企业并购之后的网络安全政策合并
时间:06-05
来源:TechTarget
点击:
技术企业之间的并购是非常频繁的。每一天的商业新闻都有两家公司合并或者大企业收购小企业的消息。这些交易都包含一系列复杂的行动,其目的是整合业务和削减成本以及消除重复的功能、程序和资源等。
信息安全专业人员经常要担负把两套独立的网络安全政策调整一致的任务。这是一项令人厌烦的工作。但是,幸运的是有许多策略能够帮助一个公司成功地完成这个具有挑战性的并购过程。
在经历政策整合过程的时候,重要的是要记住合并可能对参与者的思想产生的影响。一个公司的合并可能产生不确定性、疑虑和恐惧的氛围。企业环境的突然改变能够引起员工的紧张情绪。因此,在整个网络安全政策整合过程中,一定要考虑每一个将面对的困难。
让我们看一下能够方便地实现这种过渡的一些可行的策略:
不要操之过急。要记住这个格言:罗马不是一天建成的。安全政策的制定是一个复杂的过程,需要一个认真的和讲究方法的办法。变化是早期的安全政策都不是匆忙之间编写的,因此,不要急于把两个安全政策结合在一起。
考虑所有的选择。当整合两个不同机构的安全政策时,基本上有三种选择:完全采用一个或者另一个安全政策,把两个安全政策的要素结合为一个新的安全政策,重新制定安全政策。当一个机构开始整合过程时,重要的是要考虑到所有这些选择,而不管合并者周围的环境如何。实际上,政治考虑可能会影响一种方法。但是,如果这些问题没有影响到合并过程,整个团队都将收益。例如,要考虑到这两家公司对于在企业网络中使用个人电脑有不同的政策。一家公司可能完全禁止在企业网络中使用个人电脑。另一家公司可能对这种行为没有任何限制。在这种情况下,可以接受的行动是制定一个折衷的政策,允许有限制的使用企业网络,规定员工必须要经过初期的安全控制测试。
包含一个广泛的团队。一个人闭门造车式地编写政策肯定要失败的。让广泛的人员(包括来自这两个机构的人员)参加政策整合团队能够保证考虑得更全面。这种安排能够让更多的人对最终的结果有一种主人翁式的感觉,使这个机构更可能接受这个团队的工作。再考虑一下把个人拥有的设备连接到企业网络的事情。如果这个机构决定制定一个妥协的政策,让这两家公司的人员都参加这个团队有助于让团队的全体成员都有主人翁的感觉,从而提高这个政策被接受的可能性。
明确沟通。在任何合并过程中肯定要出现混淆的问题。因此,管理层与员工之间就信息安全的责任进行沟通是非常重要的。在整合政策的时候,应该采取临时的行动保证员工知道管理层期待他们做什么。关于这件事情,可以从机构的其它部门得到一些线索。这两个机构在一段时间内将以独立的管理结构继续运行吗?如果是这样的话,可能要告诉员工在接到新的通知之前要继续遵守以前的安全政策和程序。无论是哪一种情况,你都要明确和准确地阐明观点并且把这些观点通报给整个机构。
采用分阶段的方法进行改变。如果政策整合的结果对一个公司或者两个公司做生意的方式都产生重要的影响,要尽可能采取分阶段的方式进行这种变化。这将允许员工慎重地遵守新的要求,并且提供一个评估遵守政策的进展情况的机会,保证整合过程按计划进行。例如,一个机构原来对于出网的访问是不进行限制的。在这个机构强制执行内容过滤的政策最好采用分阶段进行的方法。最初阶段仅封锁最恶名昭彰的网站,然而进入通知阶段。在这个阶段,将警告用户他们要访问的网站根据新的政策已经被封锁了。这种做法将给用户一个试验阶段,找出新的政策是否存在干扰业务需求的方面。
