¿Qué es la Arquitectura de Seguridad?
Si bien existen varias definiciones de arquitectura de seguridad, en última instancia es una colección de conceptos, procedimientos y modelos de seguridad que equilibran la oportunidad y la amenaza. Todo lo que hace su negocio crea la posibilidad de beneficios y amenazas. Tendrá una tolerancia al riesgo diferente en diferentes partes de su negocio. Una buena arquitectura de seguridad coincide con sus objetivos de beneficios y riesgos. Esencialmente, garantizar que se mantenga lo suficientemente seguro frente a los ataques cibernéticos. Las necesidades comerciales se traducen en requisitos de seguridad accionables a través de la arquitectura de seguridad.
Una forma de comprenderlo de inmediato es compararlo con la arquitectura tradicional. El trabajo de un arquitecto de seguridad es bastante similar al de un arquitecto de casas, escuelas o edificios comerciales. Analizan la propiedad, consideran aspectos como las preferencias del cliente, el tipo de suelo, el terreno y el clima (la condición actual del terreno), y luego diseñan una estrategia para lograr el resultado deseado (el plano). Otros construyen la estructura, en este caso, constructores y contratistas, bajo la supervisión del arquitecto para garantizar que logre el objetivo (Architecture Governance).
El objetivo de la mayoría de las arquitecturas de seguridad es proteger a la empresa contra las ciberamenazas. Security Architects trabajará con otros Arquitectos empresariales en su negocio por un período para descubrir qué hace que su organización sea única. Hablarán con sus ejecutivos, personal y arquitectos de negocios para conocer los objetivos de su empresa, los requisitos del sistema, los deseos de los consumidores y otros aspectos esenciales. Luego, pueden crear una estrategia y un asesoramiento que se adapte a los objetivos de su empresa y satisfaga su apetito por el riesgo de seguridad cibernética declarado.
Hay muchos trabajos de arquitectura empresarial en un equipo líder en arquitectura empresarial. Si quieres explorar los roles, salta a la diferentes trabajos de arquitectura empresarial.
Los cuatro elementos críticos de la arquitectura de seguridad.
Para comprender mejor la naturaleza de la arquitectura de seguridad, es útil ver la arquitectura de seguridad en cuatro contextos críticos.
No existe una arquitectura de seguridad independiente
Un gran componente de la arquitectura de seguridad es que no existe una arquitectura de seguridad independiente. Es una 'preocupación transversal'. Eso significa que hay un aspecto de seguridad en cada dominio de arquitectura empresarial. Por ejemplo: en el contexto de su negocio, cuando piense en su software empresarial, tendrá un componente de seguridad. Eso podría considerarse parte de su arquitectura de seguridad y operaciones de seguridad.
El modelo SABSA
La mejor práctica para la arquitectura de seguridad es SABSA. SABSA es un marco de arquitectura de seguridad de la información corporativa impulsada por el riesgo para respaldar actividades comerciales clave. Si bien no está directamente relacionado con la Marco Zachman, SABSA utiliza la estructura central. La característica principal del modelo SABSA es que todo debe partir de un estudio de las necesidades de seguridad del negocio, particularmente aquellas en las que la seguridad sirve como habilitador para desarrollar y explotar nuevas perspectivas de negocio.
El proceso analiza las demandas comerciales desde el principio y desarrolla una cadena que se puede rastrear a través de la estrategia y el concepto, el diseño, la implementación y las fases continuas de gestión y medición del ciclo de vida para garantizar que se mantenga el mandato comercial. El método está respaldado con herramientas de marco basadas en la experiencia del mundo real.
El modelo SABSA es de carácter general y puede ser utilizado como punto de partida para cualquier organización; pero, al pasar por el proceso de análisis y toma de decisiones sugerido por su estructura, se vuelve particular a la empresa y eventualmente altamente personalizado a un modelo de negocio específico. Se convierte en la arquitectura de seguridad de la empresa y es fundamental para el éxito del programa de gestión de seguridad de la información estratégica de la organización.
El equipo de Conexiam ha trabajado con The Open Group y la Instituto SABSA para integrar el marco de EA estándar de la industria, TOGAF, con SABSA. Descargue una copia de Integración de riesgos y seguridad con la arquitectura empresarial para más información.
Se trata de la gestión de riesgos
La arquitectura de seguridad tiene que ver con la gestión de riesgos. El riesgo es el efecto de la incertidumbre en el cumplimiento de todos los objetivos de su negocio. La incertidumbre proviene de perder una oportunidad y ser golpeado por amenazas potenciales. La arquitectura de seguridad no necesariamente resulta en protección contra una amenaza. Un elemento de gestión de riesgos debe estar involucrado.
La práctica de controlar los riesgos relacionados con el uso de la tecnología de la información se conoce como gestión de riesgos de seguridad de la información o ISRM. Implica reconocer, analizar y responder a las amenazas a la confidencialidad, integridad y disponibilidad de los activos de una organización. El objetivo final de este enfoque es abordar los riesgos de acuerdo con la tolerancia al riesgo de la empresa. Las empresas deben tratar de determinar y asumir un umbral de riesgo general aceptable para su empresa, en lugar de esperar eliminar todos los peligros potenciales.
Por lo general, la gestión de riesgos como parte de la arquitectura de seguridad implicará la identificación de activos, la identificación de vulnerabilidades potenciales, la identificación de amenazas, la búsqueda de controles y la realización de evaluaciones exhaustivas de forma regular.
La seguridad y la arquitectura empresarial deben integrarse
El desarrollo de la arquitectura de seguridad debe integrarse completamente con el desarrollo de una arquitectura empresarial.
