Table des matières:
- Matériel, logiciels et services
- Évaluation et surveillance par une tierce partie
- Exigences minimales de sécurité
- Exigences de niveau de service
Vidéo: Grand Débat des Idées avec des intellectuels (Partie 3) 2024
L'intégration des considérations de sécurité dans la stratégie et la pratique d'acquisition permet de minimiser l'introduction de risques nouveaux ou inconnus dans l'organisation. On dit souvent que la sécurité dans une organisation est seulement aussi forte que son lien le plus faible. Dans le contexte des fusions et acquisitions, souvent l'une des organisations sera plus sûre que l'autre. Relier deux organisations avant qu'une analyse suffisante puisse entraîner une dégradation significative des capacités de sécurité de la nouvelle organisation.
La tâche consistant à concilier les politiques, les exigences, les processus d'affaires et les procédures au cours d'une fusion ou d'une acquisition est rarement simple. En outre, il ne devrait pas y avoir de supposition que les politiques, exigences, processus et procédures d'une organisation constituent le «bon» ou le «meilleur» moyen pour toutes les parties à la fusion ou à l'acquisition - même si cette organisation est l'entité acquérante.
Au lieu de cela, les politiques, les exigences, les processus et les procédures individuels de chaque organisation devraient être évalués afin d'identifier la meilleure solution pour la nouvelle organisation formée à l'avenir.
Matériel, logiciels et services
Tout nouveau matériel, logiciel ou service pris en compte par une organisation doit être évalué de manière appropriée afin de déterminer à la fois l'impact sur la sécurité globale et la posture des risques de l'organisation, et comment cela affectera d'autres matériels, logiciels ou services déjà en place au sein de l'organisation. Par exemple, les problèmes d'intégration peuvent avoir un impact négatif sur l'intégrité et la disponibilité d'un système.
Évaluation et surveillance par une tierce partie
Lors d'une fusion ou d'une acquisition, il est important de tenir compte des tierces parties que chaque organisation apporte à la table. Non seulement les organisations acquéreuses ou fusionnées doivent examiner attentivement leurs programmes de gestion des risques des tiers, mais il est également nécessaire de se pencher de nouveau sur les tiers eux-mêmes pour s'assurer que le niveau de risque lié à chaque tierce partie n'a pas changé à la suite de la fusion. ou acquisition.
Toute nouvelle évaluation ou surveillance par une tierce partie doit être soigneusement examinée. Les contrats (y compris la confidentialité, les exigences de confidentialité et de sécurité) et les accords de niveau de service (SLA, abordés plus loin dans cette section) doivent être revus pour garantir que tous les problèmes de sécurité importants et les exigences réglementaires sont correctement traités.
Exigences minimales de sécurité
Les exigences minimales de sécurité, les normes et les niveaux de référence doivent être documentés pour s'assurer qu'ils sont bien compris et pris en compte dans la stratégie et la pratique d'acquisition.Fusionner les exigences de sécurité de deux organisations auparavant distinctes n'est presque jamais aussi simple que de les combiner en un seul document. Au lieu de cela, il peut y avoir de nombreux cas de chevauchement, de sous-cliché et de contradiction qui doivent tous être réconciliés. Une période de transition peut être nécessaire, de sorte qu'il y ait suffisamment de temps pour ajuster les configurations de sécurité et les architectures afin de répondre à la nouvelle série d'exigences après la fusion ou l'acquisition.
Exigences de niveau de service
Les accords de niveau de service (SLA) établissent des normes de performances minimales pour un système, une application, un réseau ou un service. Une organisation établit des SLA internes pour fournir à ses utilisateurs finaux des attentes réalistes quant à la performance de ses systèmes et services d'information. Par exemple, un SLA de centre d'assistance peut classer par ordre de priorité les incidents 1, 2, 3 et 4 et établir des temps de réponse SLA de dix minutes, 1 heure, 4 heures et 24 heures, respectivement. Dans les relations avec des tiers, les contrats de niveau de service fournissent des exigences de performance contractuelle qu'un partenaire ou un fournisseur d'externalisation doit respecter. Par exemple, un SLA avec un fournisseur d'accès Internet peut établir un temps d'arrêt maximum acceptable qui, s'il est dépassé dans une période donnée, entraîne des crédits de facture ou (si désiré) une annulation du contrat de service.
