Índice:
- Hardware, software e serviços
- Avaliação e monitoramento de terceiros
- Requisitos mínimos de segurança
- Requisitos de nível de serviço
Vídeo: 2ª Edição do Pardini Investor's Day 2024
A integração de considerações de risco de segurança na estratégia e prática de aquisição ajuda a minimizar a introdução de riscos novos ou desconhecidos na organização. Costuma-se dizer que a segurança em uma organização é tão forte quanto o link mais fraco. No contexto de fusões e aquisições, muitas vezes uma das organizações será mais segura do que a outra. Conectando duas organizações antes de uma análise suficiente pode resultar em comprometimento significativo das capacidades de segurança da nova organização.
A tarefa de conciliar políticas, requisitos, processos de negócios e procedimentos durante uma fusão ou aquisição raramente é direta. Além disso, não deve ser assumido que as políticas, os requisitos, os processos e os procedimentos de uma organização sejam a maneira "correta" ou "melhor" para todas as partes na incorporação ou aquisição - mesmo que essa organização seja a entidade adquirente.
Em vez disso, as políticas, requisitos, processos e procedimentos individuais de cada organização devem ser avaliados para identificar a melhor solução para a nova organização formada no futuro.
Hardware, software e serviços
Qualquer novo hardware, software ou serviços considerados por uma organização deve ser avaliado de forma adequada para determinar a forma como isso impactará a segurança geral e a postura de risco da organização, e como isso afetará outros hardware, software ou serviços já existentes dentro da organização. Por exemplo, problemas de integração podem ter um impacto negativo na integridade e disponibilidade de um sistema.
Avaliação e monitoramento de terceiros
Em uma fusão ou aquisição, é importante considerar os terceiros que cada organização traz à mesa. Não só as organizações de aquisição ou de fusão precisam examinar cuidadosamente seus programas de risco de terceiros, mas também é necessário um novo olhar para os terceiros, para garantir que o nível de risco relacionado a cada terceiro não tenha mudado à luz da fusão ou aquisição.
Qualquer nova avaliação ou monitoramento de terceiros deve ser cuidadosamente considerado. Os contratos (incluindo a privacidade, os requisitos de não divulgação e os requisitos de segurança) e os acordos de nível de serviço (SLAs, discutidos mais adiante nesta seção) devem ser revisados para garantir que todas as questões de segurança importantes e os requisitos regulamentares ainda sejam abordados adequadamente.
Requisitos mínimos de segurança
Os requisitos mínimos de segurança, padrões e linhas de base devem ser documentados para garantir que sejam totalmente compreendidos e considerados na estratégia e na prática de aquisição.A combinação de requisitos de segurança de duas organizações anteriormente separadas quase nunca é tão fácil como simplesmente combiná-las em um único documento. Em vez disso, pode haver muitos exemplos de sobreposição, subjacente e contradição que devem ser todos reconciliados. Pode ser necessário um período de transição, de modo que haja tempo suficiente para ajustar as configurações de segurança e arquiteturas para atender ao novo conjunto de requisitos após a fusão ou aquisição.
Requisitos de nível de serviço
Os acordos de nível de serviço (SLAs) estabelecem padrões mínimos de desempenho para um sistema, aplicativo, rede ou serviço. Uma organização estabelece SLA internos para fornecer aos seus usuários finais uma expectativa realista do desempenho de seus sistemas e serviços de informação. Por exemplo, um SLA de help desk pode priorizar incidentes como 1, 2, 3 e 4 e estabelecer tempos de resposta de SLA de dez minutos, 1 hora, 4 horas e 24 horas, respectivamente. Em relacionamentos de terceiros, os SLAs fornecem requisitos de desempenho contratuais que um parceiro ou fornecedor de terceirização deve atender. Por exemplo, um SLA com um provedor de serviços de Internet pode estabelecer um tempo de inatividade máximo aceitável que, se excedido dentro de um determinado período, resulta em créditos de fatura ou (se desejado) cancelamento do contrato de serviço.
