Innehållsförteckning:
- Maskinvara, programvara och tjänster
- Tredjeparts bedömning och övervakning
- Minsta säkerhetskrav
- Servicenivåkrav
Video: Matematik 3B Integrera 2024
Att integrera säkerhetsrisköverväganden i förvärvsstrategi och praxis bidrar till att minimera införandet av nya eller okända risker i organisationen. Det sägs ofta att säkerheten i en organisation bara är lika stark som den svagaste länken. I samband med fusioner och förvärv kommer ofta en av organisationerna att vara säkrare än den andra. Att ansluta två organisationer tillsammans innan tillräcklig analys kan leda till signifikant försämring av säkerhetsförmågan hos den nya organisationen.
Uppgiften att förena politik, krav, affärsprocesser och förfaranden vid en fusion eller förvärv är sällan okomplicerad. Vidare bör det inte antas att en organisations policy, krav, processer och förfaranden är det "rätt" eller "bästa" sättet för alla parter vid fusionen eller förvärvet - även om den organisationen är den förvärvande enheten.
Istället bör varje organisations enskilda politik, krav, processer och förfaranden utvärderas för att identifiera den bästa lösningen för den nya organisationen som går framåt.
Maskinvara, programvara och tjänster
Alla nya hårdvaror, programvaror eller tjänster som behandlas av en organisation bör utvärderas på lämpligt sätt för att bestämma hur det kommer att påverka organisationens övergripande säkerhets- och riskställning, och hur det kommer att påverka annan maskinvara, programvara eller tjänster som redan finns inom organisationen. Integrationsproblem kan till exempel ha en negativ inverkan på systemets integritet och tillgänglighet.
Tredjeparts bedömning och övervakning
Vid en fusion eller förvärv är det viktigt att överväga de tredje parter som varje organisation tar med sig till bordet. Inte bara måste de förvärvande eller sammanslagna organisationerna noggrant granska sina riskprogram för tredje part, men även en ny titt på de tredje parterna behövs för att säkerställa att risknivån i förhållande till varje tredje part inte har förändrats med hänsyn till fusionen eller förvärv.
Alla nya utvärderingar eller övervakningar från tredje part bör övervägas noggrant. Kontrakt (inklusive integritetsskydd, krav på utlämnande och säkerhetskrav) och servicenivåavtal (SLA: er som diskuteras senare i detta avsnitt) bör ses över för att säkerställa att alla viktiga säkerhetsfrågor och regelverkskrav fortfarande hanteras på ett tillfredsställande sätt.
Minsta säkerhetskrav
Minsta säkerhetskrav, standarder och baslinjer ska dokumenteras för att säkerställa att de förstås och beaktas i förvärvsstrategi och praxis.Att blanda säkerhetskrav från två tidigare separata organisationer är nästan aldrig lika lätt som att bara kombinera dem i ett dokument. I stället kan det finnas många fall av överlappning, överlappning och motsägelse som alla måste försonas. En övergångsperiod kan krävas, så att det finns gott om tid att justera säkerhetskonfigurationerna och arkitekturerna för att uppfylla den nya uppsättningen krav efter samgåendet eller förvärvet.
Servicenivåkrav
Servicenivåavtal (SLA) fastställer minimala prestandanormer för ett system, en applikation, ett nätverk eller en tjänst. En organisation upprättar interna SLA för att ge sina slutanvändare en realistisk förväntan om hur informationssystem och tjänster fungerar. Till exempel kan en helpdesk SLA prioritera händelser som 1, 2, 3 och 4 och upprätta SLA-svarstider på tio minuter, 1 timme, 4 timmar respektive 24 timmar. I tredjepartsrelationer ger SLAs kontraktsförpliktelser som en outsourcingpartner eller leverantör måste mötas. Till exempel kan en SLA med en Internetleverantör uppvisa en maximal acceptabel driftstopp som, om den överskrids inom en given period, resulterar i fakturakrediter eller (om så önskas) avbokning av servicekontraktet.
