【TechTarget中国原创】合并和收购为IT部门创造了一个具有挑战性的环境。尽管交易可能会很快完成,但是接下来的系统整合却需要花费几个月的工夫——如果不是几年的话——来完成。
新近合并的组织试图通过组合其网络应用基础设施提高效率,这种行为是很常见的。而这样的努力可以带来大量与安全相关的挑战,通往成功的最佳途径需要一个公正的安全机制考核,以及英明的决策,以确定哪些运行效果最好,哪些需要添加或者替换。
网络应用合并风险分析
当两个企业合并的时候,它们肯定会有不同的安全理念、策略、技术、以及网络应用安全的相关要求。比如,允许客户追踪订货进度的电子商务网站就必须比在订货完成后仅发送电子邮件的网站允许对后端系统进行更深入的访问。如果一个组织已经使用博客和wiki技术来与雇员和客户进行交流,那么变更控制就可能成为另一个冲突。
由于每家公司有不同的方法和需求,来自两家企业的人员共同组成的团队必须承担对新公司所暴露风险的评价工作,并为合并的网络安全操作设定目标。在被收购公司进行正当审查时,应当实行风险分析,包括确定关键业务的驱动装置、工作流程的需要、预算、时间和性能标准,进而理解现有安全基础设施背后的安全策略和业务逻辑。
但是,在两个合并的企业整合网络应用程序前,应该使用综合的渗透测试对其边界防御的强度、远程访问的安全性和第三方连接进行评估。这期间,两个企业应当继续分开运作。只要这些任务完成,两个企业的安全情况就会变得明朗。渗透测试可以帮助确定是否可以实现基本的安全目标,并且标记出可能对网络应用的合并产生任何影响的不足之处。
安全往往是与具体的应用程序直接挂钩的,尤其是基于Web的应用。在安全防御和程序中实施任何变更之前,需要对其影响进行评估。如果客户的信息数据库合并了,最受关注的领域可能就会出现。应该重新评估应用和用户访问权限,而且所有应用中的数据有效性都要进行重新评估,以确保它们可以正确处理数据领域内的任何变更。应用程序处理信息的方式的任何变更都应当进行审查,确保该应用程序不会突然受到逻辑攻击的威胁。下一步,应当在物理安全和事故响应程序过程中,对业务连续性和灾难恢复计划进行更新和测试。随着企业开始合并,可能会出现网络容量问题。在任何过渡期,都需要对系统和应用的稳定性进行监测,以使业务流程的中断最低。
结论
尽管在合并中保持应用程序的安全性是一个挑战,但是这样的事件为降低成本、实行一套安全技术标准、以及研究新的理念和安全管理模式提供了机会。许多组织发现使用负责所有的安全进程的中央安全概况很有用。通常人们认为这是一种更有效的模式,因为它可以确保安全性更加协调,更有效地利用资源。毕竟,资源利用是促使公司合并的第一要素。