Mengintegrasikan pertimbangan risiko keamanan ke dalam strategi dan praktek akuisisi

Mengintegrasikan pertimbangan risiko keamanan ke dalam strategi dan praktik akuisisi membantu meminimalkan pengenalan risiko baru atau yang tidak diketahui ke dalam organisasi. Sering dikatakan bahwa keamanan dalam sebuah organisasi hanya sekuat keterkaitannya yang paling lemah. Dalam konteks merger dan akuisisi, seringkali salah satu organisasi akan lebih aman dari yang lain. Menghubungkan dua organisasi bersama-sama sebelum analisis yang memadai dapat menyebabkan penurunan kemampuan keamanan organisasi baru yang signifikan.

Sebaliknya, setiap kebijakan, persyaratan, proses dan prosedur masing-masing organisasi harus dinilai untuk mengidentifikasi solusi terbaik bagi organisasi baru yang terbentuk.

Perangkat keras, perangkat lunak, atau layanan baru yang dipertimbangkan oleh sebuah organisasi harus dievaluasi dengan tepat untuk menentukan bagaimana dampaknya terhadap keseluruhan keamanan dan risiko sistem, dan bagaimana hal itu akan mempengaruhi perangkat keras, perangkat lunak, atau layanan lain yang sudah ada dalam organisasi. Misalnya, masalah integrasi dapat berdampak negatif terhadap integritas dan ketersediaan sistem.

Penilaian dan pemantauan pihak ketiga

Dalam merger atau akuisisi, penting untuk mempertimbangkan pihak ketiga yang dibawa oleh setiap organisasi ke meja. Tidak hanya organisasi pengambilalihan atau merger yang perlu memeriksa secara seksama program risiko pihak ketiga mereka, namun juga melihat segar pihak ketiga sendiri diperlukan, untuk memastikan bahwa tingkat risiko yang terkait dengan masing-masing pihak ketiga tidak berubah karena merger atau akuisisi

Setiap penilaian atau pemantauan pihak ketiga yang baru harus dipertimbangkan dengan cermat. Kontrak (termasuk persyaratan privasi, persyaratan non-pengungkapan, dan persyaratan keamanan) dan perjanjian tingkat layanan (SLA, yang akan dibahas kemudian di bagian ini) harus ditinjau untuk memastikan bahwa semua masalah keamanan dan persyaratan peraturan yang penting masih ditangani secara memadai.

Persyaratan keamanan minimum

Persyaratan keamanan minimum, standar dan garis dasar harus didokumentasikan untuk memastikan mereka sepenuhnya dipahami dan dipertimbangkan dalam strategi dan praktik akuisisi.Memadukan persyaratan keamanan dari dua organisasi yang sebelumnya terpisah hampir tidak semudah menggabungkannya menjadi satu dokumen. Sebaliknya, mungkin ada banyak contoh tumpang tindih, kekurangan, dan kontradiksi yang harus didamaikan. Masa transisi mungkin diperlukan, sehingga ada banyak waktu untuk menyesuaikan konfigurasi keamanan dan arsitektur untuk memenuhi persyaratan baru setelah merger atau akuisisi.

Persyaratan tingkat layanan

Perjanjian tingkat layanan

(SLA) menetapkan standar kinerja minimum untuk sistem, aplikasi, jaringan, atau layanan. Sebuah organisasi membentuk SLA internal untuk memberikan harapan pengguna akhir tentang kinerja sistem informasi dan layanannya. Misalnya, help desk SLA mungkin memprioritaskan insiden sebagai 1, 2, 3, dan 4, dan menetapkan waktu respons SLA masing-masing sepuluh menit, 1 jam, 4 jam, dan 24 jam. Dalam hubungan pihak ketiga, SLA memberikan persyaratan kinerja kontrak yang harus dipenuhi oleh mitra atau vendor outsourcing. Misalnya, SLA dengan penyedia layanan Internet mungkin menetapkan waktu henti maksimum yang dapat diterima, jika terlampaui dalam jangka waktu tertentu, mengakibatkan kredit faktur atau (jika diinginkan) pembatalan kontrak layanan.