并购(M&A)对买方和被收购方都有好处,能够产生新的协同效应,为双方注入活力,同时创造一个更新、更大、更强的实体。但新成员的加入也可能会带来一系列网络安全风险。
并购团队通常规模有限,专注于财务和业务运营,将IT和网络安全置于次要地位。更有甚者,有关网络连接、“合理化”IT和网络安全平台以及员工的假设,通常都是在对每个组织的实际职能和工作知之甚少的情况下做出的。
Gartner在《并购和尽职调查过程中的网络安全》报告中指出,正在合并、被收购或进行任何其他并购活动的公司,必须能够评估可能影响未来实体业务战略和风险的安全需求。这将有助于买方对被收购公司安全状况有更全面的了解(在交易前可能的范围内),以确保没有意外的冲击,并制定出如何安全可靠地解决整合问题的计划。
例如,2017年,在雅虎披露两起大规模数据泄露事件,导致其30亿用户账户全部泄露后,Verizon从收购雅虎运营业务的交易中削减了3.5亿美元,并最终以44.8亿美元收购了该公司。
有效管理并购过程中的网络安全风险有助于避免买家后悔,以下是帮助企业在并购过程中管理网络安全风险的五种策略。
在收购之前,收购方需要对目标公司进行当前或近期的评估——无论是具体的审计、安全态势评估还是企业评估——并考虑评估是在什么时候进行的。
理想情况下,这份评估最好是在过去9个月内完成的。任何超过一年的信息都是无效的。将这些信息与现行的策略和程序以及最新的战略目标进行比对。确定他们的策略、程序和流程是否与此一致?这些策略和程序是否得到了遵守?
除此之外,收购方还应获得有关可疑和已确认的安全或合规事件、风险暴露、妥协、网络相关保险活动等的任何信息。这应该包括法律上可能不要求披露的事情。例如,即使只是一起无需向政府机构报告的内部事件,也属于需要提前了解的相关信息。
在针对技术公司的交易中,技术往往是目标产品或其重要组成部分,网络安全因此也是一个特别关注的焦点。因此,收购企业必须确定目标公司是否在其软件中设计了安全性。如果没有,那么收购方无异于是在购买一堆没有计划的“废品”,未来必然需要无止境的补救工作。
由于过多的安全问题将意味着遭受网络攻击的几率会增加,收购方可能希望将部分资金托管起来,以应对这种可能发生的情况。如果软件明显不符合行业规范,那么进行估值谈判也是很正常的。
收购方并不期望目标企业表现完美,但如果需要解决的问题超出预期,收购方可能会改变对交易的看法。尽职调查通常并不会扼杀收购交易,但它们可能会影响交易条款、时机或估值。最重要的是,知识就是力量,收购方需要充分利用尽职调查过程,尽可能多地了解目标公司的软件安全预成交情况,这样他们就可以保护自己免受风险影响。
在并购之前,网络安全和IT团队很少参与,目的是将并购消息封锁在一个较小的圈子内。由此导致的结果可能是,发现战略性业务收购或合并目标充斥着糟糕的IT和安全问题,而修复这些问题可能要花费数百万美元。因此,尽早让网络安全和IT团队参与进来并找出关键的弱点是很重要的。
尤其是在监管宽松的行业(例如制造业),被收购的公司往往缺乏基本的安全补丁和端点安全措施,更不用说更先进的控制措施,例如安全信息和事件管理。
企业减轻网络安全风险的最佳方法之一是让IT或安全部门成为审查收购的团队的一部分,以避免日后出现代价高昂的意外。此外,IT团队应该有一个结构化的流程,具体说明他们如何进行收购,其中包括进行早期评估,并且告知员工关于财务交易变化的问题应该联系谁,以及在收购的第一天就更改所有关键系统的管理密码。
组织在进行尽职调查时,通常没有一个将安全性包括在内的流程。从一开始就将网络安全团队包括在这个过程中可以避免许多令人头痛的问题。在最糟糕的情况下,安全团队或首席信息官可能会很晚才加入,而收购或合并团队会说,“我们很快就会完成这次并购或收购。下周就要开始了,你们能在我们完成并购之前完成安全审查吗?”
