如何合并过程中保持IT安全的最前沿

斯蒂芬·博耶，首席技术官兼联合创始人BitSight，知道贵公司的技术安全的最大威胁之一：它可能收购其他公司的可能性。他指出，从西梦露合作伙伴的一项调查的结果，这收购公司的40％，发现在收购公司 - 一个网络安全问题后交易经历。这也许并不奇怪的是，在由富而德律师事务所一2014调查显示，受访者达到了惊人的78％的人认为网络安全是没有深入分析，在收购尽职调查的一部分。

如果你的工作为的收单，或被收购，如何才能避免掉入这个陷阱，一个公司？安全专家的主人把我们做什么让事情在之前锁定，建议，以及收购后。

萨姆·库里是CSO和CTOArbor Networks的，这是通过获取NetScout公司去年。该公司已经专注于安全，所以他们自然做事情彻底：即使在活动开始前，公司内顶级安全专家形成的，正如他所说的那样，“一个安全委员会，在那里我们可以去了解对方，并讨论的固有风险收购“。

F.约翰·布拉德，在工程副总裁蒸馏网络，敦促你建立一个共享的计划，而且要快。“有很多方面是需要探索和时间会很短，”他说。“对每个任务调度块一起拉一个行程，并提前与被购买方分享。这将有助于双方可以远程完成，专注于高价值的谈话，而在现场完成的任务。”

你不会得到关于合并公司内部信息的早期过程，但你也不会需要它上手。“公共记录，互联网搜索，威胁信誉数据库搜索和社交媒体研究是在确定的以前的安全问题可能存在安全隐患或证据与收购公司有价值的工具，”戴尔德鲁，CSO说，在Level 3通信。“通常情况下，会有一份法庭文件，美国证券交易委员会备案，或在重大安全漏洞或弱点公共社交媒体的讨论。”

BitSight的博耶敦促你看看有信誉的机构公司的安全等级，其中“检查随时间变化的目标的信息安全计划的组织和突出控制缺陷或弱点的历史执行。”

合并的解释意味着关于合并本身的信息可能会成为黑客攻击的目标，所以你需要有针对数据的特定安全计划的微妙性。“你必须能够知道你的合并文档所在，”凯文·坎宁安，总裁兼创始人SailPoint。“谁可以访问他们？他们是曝光过度？你还需要知道谁在访问这些文件，如果该访问是合法的。”

罗恩亨氏，以管理合伙人SignalPeak创投补充说，“提供尽职调查材料和，对系统的访问是一个棘手的平衡，尤其是当并购合作伙伴可以是竞争对手。前收盘时，是有帮助的分配监督一队监测的信息共享，以确保机密文件和系统保障“。

戴夫·瓦格纳，首席执行官ZixCorp的，建议询问一些具体的信息来获得如何潜在合并伙伴在过去本身进行感：

• 公司是如何教育和培养员工和合作伙伴对公司的政策，电子邮件的安全隐患，以及必要的措施，以降低风险？
• 有董事及公司高管参加了数据的安全培训？他们曾经参与的数据安全程序的开发？
• 你所遭受的机密数据失窃？
• 如果是这样，你做了什么，以打击他们前进？

这一点，他说，“将帮助买家了解的其他公司持有敏感信息，它是如何保护的类型，将需要实施什么保护的变化。”

带着这些疑问我们的目标是组建一个完整的视图到这两个网络合并前状态。“当网络没有DMZ连接，任何恶意软件将开始横向移动，”公司首席执行官保罗·克劳斯说：Eastwind网络。“因此，了解了不同网络的行为将有利于组合的网络应该是什么样子的理解。”

“这个数据是武装合并前的过程是有帮助的征求反馈意见，内部文件，以及在什么已经到位，以纠正任何的问题发现的投资信息，” Level 3通信德鲁说。“通常情况下，你可能会发现一个问题，待收购的公司还没有发现，这将直接通知多少谨慎，需要考虑的合并进程。”

请记住，合并是一个逻辑上和法律上复杂的过程，涉及的不仅仅是这两家公司被合并等等。“我们正在谈论的银行家，律师，供应商，承包商，分包商等，它们现在参与交易的双方，” Eastwind的克劳斯说。“你可以看到两个法人实体的合并如何迅速很快变成两个企业生态系统的合并你不只是合并了人员，资产，文化和客户;您继承了他们的漏洞，以及”

虽然新闻稿可以吹嘘对等合并，事实是，许多公司提供自己挂牌出售，正是因为他们已经在财政和后勤困难，并且可以转化为内部功能障碍。“通常情况下，被收购的公司是‘心疼’，这意味着他们可能没有机会在关键和必要的领域的投资跟不上，” Level 3通信德鲁说。“这可能导致的不良行为的发现，外的日期和暴露的资产，缺乏覆盖或公司资产的可视性从安全角度出发的。”

为什么如此关注合并前的安全性？我们采访的专家们给予了并购噩梦的多个具体的例子：具有良好的网络安全获取包括已经违反其他公司的公司。Eastwind的克劳斯提到他针对的情形“，被收购公司注入恶意软件到收购方的源代码管道的情况下，这种注射液不知道一年左右，但一旦知道，损害造成了源代码被盗，该产品被攻破，而公司的声誉受到玷污。”

