在并購中怎樣保護(hù)系統(tǒng)安全

申請免費(fèi)試用、咨詢電話：400-8352-114

并購給IT系統(tǒng)安全帶來了新的挑戰(zhàn)，企業(yè)在作出最終決定時(shí)，需要考慮多方面因素。下面就是企業(yè)需要注意的六個(gè)要點(diǎn)。

并購給IT系統(tǒng)安全帶來額外的挑戰(zhàn)。兼并不可避免地將有著不同的安全理念、政策、技術(shù)和需要的安全部門合并在一起。Dimension Data North America公司國家安全實(shí)踐主管Chris Ellerman說："如果一家公司實(shí)行'所有的安全需求由公司內(nèi)部滿足'的政策，而另一家公司外包安全設(shè)備，顯然他們存在著矛盾。"

而這只是在合并的機(jī)構(gòu)處在相同的垂直行業(yè)時(shí)的情況。當(dāng)合并跨垂直行業(yè)時(shí)，差異可能更大，并且在一些情況下完全不能調(diào)和。Ellerman說："我看到過由于兩家公司的垂直行業(yè)需求的原因，合并導(dǎo)致了兩個(gè)部門在一個(gè)IT骨干網(wǎng)上永久地在不同的安全水平上運(yùn)營。"

Ellerman為那些在新的一年中可能的兼并做準(zhǔn)備或正在進(jìn)行合并的企業(yè)給出了以下建議。

1. 不要輕率地合并安全系統(tǒng)。很多的安全設(shè)備廠商保證合并的各方將擁有非常不同的安全設(shè)備和技術(shù)的組合，即使它們的業(yè)務(wù)結(jié)構(gòu)和IT基礎(chǔ)設(shè)施類似。

Ellerman說："安全性常常直接與具體的應(yīng)用聯(lián)系在一起。破壞這些安全系統(tǒng)會(huì)停止關(guān)鍵的業(yè)務(wù)服務(wù)，從而可能使收購合作伙伴的業(yè)務(wù)陷于停頓。顯然，你不能這么做。"相反，他建議兩家公司繼續(xù)獨(dú)立運(yùn)營（可能在它們的IT部門之間的鏈路上采取額外的安全措施），并由來自兩家公司的包括專家在內(nèi)的安全團(tuán)隊(duì)對形勢進(jìn)行評估。

2. 帶著計(jì)劃進(jìn)行合并。Ellerman說："像Oracle這樣的擁有豐富收購經(jīng)驗(yàn)的公司制訂了在兼并最后完成時(shí)可以實(shí)施的計(jì)劃。一旦得到合并的通知就訂購所需的設(shè)備。這些公司能夠消化新收購公司的速度可能讓人吃驚。"

3. 從關(guān)注確保業(yè)務(wù)推動(dòng)因素的自評估入手。當(dāng)企業(yè)要求全球咨詢機(jī)構(gòu)Dimension Data為兼并過程提供幫助時(shí)，Dimension Data從進(jìn)行為期一天的自評估入手。自評估首先關(guān)注確定合并各方中的業(yè)務(wù)推動(dòng)因素。所涉及的推動(dòng)因素通常包括來自雙方的高級業(yè)務(wù)與IT管理團(tuán)隊(duì)的關(guān)鍵成員（包括CIO和來自雙方CEO辦公室的代表）。

最后，他們清楚地掌握每家公司的安全政策和立場的關(guān)鍵要素（包括它們的弱點(diǎn)）及這些基礎(chǔ)設(shè)施背后的業(yè)務(wù)邏輯。這將成為定義最后合并的安全部門的目標(biāo)狀態(tài)的基礎(chǔ)。高級管理人員隨時(shí)參與這項(xiàng)工作，因?yàn)樗麄兿Ｍ吹椒从澈喜⒑髽I(yè)務(wù)計(jì)劃的需要。

4. 確定被收購公司的關(guān)鍵安全人員，并讓他們加入安全團(tuán)隊(duì)。這件事不要也不應(yīng)當(dāng)淪為一場內(nèi)部政治的"我們 Vs. 他們"的戰(zhàn)爭。Ellerman說："畢竟，有誰比被收購實(shí)體的CSO更了解他們的安全架構(gòu)以及弱點(diǎn)呢？你肯定希望IT部門的收購目標(biāo)不僅僅只是收購更多的設(shè)備。你希望將來自兩家公司的最優(yōu)秀的人員組合在一起，組成最強(qiáng)的IT部門，并且這個(gè)IT部門包括安全部門。"

