„Podmioty zaangażowane w transakcję powinny dołożyć starań, aby zapewnić bezpieczeństwo informacji podczas całego procesu”- tak brzmi jedna z dobrych praktyk, przygotowanych w ramach Kodeksu Dobrych Praktyk Transakcyjnych. Jak należy rozumieć to zalecenie? Jak dbać o bezpieczeństwo podczas transakcji? Na jakie aspekty zwrócić uwagę? A jak kwestie bezpieczeństwa adresowane są w praktyce?
Podejście zależy od świadomości i wiedzy właściciela informacji oraz jego doradców, specyfiki spółki będącej przedmiotem transakcji, a także od samego typu procesu. Wśród klientów usług FORDATA znajdują się prywatne i publiczne firmy będące obiektami fuzji i przejęć, spółki debiutujące na parkietach GPW w Warszawie , będące w procesie restrukturyzacji, poszukujące finansowania lub też w inny sposób zaangażowane w procesy transakcyjne. Są to zarówno podmioty korporacyjne, jak i te z sektora SME. Spółki te, w obliczu transakcji, zmuszone są podjąć decyzję o sposobie udostępniania informacji podmiotom zewnętrznym. Nieliczne z nich wciąż decydują się na organizację fizycznego data room`u, to znaczy zapraszają zainteresowanych do swojej siedziby, gdzie udostępniają dokumenty. Zdecydowana większość rozważa jednak udostępnianie informacji w wersji elektronicznej.
Punkt widzenia zależy od roli w organizacji
Zdarza się, że dyskusja inicjowana jest przez właścicieli lub zarząd spółki będącej obiektem transakcji. Częściej jednak pierwszy krok wykonuje doradca. W przypadku podmiotów korporacyjnych zazwyczaj jest to dział prawny, do którego szybko dołącza wewnętrzny dział IT, a czasem także wewnętrzny dział bezpieczeństwa. W każdym z tych przypadków spotykamy różną optykę w zakresie definicji tego, czym właściwie bezpieczeństwo informacji w procesie powinno być.
Dla „biznesu” ważna jest kontrola „kto, co, komu udostępnia” i łatwość zarządzania procesem
Dla wielu organizatorów procesu (tzw. „przedstawicieli biznesu”) ważna jest przede wszystkim możliwość współdzielenia wrażliwych dokumentów w sposób kontrolowany, to znaczy w oparciu o model nadania uprawnień (do wglądu, druku, zapisu). Interesuje ich to, czy będą mieli możliwość śledzenia aktywności zaproszonych osób – to znaczy czy będą mieć wgląd w to kto, kiedy i co przeglądał, a z czym się jeszcze nie zapoznał. Coraz częściej szukają też rozwiązań, które pozwalają w szybki i sprawny sposób zarządzać zestawem dokumentów, tak, aby mieć kontrolę nad tym kto, co, kiedy i w jakiej wersji ma udostępnione. Wszystko po to, aby zminimalizować ryzyko nierównego dostępu do informacji dla inwestorów, o co w przypadku tysięcy dokumentów nie jest szczególnie trudno.
Fakt prowadzenia transakcji i tożsamość inwestorów informacją poufną
Zdarza się, że za informację poufną klient uważa sam fakt prowadzenia rozmów. Są i tacy – szczególnie w przypadku transakcji dotyczących spółek Skarbu Państwa lub komunalnych – dla których ważne jest, aby chronić tożsamość inwestorów nie tylko przed sobą nawzajem, ale nawet przed zespołem odpowiedzialnym za techniczną obsługę badania due diligence. Na koniec transakcji ważne staje się przygotowanie nośnika zawierającego wszystkie dokumenty, które były udostępnione w procesie, wraz z raportami aktywności użytkowników, który staje się załącznikiem do umowy inwestycyjnej i stanowi dowód rzeczowy na wypadek późniejszych zastrzeżeń uczestników, co do zakresu badania spółki.
Lokalizacja serwerów, a zakres ochrony prawnej
Prawnicy z kolei negocjują zapisy umów z firmami, które uzyskują dostęp do wrażliwych danych, aby prawnie zabezpieczyć interes swojego klienta. Dostawców rozwiązań informatycznych pytają też o to, gdzie utrzymywane są serwery, aby wiedzieć którego kraju jurysdykcja będzie miała ewentualnie zastosowanie.
Zabezpieczenia fizyczne i ciągłość działania
IT, oprócz tego, jak zabezpieczona jest transmisja danych pomiędzy serwerem a użytkownikiem, często pytają o tzw. politykę i „siłę hasła” oraz wymagania techniczne wobec użytkowników. Jeszcze bardziej zaawansowane pytania pod adresem partnerów technologicznych padają ze strony działów bezpieczeństwa, np. o tzw. IT Continuity Planning czyli to, czy dostawca rozwiązania informatycznego wdrożył procedury zapewnienia ciągłości działania, a więc czy ma techniczne i organizacyjne możliwości zapewnienia, że dostępność informacji nie będzie zakłócona. Zdarza się, że nalegają na dodatkowe mechanizmy kontroli dostępu, takie jakie sms-kody przy logowaniu do systemu lub ograniczanie puli adresów IP, z których mogą korzystać użytkownicy. Pytają także czy system informatyczny przechowujący wrażliwe dane jest regularnie poddawany testom bezpieczeństwa.
