Inhaltsverzeichnis:
- Hardware, Software und Services
- Fremdbeurteilung und Überwachung
- Mindestsicherheitsanforderungen
- Service-Level-Anforderungen
Video: 100 Jahre DiCV - Festakt Paderborn 2025
Die Berücksichtigung von Sicherheitsrisiken in der Akquisitionsstrategie und -praxis trägt dazu bei, die Einführung neuer oder unbekannter Risiken in die Organisation zu minimieren. Es wird oft gesagt, dass Sicherheit in einer Organisation nur so stark ist wie ihr schwächstes Glied. Im Zusammenhang mit Fusionen und Übernahmen ist oft eine der Organisationen sicherer als die andere. Die Verbindung zweier Organisationen vor einer ausreichenden Analyse kann zu einer erheblichen Beeinträchtigung der Sicherheitsfunktionen der neuen Organisation führen.
Die Aufgabe der Abstimmung von Richtlinien, Anforderungen, Geschäftsprozessen und Verfahren während einer Fusion oder Akquisition ist selten einfach. Darüber hinaus sollte es keine Annahme geben, dass die Richtlinien, Anforderungen, Prozesse und Verfahren einer Organisation der "richtige" oder "beste" Weg für alle Parteien in der Fusion oder dem Erwerb sind - selbst wenn diese Organisation die übernehmende Einheit ist.
Stattdessen sollten die einzelnen Richtlinien, Anforderungen, Prozesse und Verfahren jeder Organisation bewertet werden, um die beste Lösung für die neu gegründete Organisation zu finden.
Hardware, Software und Services
Alle neuen Hardware, Software oder Services, die von einer Organisation in Betracht gezogen werden, sollten angemessen bewertet werden, um festzustellen, wie sie sich auf die allgemeine Sicherheits- und Risikobereitschaft des Unternehmens auswirken. und wie sich dies auf andere Hardware, Software oder Dienste auswirken wird, die bereits in der Organisation vorhanden sind. Integrationsprobleme können sich beispielsweise negativ auf die Integrität und Verfügbarkeit eines Systems auswirken.
Fremdbeurteilung und Überwachung
Bei einer Fusion oder Übernahme ist es wichtig, die Drittparteien zu berücksichtigen, die jede Organisation an den Tisch bringt. Die Acquiring- oder Merger-Organisationen müssen nicht nur ihre Risikoprogramme von Drittanbietern sorgfältig prüfen, sondern es muss auch ein neuer Blick auf die Drittparteien selbst geworfen werden, um sicherzustellen, dass sich das Risikoprofil jeder dritten Partei angesichts der Fusion nicht geändert hat. oder Erwerb.
Jede neue Bewertung oder Überwachung durch Dritte muss sorgfältig geprüft werden. Verträge (einschließlich Datenschutz-, Geheimhaltungs- und Sicherheitsanforderungen) und Service-Level-Agreements (SLAs, die später in diesem Abschnitt besprochen werden) sollten überprüft werden, um sicherzustellen, dass alle wichtigen Sicherheitsprobleme und regulatorischen Anforderungen weiterhin adäquat behandelt werden.
Mindestsicherheitsanforderungen
Die Mindestsicherheitsanforderungen, Standards und Baselines sollten dokumentiert werden, um sicherzustellen, dass sie vollständig verstanden und in der Anschaffungsstrategie und -praxis berücksichtigt werden.Das Kombinieren von Sicherheitsanforderungen aus zwei zuvor getrennten Organisationen ist fast nie so einfach, wie sie einfach zu einem einzigen Dokument zusammenzufassen. Stattdessen kann es viele Fälle von Überlappung, Unterschneidung und Widerspruch geben, die alle miteinander in Einklang gebracht werden müssen. Eine Übergangszeit kann erforderlich sein, so dass ausreichend Zeit zur Verfügung steht, um die Sicherheitskonfigurationen und -architekturen anzupassen, um die neuen Anforderungen nach der Fusion oder Übernahme zu erfüllen.
Service-Level-Anforderungen
Service-Level-Agreements (SLAs) legen Mindestleistungsstandards für ein System, eine Anwendung, ein Netzwerk oder einen Dienst fest. Eine Organisation legt interne SLAs fest, um ihren Endnutzern realistische Erwartungen an die Leistung ihrer Informationssysteme und -dienste zu bieten. Beispielsweise kann ein Helpdesk-SLA Ereignisse als 1, 2, 3 und 4 priorisieren und SLA-Antwortzeiten von zehn Minuten, 1 Stunde, 4 Stunden bzw. 24 Stunden festlegen. In SLA-Beziehungen stellen SLAs vertragliche Leistungsanforderungen dar, die ein Outsourcing-Partner oder ein Lieferant erfüllen muss. Beispielsweise kann ein SLA mit einem Internetdienstanbieter eine maximal akzeptable Ausfallzeit festlegen, die bei Überschreitung innerhalb eines bestimmten Zeitraums zu Rechnungsgutschriften oder (falls gewünscht) zur Stornierung des Servicevertrags führt.
