Integrar considerações de risco de segurança na estratégia e prática de aquisição

Integração das considerações de riscos de segurança na estratégia e prática de aquisição ajuda a minimizar a introdução de riscos novos ou desconhecidos para a organização. Diz-se frequentemente que a segurança em uma organização é tão forte quanto seu elo mais fraco. No contexto de fusões e aquisições, muitas vezes uma das organizações será mais seguro do que o outro. Conectando duas organizações em conjunto antes da análise suficiente pode resultar em prejuízo significativo das capacidades da nova organização de segurança.

A tarefa de políticas de conciliação, requisitos, processos de negócios e procedimentos durante uma fusão ou aquisição raramente é simples. Além disso, não deve haver nenhum pressuposto de políticas, requisitos, processos e procedimentos, sendo o “certo” ou “melhor” maneira para todas as partes na fusão ou aquisição de uma organização - mesmo se essa organização é a entidade adquirente.

Em vez disso, as políticas individuais, requisitos, processos e procedimentos de cada organização deve ser avaliada para identificar a melhor solução para a nova organização formada daqui para frente.

Hardware, software e serviços

Qualquer novo hardware, software ou serviços que estão sendo consideradas por uma organização devem ser adequadamente avaliados para determinar tanto como ela irá impactar segurança e risco postura geral da organização, e como ela afetará o outro hardware, software ou serviços já existentes dentro da organização . Por exemplo, questões de integração pode ter um impacto negativo sobre a integridade e disponibilidade do sistema.

Video: 05 dicas importantes para construir uma cultura de segurança na sua empresa

Avaliação por terceiros e monitoramento



Em uma fusão ou aquisição, é importante considerar os terceiros que cada organização traz para a mesa. Não só as organizações aquisição ou fusão precisa examinar cuidadosamente os seus programas de risco de terceiros, mas também um novo olhar sobre os terceiros-se é necessário, para garantir que o nível de risco relacionados uns terceiros não mudou em função da fusão ou aquisição.

Video: Momento segurança - Hierarquia de controle de risco

Quaisquer novas avaliações ou monitoramento de terceiros deve ser cuidadosamente considerada. Contratos (incluindo a privacidade, os requisitos de confidencialidade e requisitos de segurança) e os acordos de nível de serviço (SLAs, discutidas mais adiante nesta seção) deve ser revisto para garantir que todas as questões de segurança importantes e requisitos regulamentares ainda são tratadas adequadamente.

requisitos mínimos de segurança

Mínimas de segurança requisitos, normas e linhas de base devem ser documentadas para garantir que eles são totalmente compreendidos e considerados na estratégia e prática de aquisição. Misturando os requisitos de segurança de duas organizações anteriormente separadas quase nunca é tão fácil como simplesmente combiná-los juntos em um único documento. Em vez disso, pode haver muitos casos de sobreposição, subposição, e contradição que todos devem ser conciliados. Um período de transição pode ser necessária, para que haja tempo suficiente para ajustar as configurações de segurança e arquiteturas para atender o novo conjunto de requisitos após a fusão ou aquisição.

Video: Análise de Risco [ A ] - Piscou, Recebeu

requisitos de nível de serviço

Acordos de Nível de Serviço (SLAs) estabeleça requisitos mínimos de desempenho para um sistema, aplicativo, rede ou serviço. Uma organização estabelece SLAs internos para fornecer aos seus usuários finais com uma expectativa realista do desempenho dos seus sistemas e serviços de informação. Por exemplo, um SLA central de suporte pode dar prioridade incidentes como 1, 2, 3, e 4, e estabelecer o tempo de resposta de SLA de dez minutos, 1 hora, 4 horas e 24 horas, respectivamente. Em relacionamentos com terceiros, SLAs fornecer requisitos de desempenho contratuais que um parceiro de outsourcing ou vendedor deve atender. Por exemplo, um SLA com um provedor de serviços de Internet pode estabelecer um tempo de inatividade máximo aceitável que, se for excedido dentro de um determinado período, resulta em créditos na factura ou (se desejar) o cancelamento do contrato de serviço.


Publicações relacionadas