Inhoudsopgave:
- Hardware, software en services
- Beoordeling en monitoring door derden
- Minimale beveiligingsvereisten
- Serviceniveau-vereisten
Door beveiligingsrisicofactoren te integreren in acquisitiestrategieën en -praktijken, wordt de introductie van nieuwe of onbekende risico's in de organisatie tot een minimum beperkt. Er wordt vaak gezegd dat de beveiliging in een organisatie slechts zo sterk is als de zwakste schakel. In het kader van fusies en overnames is vaak een van de organisaties veiliger dan de andere. Het samenvoegen van twee organisaties voordat er voldoende analyse plaatsvindt, kan leiden tot aanzienlijke aantasting van de beveiligingsmogelijkheden van de nieuwe organisatie.
Het afstemmen van beleid, vereisten, bedrijfsprocessen en procedures tijdens een fusie of overname is zelden eenvoudig. Verder mag er geen veronderstelling zijn dat het beleid, de eisen, processen en procedures van één organisatie de "juiste" of "beste" manier zijn voor alle partijen bij de fusie of overname - zelfs als die organisatie de overnemende entiteit is.
In plaats daarvan moeten de afzonderlijke beleidslijnen, vereisten, processen en procedures van elke organisatie worden beoordeeld om de beste oplossing te vinden voor de nieuw gevormde organisatie in de toekomst.
Hardware, software en services
Alle nieuwe hardware, software of services die door een organisatie worden overwogen, moeten op de juiste manier worden geëvalueerd om te bepalen hoe dit de algehele beveiliging en risicostand van de organisatie zal beïnvloeden, en hoe dit van invloed zal zijn op andere hardware, software of services die al in de organisatie aanwezig zijn. Integratievraagstukken kunnen bijvoorbeeld een negatieve invloed hebben op de integriteit en beschikbaarheid van een systeem.
Beoordeling en monitoring door derden
Bij een fusie of overname is het belangrijk om rekening te houden met de derde partijen die elke organisatie naar de tafel brengt. Niet alleen moeten de overnemende of fuserende organisaties zorgvuldig hun derde risicoprogramma's onderzoeken, maar ook is een frisse blik op de derde partijen zelf nodig om ervoor te zorgen dat het risiconiveau van elke derde partij niet is veranderd in het licht van de fusie of acquisitie.
Alle nieuwe beoordelingen door derden of monitoring moeten zorgvuldig worden overwogen. Contracten (inclusief privacy, niet-openbaarmakingsvereisten en beveiligingsvereisten) en serviceniveauovereenkomsten (SLA's, die later in dit gedeelte worden besproken) moeten worden herzien om ervoor te zorgen dat alle belangrijke beveiligingsproblemen en wettelijke vereisten nog steeds adequaat worden aangepakt.
Minimale beveiligingsvereisten
Minimale beveiligingsvereisten, normen en basislijnen moeten worden gedocumenteerd om ervoor te zorgen dat ze volledig worden begrepen en meegewogen in de acquisitiestrategie en -praktijk.Het combineren van beveiligingsvereisten van twee voorheen afzonderlijke organisaties is bijna nooit zo eenvoudig als ze eenvoudig samenvoegen tot één document. In plaats daarvan kunnen er veel gevallen van overlapping, overlapping en tegenspraak zijn die allemaal met elkaar moeten worden verzoend. Er kan een overgangsperiode nodig zijn, zodat er na de fusie of overname voldoende tijd is om de beveiligingsconfiguraties en architecturen aan te passen om te voldoen aan de nieuwe reeks vereisten.
Serviceniveau-vereisten
Service Level Agreements (SLA's) stellen minimale prestatienormen vast voor een systeem, applicatie, netwerk of service. Een organisatie stelt interne SLA's vast om haar eindgebruikers een realistische verwachting te geven over de prestaties van haar informatiesystemen en -diensten. Een SLA voor een helpdesk kan bijvoorbeeld prioriteit geven aan incidenten als 1, 2, 3 en 4 en SLA-reactietijden van respectievelijk tien minuten, 1 uur, 4 uur en 24 uur instellen. In externe relaties bieden SLA's contractuele prestatie-eisen waaraan een outsourcingpartner of leverancier moet voldoen. Een SLA met een internetserviceprovider kan bijvoorbeeld een maximaal acceptabele downtime vaststellen die, indien deze binnen een bepaalde periode wordt overschreden, resulteert in facturen of (indien gewenst) annulering van het servicecontract.
