在技术行业内,经常会发生并购。几乎每天,商业新闻中都有一篇文章的标题是关于两个公司合并或者较大的竞争对手收购了一家小型企业的。这些交易中,每个都涵盖了一系列复杂的行为,随着重复功能、程序和资源的消失,旨在巩固业务并削减成本。 尽管,信息安全专业人士经常会接到这样的任务:调节潜在的两个不相干的网络安全策略的设置。
虽然这至少可以说可能是一种尝试性的任务,但是幸运的是,有许多策略可以帮助公司在充满挑战的并购过程中获得成功。 当我们进行合并策略的进程时,重要的是要切记合并可能会影响参与者的心态。公司合并可以创造一个不确定、怀疑和恐惧的气氛,而且公司环境的突然改变会在员工之间造成一定的压力。因此……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在技术行业内,经常会发生并购。几乎每天,商业新闻中都有一篇文章的标题是关于两个公司合并或者较大的竞争对手收购了一家小型企业的。这些交易中,每个都涵盖了一系列复杂的行为,随着重复功能、程序和资源的消失,旨在巩固业务并削减成本。
尽管,信息安全专业人士经常会接到这样的任务:调节潜在的两个不相干的网络安全策略的设置。虽然这至少可以说可能是一种尝试性的任务,但是幸运的是,有许多策略可以帮助公司在充满挑战的并购过程中获得成功。
当我们进行合并策略的进程时,重要的是要切记合并可能会影响参与者的心态。公司合并可以创造一个不确定、怀疑和恐惧的气氛,而且公司环境的突然改变会在员工之间造成一定的压力。因此,在整个网络安全策略的一体化进程中,要留意每个人所面临的困难。
下面我们来看一些可以缓解过渡转变所带来的压力的实际策略:
不要着急。记住这句格言:“罗马不是一天建成的”。安全策略的开发是一项复杂的事业,并且需要仔细的、有条不紊的方法。没有一种早期的安全策略是在短时间内完成的,因此,不要试图短时间内将其综合起来。
考虑所有的选择。在合并两个不同组织的安全策略时,可以有三个基本的公开的选择:全部采用其中的一个或者另一个安全策略;将两个策略的要素结合到一个新的策略中;或者从头开始编写一个新的策略。当一个企业开始合并进程时,重要的是对所有这些方法持开放的态度,不论合并的环境是什么情况。实际上来说,虽然政治上的考虑可能会影响到方法,但是如果整个进程不受这些问题影响的话,整个团队都会受益。比如,考虑这样一种情况:在公司网络上使用个人计算机时,合并的两个公司有不同的策略。一家公司可能完全禁止这种行为,而另一家公司可能对这种行为没有任何限制。这种情况下,可接受的方法就是发展一项折中的策略,即如果它们已经通过了初步的安全控制测试,那么允许有限制地使用这样的系统。
囊括一个广泛的团队。某一个人闭门独立完成的策略注定要失败。应该将更广范围的人(来自并购的两个企业中)引入策略合并团队,以确保可以考虑多方面的因素。这样的安排使得更多的个人对最终结果有一种拥有的感觉,也使得合并后的企业更容易接受该小组的工作。再来看一下上面提到的例子:有关将个人所有的系统连接到公司网络方面的策略。如果该企业决定采取一个折中的策略,拥有来自有两个组织的代表就有助于为所有小组成员提供一种主人翁意识,大大增加了接受的可能性。
畅通的交流。任何合并中都必然会存在混乱,因此重要的是在信息安全责任方面与员工进行管理交流。在合并策略的时候,应当采取过渡阶段的措施,以确保全体员工了解对他们的期望是什么。在这个问题上,从组织中的其它员工那里获得一些提示。在一段时间内,两个组织是否需要采用不同的管理结构来运行呢?如果是的话,就可能需要告知员工,在接到指示之前,他们只需要遵守与过去相同的安全策略和程序。无论如何,要重点突出、言简意赅,并与整个组织的员工进行沟通交流。
采取分阶段的方法来改变。如果合并策略会导致一方或者两方在开展业务时发生急剧的变化,那么有可能的话,试着分阶段实施这些策略。这就使员工有时间按步骤地适应这些新要求,并且可以有机会评估员工接受策略的进度,以确保整个进程有条不紊的进行。比如,在某个组织中,外界可以不受约束地访问是以前的规范,如果某个员工想要强制在此实施内容过滤,那么最好考虑分阶段实施:最初的阶段先阻止最异常的站点访问;接下来的阶段中,警告用户新的策略可能会阻止他们所访问的内容。这就使得用户有机会测试,确定在哪些区域新的策略可能会干扰业务的需求。
公司合并带来了众多技术和业务方面的挑战。然而,合并网络策略并非总是关于技术方面的。成功的并购决议一方面需要与两个不同的组织进行有效地沟通另一方面需要审慎的决定,同时考虑到双方的策略和员工。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
相关推荐
-
评估厂商安全策略:你应该关注这五个问题
网络空间的动态特性要求安全策略适应这一趋势。很多安全损害首先是由于针对厂商的攻击引起的,所有企业必须解决与厂商有关的网络威胁。评估厂商的安全策略是一种确保数据安全性的合理方法。
-
将平板电脑用于工作合适吗?安全问题怎么解决?
平板电脑是不是不如笔记本电脑安全呢?我在为我的公司制定设备安全策略,是否应该禁用平板?或者采取特定的平板安全策略来限制特定厂商/OS的平板设备的使用?
-
手把手教你实现有效的漏洞评估
要想使漏洞评估更有成效,强健的安全策略就应当将漏洞对业务的影响、企业的总体安全策略、漏洞评估的结果联系起来。在本文中,详述了为确保有效性,漏洞评估应遵循的步骤。
-
网络透明是企业实现更高安全性的诀窍
更大更多样化的网络意味着攻击者有了更大的攻击面。对此,现在的网络专业人士必须更新其安全政策来应对新的漏洞以及响应不可避免的攻击。但首先,他们需要对其网络有着清晰的视图。