并购安全在交易过程中往往被忽视,埋下隐患。以下是英国《赛马邮报》(Racing Post) 在三年内处理三宗收购的方式,每宗收购都有自己的安全要求。

媒体作为一个现在很大程度上依赖在线服务生存的行业,安全性应该成为每家媒体公司商业战略的一个关键部分。在一个竞争激烈、过度饱和且读者忠诚度往往较低的行业,服务中断或客户信息泄露可能会造成灾难性的结果。然而根据Akamai的媒体安全报告,只有1%的受访者表示他们对当前的安全措施 “非常有信心”。

作为一家经历过数据泄露的公司,英国《赛马邮报》(Racing Post)也对其安全战略进行了反思。他们进行了三笔收购,如果交易方式不当,这些收购可能会带来一些问题。

数据泄露如何促使《赛马邮报》(Racing Post)重新评估其安全性

《赛马邮报》于1986年由阿联酋总理和迪拜酋长Mohammed bin Rashid Al Maktoum创办,是一家致力于赛马和赛狗以及体育博彩的出版商。除了一份日报,该企业还拥有自己的网站和应用程序,专门向赛马爱好者、博彩玩家和经纪人,以及赛马和纯种马顾问提供内容。

虽然《赛马邮报》最出名的是它的报纸,但该公司的首席运营官Johan Pieterse解释道,报纸只占公司业务的10%左右。他将《赛马邮报》描述为一家通过印刷,网络和全球范围内的API和B2B,提供30年来赛马数据以及越来越多的赛狗信息的一家企业。

我们使用数据,然后处理这些数据。我们在其中加入了我们的见解,为我们的客户提供更有价值的内容。

Pieterse于2019年2月被任命为CSO,负责物理安全、信息安全和合规。在2013年加入Racing Post之前,他曾在南非的TopLink Technologies、RealConnect和三星 (Samsung) 任职多个IT相关职位,之后来到英国加入了西门子 (Siemens)。

Pieterse作为运营主管加入《赛马邮报》,并在一场安全事件导致该公司重新评估其安全性的同一年被任命为安全主管。

在《赛马邮报》工作的第一天,我去找IT主管,问他最近一次进行渗透测试是什么时候,他告诉我是2007年。他说别担心,一切都很好,没有人会入侵《赛马邮报》,我们有其他更重要的事情需要担心。10个月后,我们开始讨论如何解决我们的数据库被入侵的问题。

一开始黑客试图在该公司的一台服务器上强行破解密码。尽管《赛马邮报》试图解决这个问题,攻击者还是窃取了超过65万名客户的姓名、地址、密码和电话号码。尽管该公司没有受到ICO的罚款,但这件事情确实强调了采取新的安全措施的必要性。

Pieterse在被任命为安全主管并评估了《赛马邮报》的安全状况后,他决定将ISO 27001作为处理安全问题的框架。帮助企业渡过这段时期,是一个非常有趣和充满挑战的过程。全国记者联盟(NUJ)参与了我们的工作,我们必须经历这个过程,让他们围绕所有不同的安全政策以及我们要做的事情和监控的内容。

据Pieterse的说法,如今《赛马邮报》的安全团队 “至精至简”,并致力于保护客户数据及其提供的内容。

从高层开始

尽管受到一些员工的反对,获得高层的支持,对于帮助公司变得更加注重安全,并遵循Pieterse制定的流程非常重要。

Johan表示,其中一个大问题是身份牌。在一个开放式办公环境中,和另一家公司共用办公室,如果想知道谁在这里,就必须携戴身份牌。

为了消除大家这种不情愿携戴身份牌的情绪,他去找CEO寻求更多的公众支持。除了带头佩戴自己的身份牌之外,这位首席执行官还说道如果博彩经纪人——《赛马邮报》的主要合作伙伴——都佩戴身份牌,他们为什么不能呢?