外包IT安全是當(dāng)今常見的戰(zhàn)略，并且如果其中的一個(gè)部門被外包的話，那么這時(shí)，外包服務(wù)提供商的安全團(tuán)隊(duì)顯然必須參與進(jìn)來。由于外包商為眾多客戶（常常處在不同垂直行業(yè)）提供安全保護(hù)，外包商通常非常有經(jīng)驗(yàn)，而且這種經(jīng)驗(yàn)非常有價(jià)值。

如果外包服務(wù)提供商與它最初合作的公司有著良好的關(guān)系，在這種情況下，合并的公司常常也會(huì)外包收購雙方的安全業(yè)務(wù)。但是，這并不是唯一可能的戰(zhàn)略。在作出最后決定之前可以先維持現(xiàn)狀（一家公司的安全業(yè)務(wù)被外包，另一家不外包），由管理層進(jìn)行評估之后，再?zèng)Q定是由內(nèi)部承擔(dān)安全業(yè)務(wù)還是完全外包。

5. 謹(jǐn)慎行事。合并過程中的兩家公司以不同的安全水平運(yùn)行并不稀奇。例如，一家公司可能在訪問網(wǎng)絡(luò)時(shí)要求雙因素認(rèn)證，而另一家公司使用簡單的口令認(rèn)證。在安全基礎(chǔ)設(shè)施能夠合并，以及安全水平較低的公司采用更高的標(biāo)準(zhǔn)前（假設(shè)這是最終的計(jì)劃），公司將在兩家公司之間的鏈路中采取額外的安全措施，將具有較低安全水平的公司作為半可信合作伙伴來對待。

如果兩家公司將作為獨(dú)立的部門存在下去，不進(jìn)行合并-尤其是如果它們在具有不同的安全需要的、不同的垂直行業(yè)運(yùn)營時(shí)，這種安排可能成為永久的方式。如果兩家公司將在運(yùn)營級上合并，安全團(tuán)隊(duì)將需要在可能的地方采用標(biāo)準(zhǔn)的安全技術(shù)集合。但是，它們必須小心謹(jǐn)慎，在轉(zhuǎn)變過程中將給業(yè)務(wù)流程造成的破壞減小到最低程度。

6. 在評估安全水平變化的影響后，再進(jìn)行變化。安全性始終是保護(hù)與訪問企業(yè)運(yùn)營所需要的信息和應(yīng)用之間的折中。正如安全專家常常談?wù)摰哪菢?，最安全的系統(tǒng)是鎖在沒人可以進(jìn)入的金庫中與所有東西完全隔離的系統(tǒng)。但是，這種系統(tǒng)對業(yè)務(wù)沒有什么好處。

在評估安全政策、水平和技術(shù)時(shí)，重要的是詢問一些關(guān)鍵問題：這將給業(yè)務(wù)造成多大破壞？訪問IT資源所需的額外時(shí)間和精力會(huì)讓公司付出多大代價(jià)？更強(qiáng)保護(hù)的好處會(huì)大于它給業(yè)務(wù)運(yùn)營造成的影響嗎？風(fēng)險(xiǎn)程度或遵從性問題證明需要更高的安全性嗎？

合并一方以比另一方具有更高的安全水平運(yùn)營，這并不意味著更高水平的安全是合并后公司的更好選擇。管理層必須評估安全問題的各個(gè)方面，才能為公司做出最好的總體決定。

企業(yè)并購時(shí)需要考慮的安全要點(diǎn)

■ 不要輕率地合并安全系統(tǒng)。
■ 帶著計(jì)劃進(jìn)行合并。
■ 從關(guān)注確保業(yè)務(wù)推動(dòng)因素的自評估入手。
■ 確定被收購公司的關(guān)鍵安全人員，并讓他們加入安全團(tuán)隊(duì)。
■ 謹(jǐn)慎行事。
■ 在評估安全水平變化的影響后，再進(jìn)行變化。(ccw-cnw)