Wymiary bezpieczeństwa informacji: poufność, dostępność, integralność
Świadomie lub nie, ale dyskusje ogniskują się zawsze wokół trzech wymiarów bezpieczeństwa informacji, o których mówi norma ISO 27001. Poufność to zapewnienie, że tylko upoważnione osoby mają dostęp do informacji, dostępność zapewnia, że informacja jest zawsze dostępna wtedy, kiedy jest pożądana, a integralność to gwarancja, że dane nie zostaną zmienione, dodane lub usunięte w nieautoryzowany sposób.
Aby zaadresować te trzy kluczowe wymiary należy z kolei przyjrzeć się kluczowym obszarom bezpieczeństwa, jakimi są niewątpliwie:
- bezpieczeństwo samej aplikacji służącej do udostępniania informacji,
- istniejące procesy, np. dotyczące przekazywania dokumentów i zapewnienia wsparcia użytkownikom,
- ciągłość działania, a więc istnienie środków technicznych i proceduralnych gwarantujących wysoką dostępność rozwiązania,
- zgodność z wymaganiami prawnymi obowiązującymi w danym kraju
- personel, czyli osoby odpowiedzialne za zarządzanie informacją i systemem (w tym czasów ich reakcji, kanałów kontaktu, jakości obsługi),
- infrastruktura i zabezpieczenia fizyczne, a więc bezpieczeństwo samej serwerowni.
Świadoma analiza potrzeb kluczem do wyboru właściwego rozwiązania
Tylko pełna analiza potrzeb w zakresie zapewnienia bezpieczeństwa informacji prowadzi do świadomego wyboru odpowiedniego rozwiązania. Wśród tych może się znaleźć, np. tradycyjna (papierowa) organizacja badania due diligence w połączeniu z podróżami i spotkaniami bezpośrednimi, samodzielne zorganizowanie na potrzeby transakcji serwera umożliwiającego wymianę plików za pomocą protokołu komunikacyjnego FTP, wykorzystanie istniejących w Spółce systemów informatycznych, czy skorzystanie z dedykowanych do obsługi procesów transakcyjnych rozwiązań typu Virtual Data Room. Każda z tych możliwości oferuje inny poziom zabezpieczeń i pociąga za sobą inne ryzyko. Ważne, aby Klient akceptował je świadomie.
Wzrasta świadomość w zakresie bezpieczeństwa informacji
W ostatnich latach bardzo wzrosła liczba procesów transakcyjnych, w których dochodzi do elektronicznego udostępniania informacji. O ile jeszcze 6–7 lat temu dominowała obawa biznesu związana z możliwościami zapewnienia odpowiedniego poziomu bezpieczeństwa w przypadku elektronicznego badania due diligence, o tyle dziś ustąpiła ona miejsca merytorycznej dyskusji nt. ryzyka i stosowanych zabezpieczeń, do której aktywnie włącza się zespół IT klienta. Stało się tak zapewne po części za sprawą dynamicznego rozwoju tzw. „chmur dla biznesu”, po które biznes sięga coraz chętniej, a o czym jeszcze do niedawna działy IT nie były często nawet informowane.
Dzięki wzrostowi świadomości oraz współpracy IT i biznesu rośnie poziom bezpieczeństwa informacji w procesach transakcyjnych – nie tylko tych największych, ale i tych małych. Zapewne lista ryzyk i zagrożeń w przyszłości będzie się zmieniać, potrzeba zapewniania bezpieczeństwa będzie natomiast rosnąć i upowszechniać się także w takich procesach biznesowych, gdzie dziś jest jeszcze mało dostrzegana. Im szybciej się to stanie tym lepiej – zyskają firmy będące podmiotem transakcji, doradcy, którzy ponoszą odpowiedzialność za proces, i wszystkie podmioty, których dane w tych podmiotach są przetwarzane.
Autor: Aleksandra Porębska, Członek Rady Programowej Kampanii, Członek Zarządu i IT Director, FORDATA Sp. z o.o.
Współzałożyciel FORDATA, będącej pionierem na polskim rynku kapitałowym. Firma jako pierwsza w Polsce zaczęła świadczyć usługi Virtual Data Room, usprawniające zarządzanie dokumentami i komunikacją podczas złożonych procesów transakcyjnych. Odpowiedzialna jest także za rozwój biznesu, w tym identyfikowanie nowych kierunków rozwoju. Prelegent na licznych konferencjach tematycznych.
Kontakt: aleksandra.porebska@fordata.pl
Kodeks Dobrych Praktyk Transakcyjnych dostępny TUTAJ