该公司的开发人员还必须经历一场变革,因为公司开始考虑安全设计。他们已将GitHub扫描集成到其流程中,因此,每当《赛马邮报》的开发人员向分支机构交付工作时,都会扫描代码来强调任何问题。代码扫描也在预生产阶段进行,公司每年会为所有产品进行一次外部渗透测试。

他们必须改变思维方式。我们让他们通过安全意识课程,知道应该做什么,如何进行安全开发。他们知道,如果他们不按照设计编写代码并进行安全性操作,这些代码就会被扫描器发现,然后他们就必须重新进行这项工作。刚开始的时候,有很多人反对,(我们)说:不好意思,代码不够好。慢慢地,他们开始变得越来越好,现在我们很少这么对他们说了。

这种预先考虑安全性的思维方式也被应用到公司的架构中,加速了开发过程。通过这种发生不需要再项目开始后暂停项目来解决安全问题。现在他们认为这是整个设计流程的一部分。它不再是一个附加项。在过去,也就是五年前,几乎所有的事情都搁置了,不得不重头开始。

并购安全可能很复杂

很多人在并购的最后一刻才考虑安全性问题。然而,正如去年万豪(Marriott)的数据泄露事件所证明的那样,忽视网络尽职调查需要付出高昂的代价。

《赛马邮报》在过去三年里进行了三笔收购——英国营销机构ICS Media、澳大利亚关于赛马养殖和培训的出版物,澳新银行 (ANZ) 的Bloodstock News,以及提供博彩应用程序和网站的Apsley Group的多数股权。每一次收购都有其自身的复杂性,而且随着每次并购的发生,他们开始考虑安全问题的时间也越来越提前。

Pieterse说道,第一次收购可能是最有趣的一次,因为我们是最后被告知的。我们之前买了一家公司,没有安全方的介入。

对于Pieterse和《赛马邮报》来说,幸运的是这是一家只有不到12名员工的小公司,因此评估公司的安全状况、在必要的地方进行调整,然后进行整合并没有想象的那么困难。

下一家公司出现了,由于经验,我们表示,我们需要更早地参与到这个过程中。这公司大约有25名员工,规模稍微大一些,他们有一些既定的系统。我们首先了解了他们有什么,记录了所有内容,进行差距分析,然后考虑我们可以在哪里开始合并系统,以及我们需要在哪里使其符合规范,然后将其带到我们的环境中。我们花了大约一年的时间才完成了所有工作,确保我们符合GDPR的要求,然后开始进行系统整合。

第三次收购可能是最复杂的,需要做的工作也最多,但幸运的是,在售前和尽职调查阶段,公司早早就考虑了安全性问题,了解公司是如何处理数据和安全问题的。最后一次收购,有100多名员工,两个独立的法律实体拥有四个不同的电子邮件系统。一开始就很明显,这将是一个挑战。

四个邮件系统需要进行整合,他们还缺乏强制密码策略,数据存储在公开的Google Docs中,他们还购买翻新的笔记本电脑不管其软件许可或硬件是否已经被重新格式化和经过安全处理。

距《赛马邮报》预计在完成完全整合之前,将需要两年时间将公司数据和安全提升到可接受的水平。现在已经过去六个月了。

很多人认为你买了另一家公司,你把它们加进去就可以了。事情没那么简单,他们没有意识到其中涉及的工作量。你必须去看看他们到底有什么,你要做些什么,然后开始合并。合并实际发生时,实际会涉及到什么,如何合并数据等等。

CSO应该就风险向企业提出建议,而不是承担责任

CSO的平均任期非常短。来自分析公司企业战略集团(ESG)和信息系统安全协会(ISSA)的一份报告估计,CISO在一个职位上的平均时间为24到48个月,而数据泄露或安全事件往往会加速其离职。然而,Pieterse认为,这一重任不应该只落在CSO身上。

Pieterse表示,年前这个网站被入侵的时候,所有人都指责你没有尽到自己的责任。我想改变这种情况。在我看来,我是一名商业顾问。我向董事会提供咨询和建议。企业决定他们想做什么。如果你想做一个我认为不对的决定,你是在告诉我,你接受这些风险,你愿意承担这些风险。我没有必要把一切都扛在肩上。

Pieterse说,他得到了董事会和首席执行官的全力支持,但在沟通方面,他尽量保持简洁,避免使用行话。

我不谈论风险涉及的实际技术细节。我从企业信誉和经营的角度阐述它将如何影响业务。我解释了有什么风险,它对我们声誉会有什么影响,如果发生这种情况,以下是减轻这种风险办法,而这些则是减轻这种风险对经营的影响。让我们回到业务逻辑上来,因为这些是他们谈论的,也是他们所理解的。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。