Was ist Sicherheitsarchitektur

Sicherheitsarchitektur ist der Prozess der Bewertung von Informationssicherheitskontrollen und der Implementierung der richtigen Geschäftsprozesse und Tools in IT-Systemen, um die von einer Organisation verwendeten und gespeicherten Daten zu schützen. Letztendlich ist die Sicherheitsarchitektur nur der erste Schritt – Sicherheit entsteht durch Implementierung und Betrieb.

Wenn eine gute Sicherheitsarchitektur nicht richtig etabliert ist, stecken die Teams eines Unternehmens fest und suchen nach Designs und Implementierungen, die zufällig vor Bedrohungen schützen. Die meisten „Cyber-Sicherheitsarchitekturen“ sind reaktiv und bedrohungsorientiert. Eine robuste Sicherheitsarchitektur bietet jedoch vorbeugende Maßnahmen, die die Sicherheit des Unternehmens gewährleisten.

In diesem Leitfaden werden wir aufschlüsseln, was Sicherheitsarchitektur ist, welche kritischen Elemente die Sicherheitsarchitektur hat und warum eine solide Sicherheitsarchitektur für ein Unternehmen so wichtig ist.

Was ist Sicherheitsarchitektur?

Obwohl es verschiedene Definitionen der Sicherheitsarchitektur gibt, handelt es sich letztendlich um eine Sammlung von Sicherheitskonzepten, -verfahren und -modellen, die Chancen und Risiken ausbalancieren. Alles, was Ihr Unternehmen tut, schafft die Möglichkeit von Vorteilen und Bedrohungen. Sie werden in verschiedenen Bereichen Ihres Unternehmens eine unterschiedliche Risikobereitschaft haben. Eine gute Sicherheitsarchitektur passt zu Ihren Nutzen- und Risikozielen. Im Wesentlichen stellen Sie sicher, dass Sie vor Cyberangriffen ausreichend geschützt sind. Geschäftsanforderungen werden durch die Sicherheitsarchitektur in umsetzbare Sicherheitsanforderungen übersetzt.

Eine Möglichkeit, es sofort zu erfassen, besteht darin, es mit traditioneller Architektur zu vergleichen. Der Job eines Sicherheitsarchitekten ist dem eines Haus-, Schul- oder Geschäftsgebäudearchitekten sehr ähnlich. Sie analysieren das Grundstück, berücksichtigen Aspekte wie Kundenpräferenzen, Bodentyp, Terrain und Klima (der vorhandene Zustand des Grundstücks) und entwickeln dann eine Strategie, um das gewünschte Ergebnis zu erzielen (die Blaupause). Andere bauen die Struktur, in diesem Fall Bauherren und Bauunternehmer, unter der Aufsicht des Architekten, um sicherzustellen, dass das Ziel erreicht wird (Architecture Governance).

Das Ziel der meisten Sicherheitsarchitekturen ist es, das Unternehmen vor Cyber-Bedrohungen zu schützen. Sicherheitsarchitekten arbeiten mit anderen zusammen Unternehmensarchitekten in Ihrem Unternehmen, um herauszufinden, was Ihr Unternehmen einzigartig macht. Sie sprechen mit Ihren Führungskräften, Mitarbeitern und Geschäftsarchitekten um mehr über Ihre Unternehmensziele, Systemanforderungen, Verbraucherwünsche und andere wesentliche Aspekte zu erfahren. Sie können dann eine Strategie und Ratschläge entwickeln, die auf die Ziele Ihres Unternehmens zugeschnitten sind und Ihrem erklärten Appetit auf Cybersicherheitsrisiken entsprechen.

Es gibt viele Jobs in der Unternehmensarchitektur in einem führenden Enterprise-Architecture-Team. Wenn Sie die Rollen erkunden möchten, springen Sie zu den verschiedene Enterprise-Architecture-Jobs.

Die vier kritischen Elemente der Sicherheitsarchitektur.

