¿Qué es la arquitectura de seguridad?

La arquitectura de seguridad es el proceso de evaluar los controles de seguridad de la información e implementar los procesos y herramientas empresariales adecuados en los sistemas de TI para proteger los datos que utiliza y almacena una organización. En definitiva, la arquitectura de seguridad es solo el primer paso; la seguridad se basa en la implementación y las operaciones.

Cuando no se establece una buena arquitectura de seguridad, los equipos de una organización se ven obligados a buscar diseños e implementaciones que protejan contra amenazas de forma aleatoria. La mayoría de las arquitecturas de ciberseguridad son reactivas y están orientadas a las amenazas. Sin embargo, una arquitectura de seguridad robusta proporcionará medidas preventivas que garantizarán la seguridad de la empresa.

En esta guía, analizaremos qué es la arquitectura de seguridad, los elementos críticos de la arquitectura de seguridad y por qué una arquitectura de seguridad sólida es tan vital para una organización.

Aprenda la arquitectura de riesgos con el marco de dominio de SABSA

¿Qué es la arquitectura de seguridad?

Si bien existen diversas definiciones de arquitectura de seguridad, en definitiva, se trata de un conjunto de conceptos, procedimientos y modelos de seguridad que equilibran oportunidades y amenazas. Todo lo que hace su empresa genera la posibilidad de beneficios y amenazas. La tolerancia al riesgo varía según las áreas de su negocio. Una buena arquitectura de seguridad se ajusta a sus objetivos de beneficios y riesgos. En esencia, garantiza una protección adecuada contra ciberataques. Las necesidades empresariales se traducen en requisitos de seguridad viables a través de la arquitectura de seguridad.

Una forma de comprenderlo de inmediato es compararlo con la arquitectura tradicional. El trabajo de un arquitecto de seguridad es bastante similar al de un arquitecto de viviendas, escuelas o edificios comerciales. Analizan la propiedad, consideran aspectos como las preferencias del cliente, el tipo de suelo, el terreno y el clima (el estado actual del terreno) y luego diseñan una estrategia para lograr el resultado deseado (el plano). Otros construyen la estructura; en este caso, los constructores y contratistas., bajo la supervisión del arquitecto para garantizar que se logre el objetivo (Gobernanza de la Arquitectura).

El objetivo de la mayoría de las arquitecturas de seguridad es proteger a la empresa contra las ciberamenazas. Los arquitectos de seguridad trabajarán con otros Arquitectos de empresa en su empresa durante un período para descubrir qué hace que su organización sea única. Hablarán con sus ejecutivos, personal y arquitectos empresariales Para conocer los objetivos de su empresa, los requisitos del sistema, las necesidades de los consumidores y otros aspectos esenciales, podrán crear una estrategia y asesoramiento adaptados a los objetivos de su empresa y a su tolerancia al riesgo de ciberseguridad.

Hay muchos trabajos de arquitectura empresarial en un equipo líder de arquitectura empresarial. Si desea explorar los roles, vaya a la Diferentes trabajos de arquitectura empresarial.

Contáctanos para hablar sobre consultoría de arquitectura empresarial.

Los cuatro elementos críticos de la arquitectura de seguridad.

Para comprender mejor la naturaleza de la arquitectura de seguridad, es útil verla en cuatro contextos críticos.

No existe una arquitectura de seguridad independiente

Un componente importante de la arquitectura de seguridad es que no existe una arquitectura de seguridad independiente. Es una preocupación transversal. Esto significa que hay un aspecto de seguridad en cada... dominio de la arquitectura empresarial. Por ejemplo: En el contexto de su negocio, cuando piensa en su software empresarial, este tendrá un componente de seguridad. Este podría considerarse parte de su arquitectura y operaciones de seguridad.

El modelo SABSA

La mejor práctica para la arquitectura de seguridad es SABSA. SABSA Es un marco de arquitectura de seguridad de la información corporativa basado en riesgos para respaldar las actividades comerciales clave. Si bien no está directamente relacionado con... Marco de Zachman, SABSA utiliza la estructura básica. La característica principal del modelo SABSA es que todo debe extraerse de un estudio de las necesidades de seguridad del negocio, en particular aquellas en las que la seguridad facilita el desarrollo y la explotación de nuevas oportunidades de negocio.

El proceso analiza las demandas del negocio desde el inicio y desarrolla una cadena rastreable a lo largo de las fases de estrategia y concepto, diseño, implementación y gestión y medición continuas del ciclo de vida, para garantizar el cumplimiento del mandato empresarial. El método se sustenta en herramientas de marco basadas en la experiencia práctica.

El modelo SABSA es de carácter general y puede utilizarse como punto de partida para cualquier organización; sin embargo, al someterse al proceso de análisis y toma de decisiones que sugiere su estructura, se vuelve específico para la empresa y, con el tiempo, altamente personalizado para un modelo de negocio específico. Se convierte en la arquitectura de seguridad empresarial y es fundamental para el éxito del programa estratégico de gestión de la seguridad de la información de la organización.

El equipo de Conexiam ha trabajado con The Open Group y la Instituto SABSA para integrar el marco EA estándar de la industria, TOGAF, con SABSA. Descargue una copia de Integración de riesgos y seguridad con la arquitectura empresarial para más información.

