在并購中怎樣保護系統(tǒng)安全

申請免費試用、咨詢電話：400-8352-114

并購給IT系統(tǒng)安全帶來了新的挑戰(zhàn)，企業(yè)在作出最終決定時，需要考慮多方面因素。下面就是企業(yè)需要注意的六個要點。

并購給IT系統(tǒng)安全帶來額外的挑戰(zhàn)。兼并不可避免地將有著不同的安全理念、政策、技術(shù)和需要的安全部門合并在一起。Dimension Data North America公司國家安全實踐主管Chris Ellerman說："如果一家公司實行'所有的安全需求由公司內(nèi)部滿足'的政策，而另一家公司外包安全設(shè)備，顯然他們存在著矛盾。"

而這只是在合并的機構(gòu)處在相同的垂直行業(yè)時的情況。當合并跨垂直行業(yè)時，差異可能更大，并且在一些情況下完全不能調(diào)和。Ellerman說："我看到過由于兩家公司的垂直行業(yè)需求的原因，合并導致了兩個部門在一個IT骨干網(wǎng)上永久地在不同的安全水平上運營。"

Ellerman為那些在新的一年中可能的兼并做準備或正在進行合并的企業(yè)給出了以下建議。

1. 不要輕率地合并安全系統(tǒng)。很多的安全設(shè)備廠商保證合并的各方將擁有非常不同的安全設(shè)備和技術(shù)的組合，即使它們的業(yè)務(wù)結(jié)構(gòu)和IT基礎(chǔ)設(shè)施類似。

Ellerman說："安全性常常直接與具體的應(yīng)用聯(lián)系在一起。破壞這些安全系統(tǒng)會停止關(guān)鍵的業(yè)務(wù)服務(wù)，從而可能使收購合作伙伴的業(yè)務(wù)陷于停頓。顯然，你不能這么做。"相反，他建議兩家公司繼續(xù)獨立運營（可能在它們的IT部門之間的鏈路上采取額外的安全措施），并由來自兩家公司的包括專家在內(nèi)的安全團隊對形勢進行評估。

2. 帶著計劃進行合并。Ellerman說："像Oracle這樣的擁有豐富收購經(jīng)驗的公司制訂了在兼并最后完成時可以實施的計劃。一旦得到合并的通知就訂購所需的設(shè)備。這些公司能夠消化新收購公司的速度可能讓人吃驚。"

3. 從關(guān)注確保業(yè)務(wù)推動因素的自評估入手。當企業(yè)要求全球咨詢機構(gòu)Dimension Data為兼并過程提供幫助時，Dimension Data從進行為期一天的自評估入手。自評估首先關(guān)注確定合并各方中的業(yè)務(wù)推動因素。所涉及的推動因素通常包括來自雙方的高級業(yè)務(wù)與IT管理團隊的關(guān)鍵成員（包括CIO和來自雙方CEO辦公室的代表）。

最后，他們清楚地掌握每家公司的安全政策和立場的關(guān)鍵要素（包括它們的弱點）及這些基礎(chǔ)設(shè)施背后的業(yè)務(wù)邏輯。這將成為定義最后合并的安全部門的目標狀態(tài)的基礎(chǔ)。高級管理人員隨時參與這項工作，因為他們希望看到反映合并后業(yè)務(wù)計劃的需要。

4. 確定被收購公司的關(guān)鍵安全人員，并讓他們加入安全團隊。這件事不要也不應(yīng)當淪為一場內(nèi)部政治的"我們 Vs. 他們"的戰(zhàn)爭。Ellerman說："畢竟，有誰比被收購實體的CSO更了解他們的安全架構(gòu)以及弱點呢？你肯定希望IT部門的收購目標不僅僅只是收購更多的設(shè)備。你希望將來自兩家公司的最優(yōu)秀的人員組合在一起，組成最強的IT部門，并且這個IT部門包括安全部門。"

外包IT安全是當今常見的戰(zhàn)略，并且如果其中的一個部門被外包的話，那么這時，外包服務(wù)提供商的安全團隊顯然必須參與進來。由于外包商為眾多客戶（常常處在不同垂直行業(yè)）提供安全保護，外包商通常非常有經(jīng)驗，而且這種經(jīng)驗非常有價值。

如果外包服務(wù)提供商與它最初合作的公司有著良好的關(guān)系，在這種情況下，合并的公司常常也會外包收購雙方的安全業(yè)務(wù)。但是，這并不是唯一可能的戰(zhàn)略。在作出最后決定之前可以先維持現(xiàn)狀（一家公司的安全業(yè)務(wù)被外包，另一家不外包），由管理層進行評估之后，再決定是由內(nèi)部承擔安全業(yè)務(wù)還是完全外包。

5. 謹慎行事。合并過程中的兩家公司以不同的安全水平運行并不稀奇。例如，一家公司可能在訪問網(wǎng)絡(luò)時要求雙因素認證，而另一家公司使用簡單的口令認證。在安全基礎(chǔ)設(shè)施能夠合并，以及安全水平較低的公司采用更高的標準前（假設(shè)這是最終的計劃），公司將在兩家公司之間的鏈路中采取額外的安全措施，將具有較低安全水平的公司作為半可信合作伙伴來對待。

如果兩家公司將作為獨立的部門存在下去，不進行合并-尤其是如果它們在具有不同的安全需要的、不同的垂直行業(yè)運營時，這種安排可能成為永久的方式。如果兩家公司將在運營級上合并，安全團隊將需要在可能的地方采用標準的安全技術(shù)集合。但是，它們必須小心謹慎，在轉(zhuǎn)變過程中將給業(yè)務(wù)流程造成的破壞減小到最低程度。

6. 在評估安全水平變化的影響后，再進行變化。安全性始終是保護與訪問企業(yè)運營所需要的信息和應(yīng)用之間的折中。正如安全專家常常談?wù)摰哪菢?，最安全的系統(tǒng)是鎖在沒人可以進入的金庫中與所有東西完全隔離的系統(tǒng)。但是，這種系統(tǒng)對業(yè)務(wù)沒有什么好處。

在評估安全政策、水平和技術(shù)時，重要的是詢問一些關(guān)鍵問題：這將給業(yè)務(wù)造成多大破壞？訪問IT資源所需的額外時間和精力會讓公司付出多大代價？更強保護的好處會大于它給業(yè)務(wù)運營造成的影響嗎？風險程度或遵從性問題證明需要更高的安全性嗎？

合并一方以比另一方具有更高的安全水平運營，這并不意味著更高水平的安全是合并后公司的更好選擇。管理層必須評估安全問題的各個方面，才能為公司做出最好的總體決定。

企業(yè)并購時需要考慮的安全要點

■ 不要輕率地合并安全系統(tǒng)。
■ 帶著計劃進行合并。
■ 從關(guān)注確保業(yè)務(wù)推動因素的自評估入手。
■ 確定被收購公司的關(guān)鍵安全人員，并讓他們加入安全團隊。
■ 謹慎行事。
■ 在評估安全水平變化的影響后，再進行變化。(ccw-cnw)