Интеграция компаний вполне заслуженно считается одной из сложнейших управленческих задач. Это подтверждается, в частности, тем, что не существует готового алгоритма подобной интеграции. Примечательно и то, что процессы слияния или поглощения компаний в отечественной практике нередко неожиданно принимали деструктивный характер.
Особенности российской традиции и менталитета при смене собственника подмечены в одном из отчетов компании McKinsey. Первая задача, которую обычно решают новые российские собственники, — устанавливают контроль над корпоративной почтой, связью, товарными и финансовыми потоками путем назначения на все ключевые должности своих людей. Вслед за этим проходит ревизия всего, что находится в руках нового собственника. Анализируются финансовые и товарные потоки, а также то, что с ними можно в дальнейшем делать. Только после этого наступает третья фаза, нацеленная на улучшение деятельности предприятия за счет оптимизации имеющихся товарных и финансовых потоков. Крупные предприятия на этой стадии нередко перенимают у западных коллег их технологии оптимизации деятельности и повышения эффективности предприятия за счет максимальной отдачи от всех возможных компонентов.
Не секрет, что в любой организации копирование или утечка информации в том или ином масштабе происходит постоянно. В этом плане цель ИБ — сделать процесс распространения информации максимально контролируемым, чтобы отправлялась только нужная информация в нужное время и нужным получателям. Критичность этой информации определяется не непосредственно в ходе слияний и поглощений (Mergers and Acquisitions, M&A), а в рамках бизнес-процессов участников.
«Во время смены собственника риски утечек и потери этой информации повышаются в первую очередь из-за нелояльности сотрудников, а также из-за общего падения производственной дисциплины в коллективах», — считает Константин Соколов, директор департамента информационной безопасности компании «АМТ-Груп».
По мнению Дмитрия Горелова, коммерческого директора компании «Актив», самой уязвимой в процессах M&A становится информация более слабого из объединяющихся предприятий. «Связано это в первую очередь с тем, что специалисты, которые отвечали за ИБ в поглощаемой компании, либо увольняются, либо демотивированы приходом новой команды, — поясняет Дмитрий Горелов. — Новая команда зачастую даже не подозревает о «подводных течениях» и упускает из виду важные, не лежащие на поверхности критические точки в инфраструктуре поглощаемой компании, сосредоточившись на создании новой общей инфраструктуры, значительная часть которой переходит от компании-лидера. Чтобы избежать потери информации, необходимо сохранить команду поглощаемой компании, не «сжигать мосты» сразу. В ходе слияний и поглощений нет важной и неважной информации. Очень важно в этот период все сохранить и выявить, а уже после того, как «страсти улягутся», можно отделять актуальное от неактуального, приоритетное от неприоритетного».
Например, в розничной торговой компании самым ценным и достойным защиты информационным объектом является информация о клиентах: их контакты, история взаимодействия с ними, хроника продаж. На втором месте по значимости — информация о поставщиках, история закупок и товарный ассортимент. Как отмечает Дмитрий Дегтярев, руководитель отдела развития интернет-гипермаркета Dostavka.ru, слияние компаний увеличивает риски утечки информации. Вот типичные ситуации: Слияние двух розничных компаний в классическом варианте подразумевает объединение баз данных, поэтому, возможно, потребуется предоставить доступ к базам большему количеству программистов.
Часто слияние компаний подразумевает сокращение сотрудников, и это приводит к увеличению риска, что сотрудник покинет компанию, прихватив с собой копии конфиденциальных баз данных.
При слиянии двух компаний, у которых культура ИБ существенно различается, результат может получиться не слишком хорошим. Например, в компании «А» акцент делается на повышении лояльности сотрудников, подборе специалистов с хорошей репутацией и выстраивании доверительных отношений, тогда как в компании «Б» внимание фокусируется на технико-административных методах: максимально ограничен доступ к базам и отчетам, запрещено использование USB-накопителей, внешних почтовых сервисов и т. д. В результате сотрудники компании «А» будут постоянно жаловаться, что им мешают эффективно работать, а сотрудники компании «Б» будут использовать конфиденциальную информацию: «не запрещено — значит разрешено».
Кроме того, по мнению Дмитрия Дегтярева, именно в процессе слияния начинает играть важную роль ограничение доступа к информации о зарплатах и компенсационных пакетах в каждой из компаний. Если до слияния эта информация уже получила некоторое распространение среди сотрудников и они с ней свыклись, то новая порция информации о зарплатах новых коллег может взбудоражить умы очень многих. «В итоге снижается мотивация, начинается «качание» прав и прочие осложнения», — резюмирует он.
