并购：常见错误

并购需要大量资金才能实现。在并购 IT 集成期间和之后，如果数据保护不力，将会花费更多的钱，并且还会出现一些令人讨厌的头条新闻！

ICO 刚刚宣布，打算对万豪国际集团处以超过 1.24 亿美元的罚款，原因是万豪国际集团在收购喜达屋酒店（违规行为的根源）期间和收购后未能保护客户数据。 ICO 调查发现，万豪在收购喜达屋时未能进行足够的网络安全尽职调查，也没有保护其系统。

“GDPR 明确规定组织必须对其持有的个人数据负责。这可以包括在收购时进行适当的尽职调查。 ”

- Elizabeth Denham，信息专员1

在我致力于并购 IT 安全的新系列的第 1 部分中，我将深入探讨可能导致并购失败的常见错误，以及法律第一天前后的预期成本协同效应。

法律预审第一天常见的并购安全错误

重要的是要记住，并购预期成本协同效应的 50%（您知道，您首先进行并购的那些 $$$原因）来自 IT 集成。当面临如此多的资金和潜在收入时，许多组织都过度专注于尽快实现这一目标，从而在整个过程中犯了严重的 IT 集成错误。

交易签署后、成交前，最大的仓促错误之一是在执行网络安全分析之前建立 Active Directory 信任。每个人都希望让两个组织的员工一起工作并共享资源 - 最快的方法是在域之间建立 AD 信任。但是，与另一个域创建信任会为该域中的任何人（包括恶意内部人员或受损帐户）创建一条横向进入您的环境的途径。在冒这个风险之前，您需要彻底检查其他 AD 域中的安全策略和程序，并制定如何监控此信任中的用户和资源的计划。

在这本电子书中查找更多法前第一天的安全陷阱：合并和收购如何影响数据安全。

法律第一天后常见的并购安全错误

在实现基本通信和互操作性的法律第一天 (LD1) 目标的过程中，IT 团队通常必须做出一些妥协，例如保留遗留系统并使用变通办法来启用相关工作流程；所有这些快捷方式都需要清理。当然，还有所有超出 LD1 范围的工作，例如各种服务器、应用程序和工作站迁移。

法律后第一天风险最大的安全漏洞之一是那些难以集成的遗留应用程序。迁移遗留应用程序，尤其是依赖于 AD 的本地应用程序，通常似乎不值得付出努力。由于涉及的工作和复杂性，组织选择保留旧目录以与遗留环境一起工作，并在旧 AD 和主 AD 之间建立某种共存。但旧 AD 与主 AD 不同步几乎是不可避免的，或者旧服务器无法正确修补，从而留下可被内部人员和入侵者利用的安全漏洞。

复杂性会带来风险——问问 Equifax 就知道了。美国众议院监督和政府改革委员会说得最好：“虽然收购策略对 Equifax 的利润和股价来说是成功的，但这种增长给 Equifax 的 IT 系统带来了越来越复杂的影响，并扩大了数据安全风险。 ”2

在此电子书中查找更多法律后第一天的安全陷阱，并了解如何在并购 IT 集成期间保护您的组织：并购如何影响数据安全。

可重复的并购框架

我们知道并购的 IT 集成并不容易，规模也很小。虽然每次并购都不同，但方法并没有改变。当您实施可重复的流程时，并购成功的机会就会高得多。 Quest 为并购提供完整且可重复的软件和服务框架，从第 0 天的 IT 尽职调查到第 1 天的 IT 集成和第 2 天的持续管理和安全。

不要使用多个供应商的多种产品，使您的并购 IT 集成进一步复杂化。对拥有工具和专业知识的合作伙伴进行标准化，以便在第一天提供多种灵活的方法。Quest 提供了一个可重复的框架，使您能够熟悉一组解决方案以及单个支持和服务团队。

在这里阅读该系列的其余部分：

• 第 2 部分：从 Equifax 和 Marriott 数据泄露事件中吸取的教训
• 第 3 部分：如何保护您的下一次并购

来源：

1. 信息专员办公室，“声明：打算根据 GDPR 因数据泄露对万豪国际集团处以超过 9900 万英镑的罚款”，2019 年 7 月。
2. 美国众议院监督和政府改革委员会，多数工作人员报告，“Equifax 数据泄露”，2018 年 12 月。