Um die Natur der Sicherheitsarchitektur besser zu verstehen, hilft es, die Sicherheitsarchitektur in vier kritischen Kontexten zu sehen.

Es gibt keine eigenständige Sicherheitsarchitektur

Let's Eine große Komponente der Sicherheitsarchitektur ist, dass es keine eigenständige Sicherheitsarchitektur gibt. Es handelt sich um ein „übergreifendes Anliegen“. Das bedeutet, dass es bei jedem einen Sicherheitsaspekt gibt Domäne der Unternehmensarchitektur. Zum Beispiel: Wenn Sie im Kontext Ihres Unternehmens an Ihre Unternehmenssoftware denken, wird diese eine Sicherheitskomponente haben. Dies könnte als Teil Ihrer Sicherheitsarchitektur und Ihres Sicherheitsbetriebs betrachtet werden.

Sicherheitsarchitektur ist bereichsübergreifend

Das SABSA-Modell

Die bewährte Methode für die Sicherheitsarchitektur ist SABSA. SABSA ist ein risikogesteuertes Architektur-Framework für die Informationssicherheit von Unternehmen zur Unterstützung wichtiger Geschäftsaktivitäten. Obwohl es nicht direkt mit dem zusammenhängt Zachman-Frameworkverwendet SABSA die Kernstruktur. Das Hauptmerkmal des SABSA-Modells besteht darin, dass alles aus einer Untersuchung der geschäftlichen Sicherheitsbedürfnisse gezogen werden muss, insbesondere jener, bei denen Sicherheit als Wegbereiter für die Entwicklung und Nutzung neuer Geschäftsaussichten dient.

Der Prozess analysiert die Geschäftsanforderungen von Anfang an und entwickelt eine Kette, die durch die Phasen Strategie und Konzept, Design, Implementierung und kontinuierliche Verwaltung und Messung des Lebenszyklus verfolgt werden kann, um sicherzustellen, dass das Geschäftsmandat eingehalten wird. Die Methode wird durch Framework-Tools unterstützt, die auf realen Erfahrungen basieren.

Das SABSA-Modell ist allgemeiner Natur und kann als Ausgangspunkt für jede Organisation verwendet werden; aber durch den Prozess der Analyse und Entscheidungsfindung, der durch seine Struktur vorgeschlagen wird, wird es spezifisch für das Unternehmen und schließlich hochgradig personalisiert für ein bestimmtes Geschäftsmodell. Sie wird zur Sicherheitsarchitektur des Unternehmens und ist entscheidend für den Erfolg des strategischen Informationssicherheits-Managementprogramms der Organisation.

Das Team von Conexiam hat mit The Open Group und dem zusammengearbeitet SABSA-Institut um das branchenübliche EA-Framework TOGAF in SABSA zu integrieren. Laden Sie eine Kopie von Integrating Risk & Security with Enterprise Architecture herunter für mehr Informationen.

SABSA interpretierte Matrix

Es dreht sich alles um Risikomanagement

Bei der Sicherheitsarchitektur geht es um Risikomanagement. Risiko ist die Auswirkung von Ungewissheit auf das Erreichen aller Unternehmensziele. Unsicherheit entsteht, wenn man eine Gelegenheit verpasst und von potenziellen Bedrohungen getroffen wird. Die Sicherheitsarchitektur führt nicht unbedingt zum Schutz vor einer Bedrohung. Ein Element des Risikomanagements muss einbezogen werden.

Die Praxis der Kontrolle von Risiken im Zusammenhang mit der Nutzung von Informationstechnologie wird als Informationssicherheitsrisikomanagement oder ISRM bezeichnet. Es beinhaltet das Erkennen, Analysieren und Reagieren auf Bedrohungen für die Vertraulichkeit, Integrität und Verfügbarkeit der Vermögenswerte einer Organisation. Das Endziel dieses Ansatzes besteht darin, Risiken im Einklang mit der Risikotoleranz des Unternehmens anzugehen. Unternehmen sollten versuchen, einen akzeptablen Gesamtrisikoschwellenwert für ihr Unternehmen zu bestimmen und zu übernehmen, anstatt zu erwarten, alle potenziellen Gefahren zu beseitigen.