Место бизнеса в вопросах ИБ
В России процесс M&A с точки зрения безопасности имеет определенную специфику: зачастую делается акцент на обеспечении физической безопасности объектов сделки и непосредственно ее участников, а вопросам ИБ нередко не придают должного внимания. «Если оставить за рамками ИТ- и интернет-компании, при оценке поглощаемых активов крайне редко проводится оценка уровня автоматизации бизнес-процессов и обеспечения ИБ», — замечает Константин Соколов.
По наблюдению Дмитрия Горелова, для топ-менеджеров, курирующих вопросы безопасности, ИБ часто является некой непонятной сущностью, и они не знают, как ее контролировать и при помощи каких механизмов, поэтому зачастую упускают из виду рекомендации ИТ-специалистов и специалистов по ИБ. Такая «невнимательность» со временем может перерасти в колоссальные убытки или недополученную прибыль, потому что в современном мире информация значит порой даже больше, чем живые деньги. «Обладая актуальной информацией или умея в подходящий момент извлечь ее, можно приобрести серьезное конкурентное преимущество и получить еще больше прибыли, нежели просто обладая неким капиталом. Хорошо, когда при слиянии нескольких организаций стратегия информационной безопасности дорабатывается, модифицируется. Если ИБ всех объединяемых компаний не будет приведена к общему знаменателю, то наверняка возникнут проблемы».
По мнению Дмитрия Дегтярева, зачастую новые владельцы бизнеса не уделяют защите информации никакого внимания, несмотря на то, что наибольшая угроза исходит не от сотрудников, конкурентов или других внешних лиц, а от предыдущего владельца бизнеса. Дегтяреву пришлось стать свидетелем того, как действия бывшего владельца одного из популярных интернет-магазинов «оправдали» худшие ожидания: «Он зарегистрировал домен со сходным названием и, используя клиентскую базу, которая у него сохранилась после продажи, попытался переманить клиентов своего бывшего магазина в новый, только что созданный магазин со схожим названием».
Существуют два полярных сценария развития ИТ-компании, создаваемой в результате M&A. Первый: объединившиеся компании сразу переходят на одну общую систему и объединяют свои базы. Для этого может использоваться либо система, уже имеющаяся в одной из компаний, либо какая-то новая система (что случается редко, поскольку далеко не каждый предприниматель решится совместить два болезненных процесса — объединение компаний и внедрение новой информационной системы), либо «сборная солянка» из подсистем и модулей, которые были признаны наиболее пригодными для объединенной компании.
Второй сценарий: объединившиеся компании продолжают работать на собственных системах, а для синхронизации данных между ними разрабатываются дополнительные «мосты» и модули обмена данными. По такому сценарию шло объединение интернет-магазинов, их витрин — системы обработки заказов и учетные системы в каждой «половинке» укрупненной компании использовались параллельно в течение довольно длительного времени.
В первом сценарии зоны ответственности претерпевают существенно большие трансформации, нежели во втором, поэтому Дегтярев настоятельно рекомендует удостовериться, что техническая документация по объединению баз и внедрению систем содержит полноценный раздел по управлению доступом и что описанное в документации реально исполняется на практике. «Во втором сценарии политика доступа к данным и зоны ответственности не меняются, и если к моменту начала процессов М&А они существовали, были адекватны и реально работали, то могут быть сохранены в таком виде и дальше. Внимания потребуют только модули обмена данными, однако трудозатраты на обеспечение ИБ в этом случае будут существенно ниже, чем в первом варианте».
Как бы там ни было, отмечает Дмитрий Дегтярев, универсального решения не существует: «ИБ является одним из многих аспектов ведения бизнеса и, в частности, процессов M&A. Обеспечение ИБ на должном уровне не дается бесплатно — оно требует ресурсов, а значит, издержек, при этом не обеспечивает непосредственного роста оборота. Более того, практически никогда увеличение уровня ИБ не проходит без усложнения и замедления других бизнес-процессов в компании. К этому добавляются ментальные особенности России и ряда других развивающихся экономик: ведение бизнеса «на авось» и склонность к рискам. В итоге вопросы ИБ получают более низкий приоритет по сравнению с мерами, обеспечивающими рост оборота и снижение издержек».
При покупке того или иного актива российскими инвесторами в большинстве случаев в первую очередь приобретается материальная составляющая (земля, здания, производственные фонды) и только потом бизнес как выстроенный процесс. В этих условиях риски ИБ при оценке имущества практически не учитываются. Кроме того, инвесторы и консультанты в подавляющем своем большинстве практически не располагают собственным квалифицированным персоналом для оценки рисков и активов с точки зрения ИБ.
«К сожалению, сложившийся баланс всех устраивает. Изменить ситуацию может только снижение основных рисков до уровней, сопоставимых по масштабам ущерба с рисками ИБ, или же существенное увеличение рисков ИБ за счет массированных утечек критичной информации, причем публично освещаемых», — считает Константин Соколов.