【TechTarget中国原创】在技术行业内,经常会发生并购。几乎每天,商业新闻中都有一篇文章的标题是关于两个公司合并或者较大的竞争对手收购了一家小型企业的。这些交易中,每个都涵盖了一系列复杂的行为,随着重复功能、程序和资源的消失,旨在巩固业务并削减成本。
尽管,信息安全专业人士经常会接到这样的任务:调节潜在的两个不相干的网络安全策略的设置。虽然这至少可以说可能是一种尝试性的任务,但是幸运的是,有许多策略可以帮助公司在充满挑战的并购过程中获得成功。
当我们进行合并策略的进程时,重要的是要切记合并可能会影响参与者的心态。公司合并可以创造一个不确定、怀疑和恐惧的气氛,而且公司环境的突然改变会在员工之间造成一定的压力。因此,在整个网络安全策略的一体化进程中,要留意每个人所面临的困难。
下面我们来看一些可以缓解过渡转变所带来的压力的实际策略:
不要着急。记住这句格言:“罗马不是一天建成的”。安全策略的开发是一项复杂的事业,并且需要仔细的、有条不紊的方法。没有一种早期的安全策略是在短时间内完成的,因此,不要试图短时间内将其综合起来。
考虑所有的选择。在合并两个不同组织的安全策略时,可以有三个基本的公开的选择:全部采用其中的一个或者另一个安全策略;将两个策略的要素结合到一个新的策略中;或者从头开始编写一个新的策略。当一个企业开始合并进程时,重要的是对所有这些方法持开放的态度,不论合并的环境是什么情况。实际上来说,虽然政治上的考虑可能会影响到方法,但是如果整个进程不受这些问题影响的话,整个团队都会受益。比如,考虑这样一种情况:在公司网络上使用个人计算机时,合并的两个公司有不同的策略。一家公司可能完全禁止这种行为,而另一家公司可能对这种行为没有任何限制。这种情况下,可接受的方法就是发展一项折中的策略,即如果它们已经通过了初步的安全控制测试,那么允许有限制地使用这样的系统。
囊括一个广泛的团队。某一个人闭门独立完成的策略注定要失败。应该将更广范围的人(来自并购的两个企业中)引入策略合并团队,以确保可以考虑多方面的因素。这样的安排使得更多的个人对最终结果有一种拥有的感觉,也使得合并后的企业更容易接受该小组的工作。再来看一下上面提到的例子:有关将个人所有的系统连接到公司网络方面的策略。如果该企业决定采取一个折中的策略,拥有来自有两个组织的代表就有助于为所有小组成员提供一种主人翁意识,大大增加了接受的可能性。
畅通的交流。任何合并中都必然会存在混乱,因此重要的是在信息安全责任方面与员工进行管理交流。在合并策略的时候,应当采取过渡阶段的措施,以确保全体员工了解对他们的期望是什么。在这个问题上,从组织中的其它员工那里获得一些提示。在一段时间内,两个组织是否需要采用不同的管理结构来运行呢?如果是的话,就可能需要告知员工,在接到指示之前,他们只需要遵守与过去相同的安全策略和程序。无论如何,要重点突出、言简意赅,并与整个组织的员工进行沟通交流。
采取分阶段的方法来改变。如果合并策略会导致一方或者两方在开展业务时发生急剧的变化,那么有可能的话,试着分阶段实施这些策略。这就使员工有时间按步骤地适应这些新要求,并且可以有机会评估员工接受策略的进度,以确保整个进程有条不紊的进行。比如,在某个组织中,外界可以不受约束地访问是以前的规范,如果某个员工想要强制在此实施内容过滤,那么最好考虑分阶段实施:最初的阶段先阻止最异常的站点访问;接下来的阶段中,警告用户新的策略可能会阻止他们所访问的内容。这就使得用户有机会测试,确定在哪些区域新的策略可能会干扰业务的需求。
公司合并带来了众多技术和业务方面的挑战。然而,合并网络策略并非总是关于技术方面的。成功的并购决议一方面需要与两个不同的组织进行有效地沟通另一方面需要审慎的决定,同时考虑到双方的策略和员工。