Typischerweise umfasst das Risikomanagement als Teil der Sicherheitsarchitektur die Identifizierung von Ressourcen, die Identifizierung potenzieller Schwachstellen, die Identifizierung von Bedrohungen, die Suche nach Kontrollen und die regelmäßige Durchführung gründlicher Bewertungen.

Sicherheit und Unternehmensarchitektur müssen integriert werden

Die Entwicklung der Sicherheitsarchitektur muss vollständig in die Entwicklung einer Unternehmensarchitektur integriert werden.

In den meisten Unternehmen ist die Verbesserung der Sicherheit eine unmögliche Aufgabe. Anstatt eine integrierte Sicherheitsarchitektur zu entwickeln, wird stichprobenartig gearbeitet, um Teile des Unternehmens zu sichern. Häufig mit anderen Teilen des Unternehmens, die leicht durchdrungen oder verletzt werden können. Die Bereitstellung einer sicheren Umgebung erfordert Präventiv-, Ermittlungs- und Abhilfemaßnahmen.

Viele herkömmliche Praktiker der Informationssicherheit betrachten die Sicherheitsarchitektur als nichts anderes als das Vorhandensein von Sicherheitsregeln, Kontrollen, Tools und Überwachung.

Alle Sicherheitsexperten sollten sich der Geschäftsziele bewusst sein und danach streben, sie zu verwirklichen, indem sie geeignete Sicherheitskontrollen entwerfen, die gegenüber den Beteiligten leicht zu rechtfertigen sind und sich auf das Geschäftsrisiko beziehen. Enterprise-Frameworks wie SABSA und die TOGAF-Standard, Hilfe bei der Ausrichtung von Sicherheits- und Geschäftsanforderungen.

TOGAF verstehen

TOGAF ist ein Enterprise-Architektur-Framework. Unternehmensarchitekten verwenden die TOGAF-Architekturentwicklungsmethode (ADM) um Veränderungen zu fokussieren, Fehler zu reduzieren und die IT mit den Geschäftsbereichen abzustimmen, um qualitativ hochwertige Ergebnisse zu erzielen.

Schauen Sie sich unsere an TOGAF vs. SABSA Artikel an TOGAF denken Plus SABSA. Erweitern Sie Ihre Unternehmensarchitektur um erstklassige Risiken und Sicherheit.

 

Schulung zur Sicherheitsarchitektur

Warum Cybersicherheitsarchitektur für ein Unternehmen wichtig ist

Der erste (und offensichtlichste) Vorteil einer verbesserten Sicherheit besteht darin, dass Sicherheitsverletzungen reduziert werden. Viele Angreifer wenden äußerst einfache Angriffstaktiken an, die auf häufige Cybersicherheitsschwächen abzielen, die von Unternehmen geteilt werden, die nicht so sehr an der Entwicklung einer soliden Grundlage für die Sicherheitsarchitektur beteiligt sind.

Wahrscheinlich gelten für Ihr Unternehmen mehrere unterschiedliche Informationssicherheitsstandards wie HIPAA, GDPR und andere. Viele dieser Datensicherheitsstandards verlangen, dass ein Unternehmen eine robuste und gut verwaltete Sicherheitsarchitektur sowie eine Vielzahl besonderer Sicherheitsverfahren aufrechterhält. Es ist einfacher, diese Art von Standards zu erreichen, wenn Sie über ein solides Sicherheitsarchitekturdesign als Schlüsselkomponente Ihrer Organisation verfügen. Ein genaues Bild Ihrer Netzwerkarchitektur und insbesondere der vielen integrierten Sicherheitsmaßnahmen kann es einfacher machen, festzustellen, ob Sie Gefahr laufen, ein wichtiges Gesetz zu brechen.

