Sommario:
- Hardware, software e servizi
- Valutazione e monitoraggio di terze parti
- Requisiti minimi di sicurezza
- Requisiti del livello di servizio
Video: Zeitgeist Addendum 2024
L'integrazione delle considerazioni sui rischi per la sicurezza nella strategia e nella pratica dell'acquisizione consente di ridurre al minimo l'introduzione di rischi nuovi o sconosciuti nell'organizzazione. Si dice spesso che la sicurezza in un'organizzazione è forte quanto il suo anello più debole. Nel contesto di fusioni e acquisizioni, spesso una delle organizzazioni sarà più sicura dell'altra. Il collegamento di due organizzazioni prima che un'analisi sufficiente possa comportare una riduzione significativa delle funzionalità di sicurezza della nuova organizzazione.
Il compito di conciliare politiche, requisiti, processi aziendali e procedure durante una fusione o acquisizione è raramente semplice. Inoltre, non si dovrebbe presumere che le politiche, i requisiti, i processi e le procedure di un'organizzazione siano il modo "giusto" o "migliore" per tutte le parti nella fusione o acquisizione - anche se tale organizzazione è l'entità acquirente.
Invece, le singole politiche, i requisiti, i processi e le procedure di ogni organizzazione dovrebbero essere valutati per identificare la migliore soluzione per la nuova organizzazione formata in futuro.
Hardware, software e servizi
Eventuali nuovi hardware, software o servizi presi in considerazione da un'organizzazione devono essere valutati in modo appropriato per determinare sia l'impatto che avrà sulla sicurezza generale e la postura del rischio dell'organizzazione, e come influenzerà altri hardware, software o servizi già presenti nell'organizzazione. Ad esempio, i problemi di integrazione possono avere un impatto negativo sull'integrità e sulla disponibilità di un sistema.
Valutazione e monitoraggio di terze parti
In una fusione o acquisizione, è importante considerare le terze parti che ogni organizzazione porta in tavola. Non solo le organizzazioni di acquisizione o di fusione devono esaminare attentamente i loro programmi di rischio di terzi, ma è anche necessario un nuovo sguardo alle terze parti stesse, per garantire che il livello di rischio relativo a ciascuna terza parte non sia cambiato alla luce della fusione o acquisizione.
Qualsiasi nuova valutazione o monitoraggio di terze parti dovrebbe essere attentamente considerato. Contratti (compresi privacy, requisiti di non divulgazione e requisiti di sicurezza) e accordi sul livello di servizio (SLA, discussi più avanti in questa sezione) dovrebbero essere rivisti per garantire che tutte le questioni importanti relative alla sicurezza e ai requisiti normativi siano ancora affrontate adeguatamente.
Requisiti minimi di sicurezza
I requisiti minimi di sicurezza, gli standard e le linee di base devono essere documentati per garantire che siano pienamente compresi e considerati nella strategia e nella pratica dell'acquisizione.La combinazione dei requisiti di sicurezza di due organizzazioni precedentemente separate non è quasi mai facile come combinarli insieme in un unico documento. Invece, ci possono essere molti casi di sovrapposizione, sottosopra e contraddizione che devono essere tutti riconciliati. Potrebbe essere necessario un periodo di transizione, in modo che ci sia un ampio margine di tempo per regolare le configurazioni di sicurezza e le architetture per soddisfare la nuova serie di requisiti dopo la fusione o l'acquisizione.
Requisiti del livello di servizio
Accordi sul livello di servizio (SLA) stabiliscono standard minimi di prestazioni per un sistema, un'applicazione, una rete o un servizio. Un'organizzazione stabilisce SLA interni per fornire ai propri utenti finali un'aspettativa realistica delle prestazioni dei propri sistemi e servizi di informazione. Ad esempio, uno SLA di help desk potrebbe dare la priorità agli incidenti come 1, 2, 3 e 4 e stabilire tempi di risposta SLA rispettivamente di dieci minuti, 1 ora, 4 ore e 24 ore. Nelle relazioni di terze parti, gli SLA forniscono requisiti di prestazione contrattuali che un partner o un fornitore di outsourcing deve soddisfare. Ad esempio, uno SLA con un fornitore di servizi Internet potrebbe stabilire un tempo di inattività massimo accettabile che, se superato entro un determinato periodo, dà luogo a crediti di fatturazione o (se lo si desidera) all'annullamento del contratto di servizio.
