Cuprins:
- Orice hardware, software sau servicii noi luate în considerare de o organizație ar trebui evaluate în mod corespunzător pentru a determina atât impactul asupra securității globale a organizației, cât și asupra poziției de risc, și cum va afecta alte hardware, software sau servicii deja existente în cadrul organizației. De exemplu, problemele de integrare pot avea un impact negativ asupra integrității și disponibilității sistemului.
- Într-o fuziune sau achiziție, este important să se ia în considerare părțile terțe pe care fiecare organizație le aduce la masă. Nu numai că organizațiile care achiziționează sau care fuzionează trebuie să examineze cu atenție programele de risc ale unor terțe părți, dar este nevoie și de o analiză nouă a părților terțe, pentru a se asigura că nivelul de risc legat de fiecare terță parte nu sa schimbat în lumina fuziunii sau achiziție.
- Cerințele minime de securitate, standardele și liniile de bază ar trebui să fie documentate pentru a se asigura că acestea sunt pe deplin înțelese și luate în considerare în strategia și practica de achiziție.Îmbinarea cerințelor de securitate de la două organizații separate anterior nu este aproape niciodată la fel de simplă ca combinarea pur și simplu într-un singur document. În schimb, s-ar putea să existe mai multe cazuri de suprapunere, subalarm și contradicție care trebuie toate reconciliate. Este posibil să fie necesară o perioadă de tranziție, astfel încât să existe suficient timp pentru a ajusta configurațiile și arhitecturile de securitate pentru a satisface noul set de cerințe după fuziune sau achiziție.
- Acordurile la nivel de serviciu
Video: Ilie Creciun — Considerații privind politica de clemenţă 2024
Integrarea considerațiilor privind riscul de securitate în strategia și practica de achiziție ajută la minimizarea introducerii unor riscuri noi sau necunoscute în organizație. Se spune adesea că securitatea într-o organizație este la fel de puternică ca și cea mai slabă legătură. În contextul fuziunilor și achizițiilor, uneori una dintre organizații va fi mai sigură decât cealaltă. Conectarea împreună a două organizații înainte de o analiză suficientă poate duce la deteriorarea semnificativă a capacităților de securitate ale noii organizații.
Sarcina de a concilia politici, cerințe, procese de afaceri și proceduri în timpul unei fuziuni sau achiziții este rareori simplă. Mai mult, nu ar trebui să se presupună că politicile, cerințele, procesele și procedurile unei organizații sunt cele "corecte" sau "cele mai bune" pentru toate părțile implicate în fuziune sau achiziție - chiar dacă acea organizație este entitatea dobânditoare.
În schimb, politicile, cerințele, procesele și procedurile individuale ale fiecărei organizații ar trebui evaluate pentru a identifica cea mai bună soluție pentru noua organizație formată.
Orice hardware, software sau servicii noi luate în considerare de o organizație ar trebui evaluate în mod corespunzător pentru a determina atât impactul asupra securității globale a organizației, cât și asupra poziției de risc, și cum va afecta alte hardware, software sau servicii deja existente în cadrul organizației. De exemplu, problemele de integrare pot avea un impact negativ asupra integrității și disponibilității sistemului.
Într-o fuziune sau achiziție, este important să se ia în considerare părțile terțe pe care fiecare organizație le aduce la masă. Nu numai că organizațiile care achiziționează sau care fuzionează trebuie să examineze cu atenție programele de risc ale unor terțe părți, dar este nevoie și de o analiză nouă a părților terțe, pentru a se asigura că nivelul de risc legat de fiecare terță parte nu sa schimbat în lumina fuziunii sau achiziție.
Orice noi evaluări sau monitorizări terțe părți ar trebui să fie luate în considerare cu atenție. Contractele (inclusiv cerințele privind confidențialitatea, confidențialitatea și cerințele de securitate) și acordurile la nivel de serviciu (SLA, discutate mai târziu în această secțiune) ar trebui revizuite pentru a se asigura că toate aspectele importante de securitate și cerințele de reglementare sunt încă abordate în mod adecvat.
Cerințe minime de securitate
Cerințele minime de securitate, standardele și liniile de bază ar trebui să fie documentate pentru a se asigura că acestea sunt pe deplin înțelese și luate în considerare în strategia și practica de achiziție.Îmbinarea cerințelor de securitate de la două organizații separate anterior nu este aproape niciodată la fel de simplă ca combinarea pur și simplu într-un singur document. În schimb, s-ar putea să existe mai multe cazuri de suprapunere, subalarm și contradicție care trebuie toate reconciliate. Este posibil să fie necesară o perioadă de tranziție, astfel încât să existe suficient timp pentru a ajusta configurațiile și arhitecturile de securitate pentru a satisface noul set de cerințe după fuziune sau achiziție.
Cerințe la nivel de serviciu
Acordurile la nivel de serviciu
(SLA) stabilesc standarde minime de performanță pentru un sistem, o aplicație, o rețea sau un serviciu. O organizație stabilește SLA interne pentru a le oferi utilizatorilor finali o așteptare realistă a performanței sistemelor și serviciilor sale de informare. De exemplu, un birou de asistență SLA ar putea să prioritizeze incidentele ca 1, 2, 3 și 4 și să stabilească timpii de răspuns SLA de zece minute, 1 oră, 4 ore și, respectiv, 24 de ore. În relațiile cu terții, SLA furnizează cerințe de performanță contractuală pe care trebuie să le îndeplinească un partener extern sau un furnizor. De exemplu, un SLA cu un furnizor de servicii de internet ar putea stabili o perioadă de întrerupere maximă acceptabilă, care, dacă este depășită într-o anumită perioadă, conduce la credite pe factură sau, dacă se dorește, la anularea contractului de servicii.