Um Vertrauen zu gewinnen, ist eine starke Sicherheitsarchitektur erforderlich. Wenn Ihr Unternehmen als führend auf dem Gebiet der Cybersicherheit anerkannt ist, kann es Ihnen helfen, das Vertrauen anderer zu gewinnen. Dies gilt nicht nur für potenzielle Kunden; es gilt auch für mögliche Geschäftspartner und potenzielle Partnerschaften, die in der Zukunft entstehen könnten.

Nächste Schritte: Schulung zur Sicherheitsarchitektur

Dieser Kurs soll ein tieferes Verständnis der Sicherheitsarchitektur vermitteln. Das Lernen wird durch praktische Erfahrungen durch Übungen, die auf realen Fallstudien basieren, verbessert.

Das Ziel des Sicherheitsarchitekten für Informationssysteme besteht darin, Kontrollen zu entwerfen, die Risiken im Zusammenhang mit Informationen und Informationstechnologie effektiv verwalten. Das Ziel des Sicherheitsarchitekten ist es, das Unternehmen zu schützen, nicht die Technologie.

Effektive Sicherheitsarchitekturen sind vollständig in die Architektur des Unternehmens integriert. Sicherheitsarchitekten müssen mit den Tools, Praktiken und der Kultur des Unternehmens arbeiten, nicht dagegen. Sie müssen die Notwendigkeit, sich zu schützen, gegen das Streben nach Erfolg ausgleichen.

Wichtige Lernziele der Sicherheitsarchitektur:

Nach Abschluss dieses Kurses werden die Studierenden in der Lage sein:

  • Identifizieren und bewerten Sie Geschäftsrisiken im Zusammenhang mit Informationen und Informationstechnologie.
  • Verstehen Sie, wie man Risiken kommuniziert.
  • Beschreiben Sie die wichtigsten Bedenken hinsichtlich der Informationssicherheit in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit.
  • Identifizieren und beschreiben Sie die Merkmale, die in typischen Architekturen von Informationssystemen zu finden sind, einschließlich Netzwerken, Betriebssystemen und Anwendungen.
  • Beschreiben, wie Sicherheit mit Architektur- und Systementwicklungsmethoden zusammenpasst
  • Identifizieren und beschreiben Sie allgemeine Sicherheitskontrollen.
  • Verstehen Sie die Verbindung zwischen der Sicherheit von Informationssystemen und dem Datenschutz
  • Verstehen Sie die Landschaft der Sicherheitsstandards für Informationssysteme.
  • Definieren Sie Assurance und verstehen Sie die Rolle der Assurance in der Sicherheit von Informationssystemen.
  • Identifizieren und beschreiben Sie die 20 wichtigsten Sicherheitsmaßnahmen für Informationssysteme.

Schulungskurs zur Sicherheitsarchitektur

Im Lieferumfang enthalten:

  • 3 Tage Unterricht
    • Vorlesung
    • Workshop-Übungen
    • Übungsrückblick
  • Elektronische Kopie aller Conexiam-Kursunterlagen und Übungsmaterialien
  • Elektronische Kopie aller Navigieren Vorlagen und öffentliche Architekturwerkzeuge, die im Kurs verwendet werden
    • Die Schüler haben Zugriff auf aktualisierte Kursunterlagen, Übungsmaterialien, Navigieren Vorlagen und öffentliche Architekturinhalte für über ein Jahr

Alle Kursmaterialien werden elektronisch bereitgestellt. Für den Präsenzunterricht werden Kursfolien und Übungsmaterialien in einem Ordner bereitgestellt.

Empfohlene Voraussetzungen:

Systemverständnis bzw Unternehmensstruktur. Vollendung von TOGAF® 9-Zertifizierung oder EA mit TOGAF® und Navigieren™ ist eine Bereicherung.

Wer sollte teilnehmen:

  • Sicherheitsingenieure und -designer, die das große Ganze besser verstehen wollen
  • Unternehmens- und Systemarchitekten, die Sicherheit verstehen möchten

Weitere Informationen zu Die benutzerdefinierten Kurse von Conexiam.

DIY-Weg zum Erfolg
Scrolle nach oben