BitSight的博耶指出这个地方勉强避免一个非常公开的情况下。“三星买LoopPay为$ 250万元作为其移动支付系统的重要组成部分，”他说。“LoopPay遭受破坏之前几个月购买的三星公司，但违反才被人发现1个月完成交易之前。”

拉里Larmeu，在总经理L2数码，看到了一个缺乏文档肆虐在他工作的合并。“很多意想不到的问题都关系到双方没有太多的网络记录的之一，”他说。“他们没有标准，他们的任何技术处理的，甚至下降到授予权限的资源。当是时候做合并，没有什么工作按计划进行，因为没有规划和测试，我们在实验室环境中做了可以模拟其网络中缺乏一致性“。

你需要找出谁应该可以访问哪些在您的新合并公司的数据，要做到这一点，自动化流程是关键。“你必须能够创建角色，政策和程序进行必要的和有这些规则付诸实施，而无需经过一个接一个的变化和管理权限，” SailPoint的坎宁安说。

想出一套统一的安全策略，可以通过自动化的工具，以及进行辅助。卡拉汉，在副总裁FireMon，指出，兼并不约而同地涉及合并多个供应商和传统的政策，“本机管理工具将不能给出完整的视图必要的，所以你应该建立并通过第三方管理平台执行新的最佳实践。第三方与自动分析工具会给你你需要确保安全访问保持画面。”

请记住，周围的很多网络安全控制牯的资源和权力和控制人不放弃的话很容易，即使他们周围的组织转变。“拥有一个良好的资产清查昭示着谁访问了什么，尤其是对于管理员，是我已经常见错过了，直到为时已晚，” J.弥敦道Wenzler，在主要安全建筑师说ASTECH咨询。“你与谁持有他们的领地人质，将不会放弃凭据，甚至告诉任何人自己的系统存在的管理员而告终。获取库存的一切，然后找出谁是为了访问所有的它下合并带来的一切域结构更容易“。

恩·帕特森，在总经理Cycura，建议使用“特权帐户管理解决方案，看看谁的钥匙王国”。

这不只是管理员有谁就会争取保持旧的，合并前的实践措施。前全球首席信息安全官J.R.里根，谁处理了几件并购的顾问指出，很多普通用户也将要维持长期的不安全行为，无论是出于方便或纯粹的惯性。“我们将培训的用户在被收购的公司几乎就好像它们是新员工，”他说。“后天的员工可能会尝试做的事情的旧方式和裙子的一些规则，使用未获批准的第三方文件共享等。但我们已经到位，以防止这种甚至发生管制如果员工试图访问被禁止服务。”

您的合并计划它可能涉及系统整合，并最终把一些放牛。但是，这可能需要更长的时间比你想象的，你需要确保你打算转储系统的安全性没有被忽视。ExabeamCMO里克·卡恰提供从他参与合并一个悲惨的故事：“一个销售代表谁离开被收购之前从未有过自己的销售管理系统的访问已关闭超过三个月公司的权利，他可以看到每笔交易的销售人员正在研究该收购不重视对销售系统，因为它最终将被关闭。我们失去了多重优惠，价值百万，直到系统最终死亡。”

虽然管理层的本能反应可能是结合兼并企业的网络尽可能快地，不逃脱你让那些网络安全的能力。其中两个网络并行操作的中介时期可能是必要的，而且你可以采取措施，使这一时期少的尴尬。“可以的方式，没有充分暴露两个网络彼此，同时仍允许发生的工作提供资源临时访问，” Cycura的帕特森说。“这样做的一些常见的方法是控制用户群体的联盟，以允许通过Citrix，RDP或其他远程技术对资源的访问一起。”

提炼的布拉德建议你抱他所谓的“文化速成班”，为新合并的公司的工作人员。“这是非常重要的，因为大多数的整合失败是由于文化上的差异，而不是技术问题。该封装你的核心原则，分享经验的公司，你有没有对齐？”

别忘了，合并是许多在两家公司巨大的压力和不确定性的时期。“有些员工可能会不满，担心他们的工作会过时，或者是定于头数减少，” Cycura的帕特森说。“监控特权帐户的使用是比较容易的方法来识别这些威胁之一。”

合并后的人事变化可能是特别难的安全性，其中机构记忆是在拼凑一个安全的并购后的网络一起重要的，所以采取措施，以防止外流。据迈克·帕特森，在战略副总裁鲁克安全，这意味着制作“尽一切努力为在并购后的团队甚至个人整合的”防止人才外流。“合并，仅仅只股票收购公司的顶级角色会看到人才从收购方逃跑，一个相当大的一块新企业提供安全操作的小连续性，”他说。

KARTHIK Swarnam，首席信息官DirecTV公司说，当他的公司被AT＆T在2015年收购了，IT人员不得不“在我们的系统中消除重叠，而且每个组织内确定最佳的政策和工具来实现整个公司的适当的人。”他说，这给了他们机会“探索新的安全方法大致整个AT＆T同时努力帮助安全DirecTV的资产。我们可以分享创意，作战协同等。”

最后，请记住，你需要保持灵活性：你可以（也应该）计划尽可能多，你可以在开始，但你可能会发现自己需要即兴作为合并过程的进展。“公司合并后，很多事情可以改变，”鲁克安全的帕特森说。“谁可以作为该战略的关键所在高管们可能会被调换或其他机会离开，需要一种新的方法。尽管前最好并购意向，有往往是一个积分周期之后，公司将重新评估什么他们的安全战略将是“。