【TechTarget中国原创】困难的经济时期一般和大幅裁员、合并和收购相关。越来越多的这种活动对数据安全造成了潜在的威胁，但是大部分的安全专家都认为大型公司都有适当地程序，确保主要动荡时期的安全和数据的完整性。数据安全厂商 Informatica Corp.的总裁兼首席安全官Clardiu Popa解释说合并和收购强制IT安全专家关注内部威胁。Popa列举了一些确保不稳定时期的数据安全和用户信任的策略和最佳实践。

　　面临合并和收购（M&A）的公司在安全方面的最大挑战是什么？

　　Claudiu Popa：合并和收购是公司的敏感时期。这个时期信息资产的风险受几个因素的影响而增加，例如实施的不同策略、人员、无效程序、领导的中断以及不严格的安全控制。这种情况下的过渡时期最后导致的不仅是安全泄露，更严重的是使其更难检测。任何进行合并和出售的公司都必须测试他们的商业连贯性计划、他们的安全相应程序以及验证他们员工的安全意识等级，准备过渡时期。

　　最后，这个过渡时期关键的一个方面是不可避免的反复，以及对内部安全的影响。无论员工是因为不满，还是只是感觉没有人看到，加强安全监控和回顾员工协议绝对必要。但是因为项目众多以及变更管理的挑战，企业和行政人员把安全放到的规则基础上。部分原因是很难找到这种服务的出色的安全咨询人员。需要找到提供包括基于标准的安全项目管理（SPM）的公司。

　　对于那些不能继续业务可能被收购的金融公司而言可以采用那些数据安全措施？

　　Popa：我们在金融行业看到的这种类型的裁员和合并是一些严重的问题的起因，因为在有限的时间内这么多的人才和金融数据的易手导致每天都会发生错误。这些公司的客户需要询问他们的机构的属性和他们存储的可以确认的个人信息量。公司的客户也应该每月都审查银行的状态，尽快发现安全问题。不幸的事实是在企业变更基本方式的情况下，代表巨大公司价值的信息资产可能首先被错放或者被窃取。很难判定这些信息是否用用于欺骗或者其他的非授权的目的。

　　我了解到金融公司比其他行业根甘泉，但是在经济危机时期公司的安全状态会降低吗？

　　Popa：整体上来说，当经济遇到公司的架构、所有权和操作都变化的时期，企业和信息安全的状况也不太好。不幸的是，最后的安全和隐私修楼趋向于影响公司的声誉和责任状态。如果有适当地标准控制架构，金融组织就可以防御、检测并控制潜在的灾难。

　　在合并和收购过程中，收购的公司多块可以并应该执行实践和策略？

　　Popa：收购的公司必须在并购前进行全面的教育、文件和指导方针的沟通和解释。两边的员工都需要知道策略、程序、表转和指南，确保合并的顺利进行。人力资源部必须了解可能导致安全失误的义务和责任。员工和管理人员必须明确地了解哪些信息他们可以带走，哪些必须过渡。第三方组织和咨询必须慎重管理、防御信息泄露和安全问题。

　　我觉得还需要执行代沟分析。收购公司应该查找什么？

　　Popa：代沟分许的执行是在作为整个项目的一部分的风险管理中，而且由参与过渡的每个部门分别进行。关键的部门是那些广泛使用信息的部门，例如IT、人力资源、客户服务和市场。策略、认知、监控，特别是法规标准上的代沟都被标记了，而且代表了整个组织内的安全地过渡和程序、技术相关的信息的基础。一旦完成了安全平衡，新的企业就可以关注他们的程序，执行策略，并持续监控安全状态。

　　确保数据完整性和安全性的最佳方法是什么？

　　Popa：成熟的信息安全管理程序是持续并验证保护信息的唯一方法。每个企业都需要采取数据分类策略，而这些策略可以使人员、程序和技术有效地处理企业信息。为了恰当地保护数据，安全专家需要采用标准化的控制架构。这个架构应该涵盖所有的安全因素：机密性、完整性和可用性。阻止对敏感数据的访问还不够。数据需要具有预防性、可检测、可矫正和补偿控制来确定是不是有什么事情发生，数据泄露应该可以在最短的时间内被分析、包含和修复。

　　可以采用的最好的做法是把人员、程序和技术分开：人员必须培训、动员并了解安全威胁，以便作出保护数据的正确决定。必须改进程序确保安全，而不降低生产力和可用性。必须慎重的采用技术，保证它可以有效地保证安全而不是妨碍。在帮助减少和控制风险和其他对操作系统和被邀请用户的负面影响的安全措施下有一条的线，可以绕过控制，完成工作。精确的安全很难达到，但是一旦企业到达了成熟的水平，安全措施就不只节约时间和资金了，还可以改进可信性和效率。