالقوه حذف داده ها هشدار دهند. بررسی های منظم و تجزیه و تحلیل رفتار کاربر کمک به داخل تهدیدات قبل از یک نقض عمده برای M&A رخ می دهد، به طور خاص تنظیم سیاست های انتقال سیگنال "D" را مشخص می کند.

مدیریت دسترسی و تایید هویت

احراز هویت چند عاملی (MFA) باید برای تمام کاربرانی که به VDRs دسترسی دارند یا سایر مخازن داده های محرمانه معامله اجباری باشد. یکپارچه سازی تک امضا با ارائه دهنده هویت شرکت اجازه می دهد تا کاربر سریع را از بین ببرد اگر کارمند تیم را ترک کند.

تدابیر هویتی پس از انتخابات

ادغام محیط های داده امن

هنگامی که ادغام تایید شد، سیستم های داده دو شرکت باید بدون ایجاد جهش های آسیب پذیری جدید ادغام شوند.این فرایند باید یک طرح ادغام دقیق را دنبال کند که شامل جریان داده های نقشه برداری، شناسایی صاحبان داده ها و انتقال داده ها از طریق کانال های امن (به عنوان مثال VPN رمزگذاری شده یا اتصالات مستقیم ابر) است سیستم های موجودی به دست آورد که حاوی اطلاعات محرمانه باید به صورت جداگانه سفارش داده شود یا تحت نظارت بر سیستم های دسترسی فعال مشتری، تنها تنظیم داده ها:

سیاست های عقب نشینی و نابودی

تمام داده های محرمانه نباید اطلاعات محرمانه را که تنها برای ارزیابی به اشتراک گذاشته شده اند، مانند ارزیابی اولیه، پیش نویس قراردادها و یادداشت های دقیق – باید به طور ایمن نابود شده یا به فروشنده بازگردانده شوند، در صورت لزوم توسط NDA، یک برنامه حفظ داده که با الزامات قانونی (به عنوان مثال سوابق مالیاتی، سوابق اشتغال) و نیاز به فایل های دیجیتال برای اجرای اسناد تایید شده در پرونده های مربوط به تخریب فیزیکی مطابقت دارد.

افزایش قرارداد های NDAs و اشتغال

پس از استخدام، NDAs های موجود ممکن است نیاز به اصلاح داشته باشند زیرا ساختار قانونی تغییر کرده است. کارکنان جدید از شرکت به دست آمده باید قراردادهای محرمانه به روز شده را امضا کنند که منعکس کننده سیاست های مشترک سازمان است، به طور مشابه بررسی و تجدید نظر هر گونه طرح های حفاظت از تجارت و قراردادهای تخصیص مالکیت معنوی برای اطمینان از پوشش ساختار سازمانی جدید.

نظارت مستمر و حسابرسی

محرمانه بودن یک رویداد یک جانبه نیست، پس از ادغام، انجام حسابرسی های دوره ای از حقوق دسترسی، شیوه های به اشتراک گذاری داده ها و انطباق با سیاست های داخلی است.استفاده از اطلاعات امنیتی و مدیریت رویداد (SIEM) ابزار برای نظارت بر دسترسی غیر طبیعی به پایگاه های داده حساس، به یک افسر حفاظت از داده (در صورت لزوم توسط GDPR) یا یک افسر انطباق محرمانه که می تواند نظارت مداوم برای شناسایی استانداردهای یکپارچه سازی و آزمایش های نفوذ داخلی باشد، کمک می کند.

مدیریت ریسک های شخص ثالث و خودی

مشاوران خارجی و پیمانکاران

قراردادهای M&A به شدت به مشاوران شخص ثالث متکی هستند - بانک های سرمایه گذاری، شرکت های حقوقی، شرکت های حسابداری و مشاوران فنی.هر یک از این احزاب باید برای شیوه های امنیتی داده خود مورد بررسی قرار گیرند و نیاز به شواهدی از گواهینامه های خود دارند (به عنوان مثال، SOC 2، ISO 27001) و شامل مقررات محرمانه است که از محدودیت های اولیه NDA جریان می یابد.

تهدید احتمالی

کارکنان و مشاورانی که دسترسی قانونی به اطلاعات محرمانه دارند می توانند به تهدیدات درونی تبدیل شوند – یا به طور مخرب یا از طریق غفلت از تجزیه و تحلیل رفتاری برای شناسایی الگوهای دسترسی غیر معمول، مانند کاربر بارگیری حجم زیادی از داده ها در خارج از ساعات عادی، ایجاد یک سیاست روشن برای گزارش فعالیت های مشکوک بدون تلافی. بسیاری از شرکت ها همچنین از عوامل پیشگیری از از از از از از از دست دادن داده ها برای مسدود کردن انتقال های غیر مجاز به USB یا یادآوری منظم در مورد آسیب پذیری های تجاری استفاده می کنند.

نتیجه گیری

مدیریت اطلاعات محرمانه در طول ادغام کسب و کار مستلزم یک رویکرد ساختار یافته، چند لایه ای است که شامل توافق نامه های قانونی، کنترل تکنولوژی، رفتار انسان و نظم و انضباط پس از بسته است.از قبل از معامله NDAs و اتاق های داده مجازی برای ادغام داده های پس از معامله و تخریب، هر مرحله از چرخه M&A نیاز به مراقبت و مدیریت ریسک فعال است که سرمایه گذاری در شیوه های محرمانه قوی نه تنها برای ایجاد پیامدهای قانونی و همچنین انطباق با اعتماد به نفس ضروری است.