Lồng ghép những cân nhắc về rủi ro bảo mật vào Chiến lược và Thực tiễn Mua lại - những cái đầu

Lồng ghép các cân nhắc về rủi ro an ninh vào chiến lược mua bán và thực tiễn giúp giảm thiểu việc đưa ra các rủi ro mới hoặc chưa biết vào tổ chức. Người ta thường nói rằng an ninh trong một tổ chức chỉ mạnh mẽ như mối liên kết yếu nhất của nó. Trong bối cảnh sáp nhập và mua lại, thường một trong các tổ chức sẽ an toàn hơn các tổ chức khác. Kết nối hai tổ chức với nhau trước khi phân tích đầy đủ có thể dẫn đến sự suy yếu đáng kể về khả năng bảo mật của tổ chức mới.

Nhiệm vụ của việc đối chiếu chính sách, yêu cầu, quy trình kinh doanh và thủ tục trong quá trình sáp nhập hoặc mua lại rất hiếm khi đơn giản. Hơn nữa, không có giả định về chính sách, yêu cầu, quy trình và thủ tục của một tổ chức là cách "đúng" hay "tốt nhất" cho tất cả các bên trong việc sáp nhập hoặc mua lại - ngay cả khi tổ chức đó là đơn vị mua lại.

Thay vào đó, các chính sách, yêu cầu, quy trình và thủ tục của từng tổ chức phải được đánh giá để xác định giải pháp tốt nhất cho tổ chức mới được thành lập.

Mọi đánh giá hoặc giám sát mới của bên thứ ba cần được xem xét kỹ lưỡng. Các hợp đồng (bao gồm các yêu cầu bảo mật, không tiết lộ và các yêu cầu về an ninh) và thỏa thuận mức dịch vụ (SLAs, thảo luận ở phần sau) cần được xem xét để đảm bảo rằng tất cả các vấn đề an ninh quan trọng và yêu cầu về quy định vẫn được giải quyết đầy đủ.

Yêu cầu bảo mật tối thiểu

Các yêu cầu, tiêu chuẩn và đường cơ sở an ninh tối thiểu phải được ghi lại để đảm bảo chúng được hiểu đầy đủ và được xem xét trong chiến lược và thực tiễn thu nhận.Trộn các yêu cầu bảo mật từ hai tổ chức riêng biệt trước đây hầu như không bao giờ dễ dàng như đơn giản kết hợp chúng lại với nhau thành một tài liệu. Thay vào đó, có thể có nhiều trường hợp trùng nhau, chồng chéo và mâu thuẫn mà tất cả phải được hòa giải. Cần phải có một khoảng thời gian chuyển đổi, do đó có đủ thời gian để điều chỉnh cấu hình bảo mật và kiến ​​trúc để đáp ứng các yêu cầu mới sau khi sáp nhập hoặc mua lại.

Các yêu cầu cấp dịch vụ

Thoả thuận mức độ dịch vụ

(SLA) thiết lập các tiêu chuẩn hiệu suất tối thiểu cho một hệ thống, ứng dụng, mạng hoặc dịch vụ. Một tổ chức thiết lập các SLA nội bộ để cung cấp cho người dùng cuối của nó một kỳ vọng thực tế về việc thực hiện các hệ thống thông tin và dịch vụ của mình. Ví dụ: SLA của bàn trợ giúp có thể ưu tiên các sự cố như 1, 2, 3 và 4 và thiết lập thời gian phản hồi SLA là 10 phút, 1 giờ, 4 giờ và 24 giờ. Trong các mối quan hệ của bên thứ ba, SLA cung cấp các yêu cầu về hiệu suất hợp đồng mà một đối tác hoặc nhà cung cấp dịch vụ thuê ngoài phải đáp ứng. Ví dụ, SLA với một nhà cung cấp dịch vụ Internet có thể thiết lập thời gian chết tối đa có thể chấp nhận được, nếu vượt quá trong một khoảng thời gian nhất định, sẽ dẫn đến tín dụng hoá đơn hoặc (nếu muốn) huỷ bỏ hợp đồng dịch vụ.