企业合并将产生许多技术和商业挑战。然而,整合网络政策并不总是技术上的问题。成功的并购方案要求两个不同的机构之间进行有效的沟通以及慎重地做出考虑到双方的政策和员工的决定。
信息安全专业人员经常要担负把两套独立的网络安全政策调整一致的任务。这是一项令人厌烦的工作。但是,幸运的是有许多策略能够帮助一个公司成功地完成这个具有挑战性的并购过程。
在经历政策整合过程的时候,重要的是要记住合并可能对参与者的思想产生的影响。一个公司的合并可能产生不确定性、疑虑和恐惧的氛围。企业环境的突然改变能够引起员工的紧张情绪。因此,在整个网络安全政策整合过程中,一定要考虑每一个将面对的困难。
让我们看一下能够方便地实现这种过渡的一些可行的策略:
不要操之过急。要记住这个格言:罗马不是一天建成的。安全政策的制定是一个复杂的过程,需要一个认真的和讲究方法的办法。变化是早期的安全政策都不是匆忙之间编写的,因此,不要急于把两个安全政策结合在一起。
考虑所有的选择。当整合两个不同机构的安全政策时,基本上有三种选择:完全采用一个或者另一个安全政策,把两个安全政策的要素结合为一个新的安全政策,重新制定安全政策。当一个机构开始整合过程时,重要的是要考虑到所有这些选择,而不管合并者周围的环境如何。实际上,政治考虑可能会影响一种方法。但是,如果这些问题没有影响到合并过程,整个团队都将收益。例如,要考虑到这两家公司对于在企业网络中使用个人电脑有不同的政策。一家公司可能完全禁止在企业网络中使用个人电脑。另一家公司可能对这种行为没有任何限制。在这种情况下,可以接受的行动是制定一个折衷的政策,允许有限制的使用企业网络,规定员工必须要经过初期的安全控制测试。
包含一个广泛的团队。一个人闭门造车式地编写政策肯定要失败的。让广泛的人员(包括来自这两个机构的人员)参加政策整合团队能够保证考虑得更全面。这种安排能够让更多的人对最终的结果有一种主人翁式的感觉,使这个机构更可能接受这个团队的工作。再考虑一下把个人拥有的设备连接到企业网络的事情。如果这个机构决定制定一个妥协的政策,让这两家公司的人员都参加这个团队有助于让团队的全体成员都有主人翁的感觉,从而提高这个政策被接受的可能性。
明确沟通。在任何合并过程中肯定要出现混淆的问题。因此,管理层与员工之间就信息安全的责任进行沟通是非常重要的。在整合政策的时候,应该采取临时的行动保证员工知道管理层期待他们做什么。关于这件事情,可以从机构的其它部门得到一些线索。这两个机构在一段时间内将以独立的管理结构继续运行吗?如果是这样的话,可能要告诉员工在接到新的通知之前要继续遵守以前的安全政策和程序。无论是哪一种情况,你都要明确和准确地阐明观点并且把这些观点通报给整个机构。
采用分阶段的方法进行改变。如果政策整合的结果对一个公司或者两个公司做生意的方式都产生重要的影响,要尽可能采取分阶段的方式进行这种变化。这将允许员工慎重地遵守新的要求,并且提供一个评估遵守政策的进展情况的机会,保证整合过程按计划进行。例如,一个机构原来对于出网的访问是不进行限制的。在这个机构强制执行内容过滤的政策最好采用分阶段进行的方法。最初阶段仅封锁最恶名昭彰的网站,然而进入通知阶段。在这个阶段,将警告用户他们要访问的网站根据新的政策已经被封锁了。这种做法将给用户一个试验阶段,找出新的政策是否存在干扰业务需求的方面。
企业合并将产生许多技术和商业挑战。然而,整合网络政策并不总是技术上的问题。成功的并购方案要求两个不同的机构之间进行有效的沟通以及慎重地做出考虑到双方的政策和员工的决定。