En la mayoría de las empresas, mejorar la seguridad es una tarea imposible. En lugar de desarrollar una arquitectura de seguridad integrada, se realiza un trabajo aleatorio para asegurar partes del negocio. A menudo, con otras partes del negocio sujetas a una fácil penetración o violación. Proporcionar un entorno seguro requiere medidas preventivas, de investigación y correctivas.
Muchos profesionales de la seguridad de la información convencional consideran que la arquitectura de seguridad no es más que la presencia de reglas, controles, herramientas y monitoreo de seguridad.
Todos los profesionales de la seguridad deben ser conscientes de los objetivos empresariales y esforzarse por alcanzarlos mediante el diseño de controles de seguridad adecuados que puedan justificarse fácilmente ante las partes interesadas y que estén relacionados con el riesgo empresarial. Los marcos empresariales, como SABSA y el Estándar TOGAF, ayuda en la alineación de la seguridad y los requisitos comerciales.
Entendiendo TOGAF
TOGAF es un marco de arquitectura empresarial. Los arquitectos empresariales utilizan el Método de desarrollo de arquitectura TOGAF (ADM) para enfocar el cambio, reducir los errores y alinear TI con las divisiones comerciales para crear resultados de alta calidad.
Echa un vistazo a nuestro TOGAF contra SABSA artículo para pensar en TOGAF más SABSA. Amplíe su arquitectura empresarial con riesgo y seguridad de clase mundial.
Por qué la Arquitectura de Seguridad Cibernética es Importante para una Organización
La primera (y más evidente) ventaja de la seguridad mejorada es que se reducen las infracciones de seguridad. Muchos atacantes emplean tácticas de ataque extremadamente básicas que tienen como objetivo las debilidades comunes de ciberseguridad que comparten las empresas que no están tan comprometidas con el desarrollo de una base sólida de arquitectura de seguridad.
Es probable que se apliquen a su empresa varios estándares distintos de seguridad de la información, como HIPAA, GDPR y otros. Muchos de estos estándares de seguridad de datos exigen que una empresa mantenga una arquitectura de seguridad sólida y bien administrada, así como una variedad de procedimientos de seguridad particulares. Es más sencillo lograr este tipo de estándares si tiene un diseño de arquitectura de seguridad sólido como componente clave de su organización. Tener una imagen precisa de la arquitectura de su red y las muchas medidas de seguridad que están integradas, en particular, puede simplificar la determinación de si está en peligro de infringir una ley importante.
Ganarse la confianza requiere una sólida arquitectura de seguridad. Cuando su empresa es reconocida como líder en el campo de la ciberseguridad, puede ayudarlo a ganarse la confianza de los demás. Esto no se aplica simplemente a los clientes potenciales; también se aplica a posibles socios comerciales y asociaciones potenciales que podrían ocurrir en el futuro.
Próximos pasos: capacitación en arquitectura de seguridad
Este curso está destinado a proporcionar una comprensión más profunda de la arquitectura de seguridad. El aprendizaje se mejora con la experiencia práctica a través de ejercicios basados en estudios de casos del mundo real.
El objetivo del arquitecto de seguridad de los sistemas de información es diseñar controles que gestionen eficazmente el riesgo asociado con la información y la tecnología de la información. El objetivo del arquitecto de seguridad es proteger la empresa, no la tecnología.
Las arquitecturas de seguridad efectivas están completamente integradas con la arquitectura de la empresa. Los arquitectos de seguridad deben trabajar con las herramientas, las prácticas y la cultura de la empresa, no en contra de ellas. Deben equilibrar la necesidad de protegerse contra el impulso para tener éxito.
Objetivos clave de aprendizaje de la arquitectura de seguridad:
Al completar este curso, los estudiantes serán capaces de:
- Identificar y evaluar los riesgos comerciales asociados con la información y la tecnología de la información.
- Entender cómo comunicar el riesgo.
- Describir las preocupaciones clave de seguridad de la información de confidencialidad, integridad y disponibilidad.
- Identificar y describir las características que se encuentran en las arquitecturas típicas de los sistemas de información, incluidas las redes, los sistemas operativos y las aplicaciones.
- Describir cómo la seguridad encaja con la arquitectura y las metodologías de desarrollo de sistemas.
- Identificar y describir los controles de seguridad comunes.
- Comprender la conexión entre la seguridad y la privacidad de los sistemas de información.
- Comprender el panorama de los estándares de seguridad de los sistemas de información.
- Definir el aseguramiento y comprender el papel del aseguramiento en la seguridad de los sistemas de información.
- Identificar y describir las 20 principales medidas de seguridad del sistema de información.
Curso de formación en arquitectura de seguridad
Incluido en la entrega:
- 3 días de instrucción
- Conferencia
- Ejercicios de taller
- Revisión del ejercicio
- Copia electrónica de todo el material didáctico y de ejercicios de Conexiam
- Copia electrónica de todos Navegar plantillas y herramientas de arquitectura pública utilizadas en el curso
- Los estudiantes tienen acceso a cursos actualizados, materiales de ejercicios, Navegar plantillas y contenidos de arquitectura pública durante más de un año
Todo el material del curso se proporciona electrónicamente. Para la entrega en clase, las diapositivas del curso y los materiales de ejercicios se proporcionan en una carpeta.
Requisitos previos recomendados:
Una comprensión de los sistemas o arquitectura empresarial. Finalización de Curso de formación en arquitectura empresarial de TOGAF o EA con TOGAF® y Navegar™ es un activo.
Quién debe asistir:
- Ingenieros y diseñadores de seguridad que desean comprender mejor el panorama general
- Arquitectos empresariales y de sistemas que quieren entender la seguridad
Para más información sobre Cursos personalizados de Conexiam.