然而,如果网络安全团队或首席信息安全官总能获得话语权,而不是只在出现问题时才参与进来,那么他们就可以评估目标公司的安全性,并就潜在的网络安全风险提出想法。
如果被收购的目标公司从一开始就没有进行尽职调查,那么他们可能不了解自己所处的数据环境类型。这些目标公司可能要处理个人信息和可识别信息,以及可能要处理有监管要求的医疗保健信息,例如HIPAA法规。他们可能要处理有监管要求的支付信息,例如PCI或者有地理监管要求的GDPR法规。所以,收购方可能没有真正从信息的角度或环境的角度很好地理解所得到的信息。
不了解数据环境风险的问题在于,收购方不知道目标公司实施了哪些类型的安全控制,也不知道他们的环境是否完全安全,这同样适用于正在合并的公司。这些公司必须尝试至少对其正在处理的数据环境有一个很好的想法,并确定潜在的风险。对正在追求或打算合并的公司进行SWOT(优势、劣势、机会和威胁)分析,可以让收购方很好地了解正在处理的信息和资产。
重要的是要记住,除了收购目标公司的技术之外,收购方也在收购这些公司的员工。收购方需要对即将入职的员工进行全面的技能分析,因为这样就可以更充分底利用每个员工的技能,以便更好地服务组织。在整合过程中,双方可能会存在知识和技能差距,因为可能需要适应一些新技术,而收购方可能没有相关领域的专业知识。
在任何整合过程中,对于招聘目标公司的员工必须做大量的工作,这是在日常经营业务的基础上进行的,这可能会导致他们的倦怠、士气低落和人员流动。在整合过程中,可以说是风险最高的时期,因为既需要合并网络和技术,还要对流程做出改变。在这段时间里,如果出现了人员流失,或者他们的技能难以胜任现在的工作,那么真正的漏洞和风险就会浮出水面。技能分析可以帮助确保组织拥有在整合过程中全力运作的员工队伍。
对于考虑收购的组织来说,重要的是要有一个更广阔的视野,并制定一个基本并购协议,其中的流程涵盖当前风险、潜在风险和收购后审核的所有方面。最后还应提交一份报告,其中包括最新的风险态势和相关剩余风险,以及对风险偏好的评估。
换句话说,收购方就是要放眼全局,并系统地完成整个过程。而且最重要的是,需要在整个过程中持续监控和审计。此外,还需要遵循几个关键步骤,而且在这些步骤中面临的问题都应该得到解决,以降低风险。
我正在使用i18n从头开始构建一个多语言网络应用程序,虽然我自己可以处理一大堆yml文件,但我说的语言(非常)有限,最终我想寻求外部帮助帮助。我想知道这里是否有人在使用UI插件/gem(与django上的django-rosetta不同)来处理多个翻译器,其中一些翻译器不愿意或无法处理存储库中的100多个文件,处理语言数据。谢谢&问候,安德拉斯(如果您已经在rubyonrails-talk上遇到了这个问题,我们深表歉意) 最佳答案 有一个rails3branchofthetolkgem在github上。您可以通过在Gemfi
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我安装了ruby版本管理器,并将RVM安装的ruby实现设置为默认值,这样'哪个ruby'显示'~/.rvm/ruby-1.8.6-p383/bin/ruby'但是当我在emacs中打开inf-ruby缓冲区时,它使用安装在/usr/bin中的ruby。有没有办法让emacs像shell一样尊重ruby的路径?谢谢! 最佳答案 我创建了一个emacs扩展来将rvm集成到emacs中。如果您有兴趣,可以在这里获取:http://github.com/senny/rvm.el
我想在Ruby中创建一个用于开发目的的极其简单的Web服务器(不,不想使用现成的解决方案)。代码如下:#!/usr/bin/rubyrequire'socket'server=TCPServer.new('127.0.0.1',8080)whileconnection=server.acceptheaders=[]length=0whileline=connection.getsheaders想法是从命令行运行这个脚本,提供另一个脚本,它将在其标准输入上获取请求,并在其标准输出上返回完整的响应。到目前为止一切顺利,但事实证明这真的很脆弱,因为它在第二个请求上中断并出现错误:/usr/b
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
是否有简单的方法来更改默认ISO格式(yyyy-mm-dd)的ActiveAdmin日期过滤器显示格式? 最佳答案 您可以像这样为日期选择器提供额外的选项,而不是覆盖js:=f.input:my_date,as::datepicker,datepicker_options:{dateFormat:"mm/dd/yy"} 关于ruby-on-rails-事件管理员日期过滤器日期格式自定义,我们在StackOverflow上找到一个类似的问题: https://s
网络编程套接字网络编程基础知识理解源`IP`地址和目的`IP`地址理解源MAC地址和目的MAC地址认识端口号理解端口号和进程ID理解源端口号和目的端口号认识`TCP`协议认识`UDP`协议网络字节序socket编程接口`sockaddr``UDP`网络程序服务器端代码逻辑:需要用到的接口服务器端代码`udp`客户端代码逻辑`udp`客户端代码`TCP`网络程序服务器代码逻辑多个版本服务器单进程版本多进程版本多线程版本线程池版本服务器端代码客户端代码逻辑客户端代码TCP协议通讯流程TCP协议的客户端/服务器程序流程三次握手(建立连接)数据传输四次挥手(断开连接)TCP和UDP对比网络编程基础知识
我正在使用ruby2.1.0我有一个json文件。例如:test.json{"item":[{"apple":1},{"banana":2}]}用YAML.load加载这个文件安全吗?YAML.load(File.read('test.json'))我正在尝试加载一个json或yaml格式的文件。 最佳答案 YAML可以加载JSONYAML.load('{"something":"test","other":4}')=>{"something"=>"test","other"=>4}JSON将无法加载YAML。JSON.load("
我想用这两种语言中的任何一种(最好是ruby)制作一个窗口管理器。老实说,除了我需要加载某种X模块外,我不知道从哪里开始。因此,如果有人有线索,如果您能指出正确的方向,那就太好了。谢谢 最佳答案 XCB,X的下一代API使用XML格式定义X协议(protocol),并使用脚本生成特定语言绑定(bind)。它在概念上与SWIG类似,只是它描述的不是CAPI,而是X协议(protocol)。目前,C和Python存在绑定(bind)。理论上,Ruby端口只是编写一个从XML协议(protocol)定义语言到Ruby的翻译器的问题。生
这是我在ActiveAdmin中的自定义页面ActiveAdmin.register_page"Settings"doaction_itemdolink_to('Importprojects','settings/importprojects')endcontentdopara"Text"endcontrollerdodefimportprojectssystem"rakedataspider:import_projects_ninja"para"OK"endendend我想做的是,当我单击“导入项目”按钮时,我想在Controller中执行rake任务。但是我无法访问该方法。可能是什
