Integrar las consideraciones de riesgos de seguridad en la estrategia y la práctica de adquisición

Video: Análisis de Seguridad en el trabajo

La integración de las consideraciones de riesgo de seguridad en la estrategia y la práctica adquisición ayuda a minimizar la introducción de riesgos nuevos o desconocidos en la organización. A menudo se dice que la seguridad en una organización es sólo tan fuerte como su eslabón más débil. En el contexto de las fusiones y adquisiciones, a menudo una de las organizaciones será más seguro que el otro. La conexión de dos organizaciones juntos antes de un análisis suficiente puede dar lugar a un deterioro significativo de las capacidades de seguridad de la nueva organización.

Video: Métodología de análisis y estrategias para el Control del Riesgo

La tarea de las políticas de conciliación, requisitos, procesos de negocio y procedimientos durante una fusión o adquisición es suele ser sencillo. Además, no debería haber ninguna asunción de las políticas, los requisitos, los procesos y procedimientos que son la “correcta” o “mejor” para todas las partes en la fusión o adquisición de una organización - incluso si esa organización es la entidad adquiriente.

En su lugar, las políticas individuales, requisitos, procesos y procedimientos de cada organización deben ser evaluados para identificar la mejor solución para la nueva organización formada en el futuro.

Hardware, software y servicios

Cualquier nuevo hardware, software o servicios que se están considerando por una organización deben ser evaluados apropiadamente para determinar tanto cómo afectará a la seguridad y el riesgo de la organización postura general, y cómo afectará a otro tipo de hardware, software o servicios ya existentes dentro de la organización . Por ejemplo, los problemas de integración pueden tener un impacto negativo sobre la integridad y la disponibilidad de un sistema.

Video: Metodología de Análisis y Estrategias para el Control del Riesgo

evaluación y seguimiento de terceros

En una fusión o adquisición, es importante tener en cuenta los terceros que cada organización trae a la mesa. No sólo las organizaciones adquirir o fusionarse necesitan examinar cuidadosamente sus sistemas contra los riesgos de terceros, sino también una nueva mirada a las terceras partes mismas que se necesita, para asegurar que el nivel de riesgo relacionado con cada tercero no ha cambiado a la luz de la fusión o adquisición.

Video: Gestión monetaria y gestión del riesgo - Trading Room 2016

Cualquier nuevas evaluaciones de terceros o de supervisión deben ser considerados cuidadosamente. Contratos (incluyendo la privacidad, los requisitos de confidencialidad, y los requisitos de seguridad) y los acuerdos de nivel de servicio (SLA, que se analizan más adelante en esta sección) deben ser revisados ​​para asegurar que todos los problemas de seguridad importantes y los requisitos reglamentarios todavía son tratadas adecuadamente.

Los requisitos mínimos de seguridad

Mínimas de seguridad requisitos, normas y líneas de base deben ser documentados para garantizar que son totalmente entendidas y consideradas en la estrategia y la práctica de adquisición. Mezclar los requisitos de seguridad de dos organizaciones que antes estaban separados casi nunca es tan fácil como simplemente la combinación de ellos juntos en un solo documento. En su lugar, puede haber muchos casos de solapamiento, subsolape, y la contradicción que todos deben conciliarse. Un período de transición puede ser necesaria, por lo que hay tiempo suficiente para ajustar las configuraciones y arquitecturas de seguridad para cumplir con el nuevo conjunto de requisitos después de la fusión o adquisición.

requisitos de nivel de servicio

Acuerdos de Nivel de Servicio (SLA) establecen estándares mínimos de rendimiento para un sistema, la aplicación, la red o servicio. Una organización establece SLA internos para proporcionar a sus usuarios finales con una expectativa realista del rendimiento de sus sistemas y servicios de información. Por ejemplo, un SLA mesa de ayuda podría dar prioridad a los incidentes como 1, 2, 3, y 4, y establecer los tiempos de respuesta de SLA de diez minutos, 1 hora, 4 horas, y 24 horas, respectivamente. En las relaciones con terceros, los SLA se especifican los requisitos de rendimiento contractuales que deben cumplir un socio de externalización o vendedor. Por ejemplo, un SLA con un proveedor de servicios de Internet puede establecer un tiempo de inactividad máximo aceptable que, si se excede dentro de un período determinado, los resultados en créditos en factura o cancelación del contrato de servicio (si se desea).

Artículos Relacionados
Empleos seguridad de la información: la gobernabilidad y la gestión del riesgo
Empleos seguridad de la información: consejo estándar de seguridad pci
Seguridad de la información cumplimiento de la normativa y la privacidad: fisma
Seguridad de la información cumplimiento de la normativa y la privacidad: hipaa, hitech, y sarbanes-oxley
Normas de seguridad de la información: iso 27001
Funciones de los puestos superiores en la gestión de seguridad de la información
Adquirir las entradas del equipo de proyecto en el examen de certificación pmp
Preguntas y preocupaciones sobre la transición a las metodologías ágiles
Linux: 2 partes de auditorías de seguridad informática
Clasificar la información y los activos de apoyo para la seguridad de los activos
Desarrollar e implementar políticas, normas de seguridad, procedimientos y directrices documentadas
Establecer requisitos de manipulación para asegurar los datos
Implementar y gestionar los procesos de ingeniería usando los principios de diseño seguras
Marcos de control de seguridad
Los riesgos de la gobernabilidad computación en la nube
¿Cómo crear una estrategia de seguridad informática en la nube
El desarrollo de un entorno seguro nube híbrida
Gobierno de la nube híbrida: riesgos y expectativas
Las capacidades clave en la gestión de la prestación de servicios nube
Cómo crear un plan de seguridad informática en la nube