并购给IT系统安全带来额外的挑战。兼并不可避免地将有着不同的安全理念、政策、技术和需要的安全部门合并在一起。Dimension Data North America公司国家安全实践主管Chris Ellerman说:“如果一家公司实行‘所有的安全需求由公司内部满足’的政策,而另一家公司外包安全设备,显然他们存在着矛盾。”
而这只是在合并的机构处在相同的垂直行业时的情况。当合并跨垂直行业时,差异可能更大,并且在一些情况下完全不能调和。Ellerman说:“我看到过由于两家公司的垂直行业需求的原因,合并导致了两个部门在一个IT骨干网上永久地在不同的安全水平上运营。”
Ellerman为那些在新的一年中可能的兼并做准备或正在进行合并的企业给出了以下建议。
1. 不要轻率地合并安全系统。很多的安全设备厂商保证合并的各方将拥有非常不同的安全设备和技术的组合,即使它们的业务结构和IT基础设施类似。
Ellerman说:“安全性常常直接与具体的应用联系在一起。破坏这些安全系统会停止关键的业务服务,从而可能使收购合作伙伴的业务陷于停顿。显然,你不能这么做。”相反,他建议两家公司继续独立运营(可能在它们的IT部门之间的链路上采取额外的安全措施),并由来自两家公司的包括专家在内的安全团队对形势进行评估。
2. 带着计划进行合并。Ellerman说:“像Oracle这样的拥有丰富收购经验的公司制订了在兼并最后完成时可以实施的计划。一旦得到合并的通知就订购所需的设备。这些公司能够消化新收购公司的速度可能让人吃惊。”
3. 从关注确保业务推动因素的自评估入手。当企业要求全球咨询机构Dimension Data为兼并过程提供帮助时,Dimension Data从进行为期一天的自评估入手。自评估首先关注确定合并各方中的业务推动因素。所涉及的推动因素通常包括来自双方的高级业务与IT管理团队的关键成员(包括CIO和来自双方CEO办公室的代表)。
最后,他们清楚地掌握每家公司的安全政策和立场的关键要素(包括它们的弱点)及这些基础设施背后的业务逻辑。这将成为定义最后合并的安全部门的目标状态的基础。高级管理人员随时参与这项工作,因为他们希望看到反映合并后业务计划的需要。
4. 确定被收购公司的关键安全人员,并让他们加入安全团队。这件事不要也不应当沦为一场内部政治的“我们 Vs. 他们”的战争。Ellerman说:“毕竟,有谁比被收购实体的CSO更了解他们的安全架构以及弱点呢?你肯定希望IT部门的收购目标不仅仅只是收购更多的设备。你希望将来自两家公司的最优秀的人员组合在一起,组成最强的IT部门,并且这个IT部门包括安全部门。”
外包IT安全是当今常见的战略,并且如果其中的一个部门被外包的话,那么这时,外包服务提供商的安全团队显然必须参与进来。由于外包商为众多客户(常常处在不同垂直行业)提供安全保护,外包商通常非常有经验,而且这种经验非常有价值。
如果外包服务提供商与它最初合作的公司有着良好的关系,在这种情况下,合并的公司常常也会外包收购双方的安全业务。但是,这并不是唯一可能的战略。在作出最后决定之前可以先维持现状(一家公司的安全业务被外包,另一家不外包),由管理层进行评估之后,再决定是由内部承担安全业务还是完全外包。
5. 谨慎行事。合并过程中的两家公司以不同的安全水平运行并不稀奇。例如,一家公司可能在访问网络时要求双因素认证,而另一家公司使用简单的口令认证。在安全基础设施能够合并,以及安全水平较低的公司采用更高的标准前(假设这是最终的计划),公司将在两家公司之间的链路中采取额外的安全措施,将具有较低安全水平的公司作为半可信合作伙伴来对待。
如果两家公司将作为独立的部门存在下去,不进行合并—尤其是如果它们在具有不同的安全需要的、不同的垂直行业运营时,这种安排可能成为永久的方式。如果两家公司将在运营级上合并,安全团队将需要在可能的地方采用标准的安全技术集合。但是,它们必须小心谨慎,在转变过程中将给业务流程造成的破坏减小到最低程度。
6. 在评估安全水平变化的影响后,再进行变化。安全性始终是保护与访问企业运营所需要的信息和应用之间的折中。正如安全专家常常谈论的那样,最安全的系统是锁在没人可以进入的金库中与所有东西完全隔离的系统。但是,这种系统对业务没有什么好处。
在评估安全政策、水平和技术时,重要的是询问一些关键问题:这将给业务造成多大破坏?访问IT资源所需的额外时间和精力会让公司付出多大代价?更强保护的好处会大于它给业务运营造成的影响吗?风险程度或遵从性问题证明需要更高的安全性吗?
合并一方以比另一方具有更高的安全水平运营,这并不意味着更高水平的安全是合并后公司的更好选择。管理层必须评估安全问题的各个方面,才能为公司做出最好的总体决定。
企业并购时需要考虑的安全要点
■ 不要轻率地合并安全系统。
■ 带着计划进行合并。
■ 从关注确保业务推动因素的自评估入手。
■ 确定被收购公司的关键安全人员,并让他们加入安全团队。
■ 谨慎行事。
■ 在评估安全水平变化的影响后,再进行变化。