Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Dalam merger dan akuisisi (M&A), pencapaian nilai biasanya menjadi perhatian utama. Namun, risiko siber adalah kenyataan yang harus dihadapi. Mengingat regulasi privasi data dan undang-undang wajib mengungkapkan pelanggaran keamanan siber, paparan risiko siber berpotensi memengaruhi valuasi pasca-merger secara signifikan. Saat menghitung nilai akuisisi potensial, perusahaan penerima harus mempertimbangkan biaya risiko siber sebagai bagian dari strategi kesepakatan.

Pada tahun 2016, sebuah penyedia layanan telekomunikasi berbasis di Inggris didenda secara besar-besaran ketika database pelanggan yang mereka akuisisi sebelumnya diretas. Pada tahun 2017, harga akuisisi Verizon terhadap bisnis internet Yahoo turun sebesar USD 350 juta setelah Yahoo mengungkapkan tiga pelanggaran data masif yang mengorbankan lebih dari 1 miliar akun pelanggan.

Pelaku ancaman mengincar aktivitas M&A karena menawarkan potensi imbalan jangka pendek dan jangka panjang. Dalam operasi transisi, data bernilai tinggi seringkali rentan. Ketika perusahaan yang tercatat di bursa saham terlibat, liputan media yang dihasilkan dapat memperburuk risiko. Di saat yang sama, pelaku ancaman mengambil kesempatan untuk menyerang.

Pengawasan keamanan siber selama aktivitas M&A sangat penting. Namun, ada beberapa alasan mengapa perusahaan menunda atau mengabaikan keterlibatan ahli keamanan selama M&A. Dalam beberapa kasus, ini terkait dengan kurangnya pengalaman dalam siklus M&A yang kompleks. Dalam kasus lain, ada keinginan untuk membatasi jumlah orang yang mengetahui tentang merger yang akan datang.

Solusinya tidaklah sederhana, tetapi perusahaan memiliki opsi. Berikut langkah-langkah proaktif yang dapat diambil tim keamanan untuk mengurangi risiko keamanan siber sepanjang siklus M&A:

Langkah Pra-Akuisisi

  1. Melibatkan Ahli Keamanan Siber: Pastikan ahli keamanan siber merupakan anggota kunci dalam tim M&A, bahkan sejak tahap perencanaan strategis.
  2. Pemahaman Tujuan Bisnis: Pahami akuisisi dalam konteks tujuan bisnis dan objektif merek perusahaan, serta bagaimana keamanan akan mendukung tujuan tersebut.
  3. Evaluasi Ketahanan Keamanan: Tinjau dan nilai ketahanan keamanan dari target akuisisi. Temukan informasi tentang serangan sebelumnya, insiden, dan publikasi terkait keamanan.
  4. Perencanaan Peraturan dan Kepatuhan: Identifikasi persyaratan peraturan dan kepatuhan yang berlaku dan bagaimana akuisisi akan memengaruhi model teknologi dan keamanan perusahaan.

Langkah Akuisisi

  1. Pemeriksaan Keamanan Terperinci: Selama tahap pemeriksaan, lakukan pemeriksaan keamanan yang mendalam terhadap sistem informasi, kebijakan, dan kerentanannya dari target akuisisi.
  2. Penerjemahan Temuan ke Dalam Nilai: Terjemahkan temuan keamanan siber menjadi nilai-nilai kuantitatif yang dapat digunakan dalam negosiasi dan penentuan harga akuisisi.
  3. Monitor Media: Pantau liputan media untuk mengukur minat publik dan ancaman potensial terhadap keamanan siber selama proses akuisisi.
  4. Evaluasi Biaya Akuisisi: Selain biaya dasar akuisisi, pertimbangkan biaya terkait manajemen risiko siber seperti keamanan layanan dasar dan yang lebih kompleks.
  5. Keterlibatan Pihak Ketiga: Pertimbangkan untuk melibatkan pihak ketiga yang ahli dalam manajemen risiko merek dan keamanan siber.

 

Langkah Integrasi Pasca-Akuisisi

  1. Pembaruan Model Keamanan: Perbarui model keamanan yang telah ditetapkan selama proses pemeriksaan dengan temuan baru dari kegiatan penilaian.
  2. Monitoring Keamanan Tingkat Tinggi: Pertahankan tingkat pemantauan keamanan yang tinggi di kedua perusahaan selama fase integrasi, karena paparan media dapat meningkatkan ancaman.
  3. Pertahankan Kontrol: Pertahankan kontrol keamanan yang ketat karena sering kali ada kecenderungan untuk meremehkan protokol keamanan saat jaringan digabungkan.
  4. Antisipasi Dampak pada Tenaga Kerja: Antisipasi dampak akuisisi pada tenaga kerja, termasuk karyawan dan mitra yang mungkin terpengaruh oleh kesepakatan.
  5. Mengoptimalkan Resiliensi Keamanan: Manfaatkan proses M&A untuk meningkatkan resiliensi keamanan dan efisiensi operasional dengan menyederhanakan operasi keamanan.

Langkah-langkah ini membantu perusahaan untuk mengelola risiko siber yang mungkin muncul selama proses akuisisi dan merger, serta memastikan bahwa keamanan tetap menjadi prioritas selama transisi.

Artikel ini telah diterbitkan oleh IBM Institute for Business Value, dengan judul Assessing cyber risk in M&A. Artikel selengkapnya dapat dibaca di sini.