时至今日,越来越多的企业开始意识到,对被合并及收购组织的安全态势进行追踪,应该成为尽职调查工作中的重要组成部分。

1. 尽早参与网络安全事务

通常来讲,合并与收购工作中往往涉及交易团队与整合团队; 而网络安全小组属于整合团队中的一部分。然而,交易团队在处理相关工作时可能会忽略某些重要问题——例如没有意识到兼并对象的知识产权已经遭到泄露。

在大多数情况下,安全专业人员往往会在流程后半段才真正介入,且主要负责帮助母公司将收购到的业务安全地整合至原有网络当中。他们通常会通过纸质记录对安全控制体系进行快速审查,并提出以下问题:是否部署有防火墙?兼并对象采用了哪种安全监控方法?具体治理结构如何?

但在纸质记录审查之外,较为成熟的企业会选择尽早引入安全团队以开展评估,旨在确定对方过去是否曾遭遇到安全违规事件。他们还将组织渗透测试,用于了解入侵目标网络的具体难度。

2. 制定成熟的资产管理计划

在收购交易当中,母公司的主要任务在于收集新的数字资产并将其放置在安全的数据库当中——此类资产具体包括软件、移动应用、基础设施以及/或者相关软件与硬件。以此为起点,安全团队需要将这些资产安置在一套集中的数据库内,并为其进行风险评分。在这一过程中,安全团队将了解到其风险水平,以及新引入的这批资产以往是否曾经遭遇入侵。

3. 建立可靠的第三方风险计划

相当一部分规模可观的数据泄露事故实际上源自第三方间的安全漏洞。在这方面,Target公司与美国联邦人事管理办公室数据泄露案正是最好的例证。因此,企业必须评估由第三方引入的风险,并对其做出具体分析。

Optiv公司的Holmes认为,在此背景下进行的风险分析工作,是指对第三方关系做出评估。“您所收购的公司很可能将某些关键性业务功能外包给第三方供应商。因此,您不仅要对公司本身进行尽职调查,还需要了解并/或制定相关流程,从而管理组织所面临的第三方风险。这是风险分析工作中的一大重要方面,且能够基本定义该组织承受的实际风险水平。”

4. 实现良好治理

大多数大型企业都拥有着相当完善的治理程序。然而,中小型企业却往往缺少这样的明确流程。他们需要围绕所采用的技术建立软件开发控制体系,同时考虑如何将新技术引入自身生态系统并保持合规性水平。在大多数情况下,尽管这类企业能够理解合规程序,但仍然需要接受管理方能保障无虞。

举例来说,Optiv公司的Holmes认为如果一家大型医疗保健公司收购了某进行销售点交易的瑜伽工作室,那么双方都可能面临新的、受到不同法规约束的交易方式。Holmes指出,“当IT团队进行相关整合工作,即将样报技术与新程序引入业务环境时,他们需要努力保障PCI等合规性要求得到满足。虽然人们对这些要求并不陌生,但其仍然需要得到切实管理/治理。换言之,作为一项得到广泛理解与认同的标准性工作,企业还是有必要对合规性做出强调。”

5. 双方安全人员会面

兼并双方至少应该组织安全团队层面的会谈,以便了解母公司所抱持的安全观点。两支队伍应该交换与安全方法相关的信息,并在某些情况下为被收购方提供一定程度的控制权——这主要是考虑到其遵循的一部分政策将被整合至母公司当中。通常,双方需要多轮会议才能确定最终要采用的具体流程。

6. 考虑收购对运营活动的影响

双方企业还必须决定收购方以独立单位的身份运作,抑或完全融入母公司。大多数安全团队会在零信任模式下对新成员进行隔离,并在未来几个月中以此种方式持续加以观察——具体方法在很大程度上取决于母公司做出的品牌决策。但需要强调的是,高层管理人员应当借此考虑收购计划中的安全性因素,并确保在这一隔离周期内将相关问题一一解决。

本文由安全内参翻译自DarkReading

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。