並購給IT系統安全帶來額外的挑戰。兼並不可避免地將有著不同的安全理念、政策、技術和需要的安全部門合並在一起。Dimension Data North America公司國家安全實踐主管Chris Ellerman說:“如果一家公司實行‘所有的安全需求由公司內部滿足’的政策,而另一家公司外包安全設備,顯然他們存在著矛盾。”而這只是在合並的機構處在相同的垂直行業時的情況。當合並跨垂直行業時,差異可能更大,並且在一些情況下完全不能調和。Ellerman說:“我看到過由於兩家公司的垂直行業需求的原因,合並導致了兩個部門在一個IT骨干網上永久地在不同的安全水平上運營。”Ellerman為那些在新的一年中可能的兼並做准備或正在進行合並的企業給出了以下建議。1. 不要輕率地合並安全系統。很多的安全設備廠商保證合並的各方將擁有非常不同的安全設備和技術的組合,即使它們的業務結構和IT基礎設施類似。Ellerman說:“安全性常常直接與具體的應用聯系在一起。破壞這些安全系統會停止關鍵的業務服務,從而可能使收購合作伙伴的業務陷於停頓。顯然,你不能這麼做。”相反,自學教程,他建議兩家公司繼續獨立運營(可能在它們的IT部門之間的鏈路上采取額外的安全措施),並由來自兩家公司的包括專家在內的安全團隊對形勢進行評估。2. 帶著計劃進行合並。Ellerman說:“像Oracle這樣的擁有豐富收購經驗的公司制訂了在兼並最後完成時可以實施的計劃。一旦得到合並的通知就訂購所需的設備。這些公司能夠消化新收購公司的速度可能讓人吃驚。”3. 從關注確保業務推動因素的自評估入手。當企業要求全球咨詢機構Dimension Data為兼並過程提供幫助時,Dimension Data從進行為期一天的自評估入手。自評估首先關注確定合並各方中的業務推動因素。所涉及的推動因素通常包括來自雙方的高級業務與IT管理團隊的關鍵成員(包括CIO和來自雙方CEO辦公室的代表)。最後,他們清楚地掌握每家公司的安全政策和立場的關鍵要素(包括它們的弱點)及這些基礎設施背後的業務邏輯。這將成為定義最後合並的安全部門的目標狀態的基礎。高級管理人員隨時參與這項工作,因為他們希望看到反映合並後業務計劃的需要。4. 確定被收購公司的關鍵安全人員,並讓他們加入安全團隊。這件事不要也不應當淪為一場內部政治的“我們 Vs. 他們”的戰爭。Ellerman說:“畢竟,有誰比被收購實體的CSO更了解他們的安全架構以及弱點呢?你肯定希望IT部門的收購目標不僅僅只是收購更多的設備。你希望將來自兩家公司的最優秀的人員組合在一起,組成最強的IT部門,並且這個IT部門包括安全部門。”外包IT安全是當今常見的戰略,並且如果其中的一個部門被外包的話,那麼這時,外包服務提供商的安全團隊顯然必須參與進來。由於外包商為眾多客戶(常常處在不同垂直行業)提供安全保護,外包商通常非常有經驗,而且這種經驗非常有價值。如果外包服務提供商與它最初合作的公司有著良好的關系,5自學網,在這種情況下,合並的公司常常也會外包收購雙方的安全業務。但是,這並不是唯一可能的戰略。在作出最後決定之前可以先維持現狀(一家公司的安全業務被外包,另一家不外包),由管理層進行評估之後,再決定是由內部承擔安全業務還是完全外包。5. 謹慎行事。合並過程中的兩家公司以不同的安全水平運行並不稀奇。例如,一家公司可能在訪問網絡時要求雙因素認證,而另一家公司使用簡單的口令認證。在安全基礎設施能夠合並,以及安全水平較低的公司采用更高的標准前(假設這是最終的計劃),公司將在兩家公司之間的鏈路中采取額外的安全措施,將具有較低安全水平的公司作為半可信合作伙伴來對待。如果兩家公司將作為獨立的部門存在下去,不進行合並—尤其是如果它們在具有不同的安全需要的、不同的垂直行業運營時,這種安排可能成為永久的方式。如果兩家公司將在運營級上合並,安全團隊將需要在可能的地方采用標准的安全技術集合。但是,它們必須小心謹慎,在轉變過程中將給業務流程造成的破壞減小到最低程度。6. 在評估安全水平變化的影響後,再進行變化。安全性始終是保護與訪問企業運營所需要的信息和應用之間的折中。正如安全專家常常談論的那樣,最安全的系統是鎖在沒人可以進入的金庫中與所有東西完全隔離的系統。但是,這種系統對業務沒有什麼好處。在評估安全政策、水平和技術時,重要的是詢問一些關鍵問題:這將給業務造成多大破壞?訪問IT資源所需的額外時間和精力會讓公司付出多大代價?更強保護的好處會大於它給業務運營造成的影響嗎?風險程度或遵從性問題證明需要更高的安全性嗎?合並一方以比另一方具有更高的安全水平運營,這並不意味著更高水平的安全是合並後公司的更好選擇。管理層必須評估安全問題的各個方面,才能為公司做出最好的總體決定。企業並購時需要考慮的安全要點■ 不要輕率地合並安全系統。■ 帶著計劃進行合並。■ 從關注確保業務推動因素的自評估入手。■ 確定被收購公司的關鍵安全人員,並讓他們加入安全團隊。■ 謹慎行事。■ 在評估安全水平變化的影響後,再進行變化。