Todo es cuestión de gestión de riesgos

La arquitectura de seguridad tiene que ver con la gestión de riesgos. El riesgo es el efecto de la incertidumbre en el cumplimiento de todos los objetivos de su negocio. La incertidumbre surge al perder una oportunidad y verse afectado por amenazas potenciales. Una arquitectura de seguridad no necesariamente garantiza la protección contra una amenaza. Es necesario contar con un elemento de gestión de riesgos.

La práctica de controlar los riesgos asociados con el uso de las tecnologías de la información se conoce como gestión de riesgos de seguridad de la información o ISRM. Implica reconocer, analizar y responder a las amenazas a la confidencialidad, integridad y disponibilidad de los activos de una organización. El objetivo final de este enfoque es abordar los riesgos de acuerdo con la tolerancia al riesgo de la empresa. Las empresas deben intentar determinar y asumir un umbral de riesgo general aceptable para su empresa, en lugar de intentar eliminar todos los riesgos potenciales.

Normalmente, la gestión de riesgos como parte de la arquitectura de seguridad implicará identificar activos, identificar vulnerabilidades potenciales, identificar amenazas, encontrar controles y realizar evaluaciones exhaustivas de forma periódica.

La seguridad y la arquitectura empresarial deben estar integradas

El desarrollo de la arquitectura de seguridad debe estar completamente integrado con el desarrollo de una arquitectura empresarial.

En la mayoría de las empresas, mejorar la seguridad es una tarea imposible. En lugar de desarrollar una arquitectura de seguridad integrada, se realizan trabajos aleatorios para proteger partes de la empresa. A menudo, otras áreas de la empresa son vulnerables a intrusiones o brechas de seguridad. Proporcionar un entorno seguro requiere medidas preventivas, de investigación y correctivas.

Muchos profesionales de seguridad de la información convencionales consideran que la arquitectura de seguridad no es nada más que la presencia de reglas, controles, herramientas y supervisión de seguridad.

Todos los profesionales de seguridad deben conocer los objetivos empresariales y esforzarse por alcanzarlos mediante el diseño de controles de seguridad adecuados que puedan justificarse fácilmente ante las partes interesadas y que estén relacionados con el riesgo empresarial. Los marcos empresariales, como SABSA y Norma TOGAF, ayudar en la alineación de los requisitos de seguridad y del negocio.

Entendiendo TOGAF

TOGAF es un marco de arquitectura empresarial. Los arquitectos empresariales utilizan el Método de desarrollo de arquitectura TOGAF (ADM) enfocar el cambio, reducir errores y alinear TI con las divisiones de negocios para crear resultados de alta calidad.

Echa un vistazo a nuestro TOGAF contra SABSA Artículo para pensar en TOGAF más SABSA. Amplíe su arquitectura empresarial con seguridad y riesgos de primer nivel.

Capacitación en arquitectura de seguridad

Capacitación para la certificación en arquitectura empresarial

Por qué la arquitectura de ciberseguridad es importante para una organización

La primera (y más evidente) ventaja de una mayor seguridad es la reducción de las brechas de seguridad. Muchos atacantes emplean tácticas de ataque extremadamente básicas que se dirigen a debilidades comunes de ciberseguridad que comparten empresas que no están tan comprometidas con el desarrollo de una sólida base arquitectónica de seguridad.

Es probable que su empresa se vea afectada por diversos estándares de seguridad de la información, como HIPAA, RGPD y otros. Muchos de estos estándares de seguridad de datos exigen que la empresa mantenga una arquitectura de seguridad robusta y bien gestionada, así como diversos procedimientos de seguridad específicos. Es más sencillo cumplir con estos estándares si cuenta con un diseño de arquitectura de seguridad sólido como componente clave de su organización. Tener una visión precisa de la arquitectura de su red y, en particular, de las numerosas medidas de seguridad integradas, puede facilitar la determinación del riesgo de infringir una ley importante.

Para generar confianza se requiere una sólida arquitectura de seguridad. Cuando su empresa es reconocida como líder en ciberseguridad, puede ganarse la confianza de los demás. Esto no solo aplica a clientes potenciales, sino también a posibles socios comerciales y posibles colaboraciones futuras.

Próximos pasos: Capacitación en arquitectura de seguridad

Este curso está diseñado para profundizar en la arquitectura de seguridad. El aprendizaje se enriquece con experiencia práctica mediante ejercicios basados en casos prácticos.

El objetivo del arquitecto de seguridad de sistemas de información es diseñar controles que gestionen eficazmente los riesgos asociados a la información y la tecnología de la información. El objetivo del arquitecto de seguridad es proteger la empresa, no la tecnología.

Las arquitecturas de seguridad eficaces están completamente integradas con la arquitectura de la empresa. Los arquitectos de seguridad deben trabajar con las herramientas, prácticas y cultura de la empresa, y no en contra de ellas. Deben equilibrar la necesidad de protección con el afán de éxito.

Objetivos de aprendizaje de la arquitectura de seguridad clave:

Al finalizar este curso, los estudiantes podrán:

Identificar y evaluar los riesgos empresariales asociados a la información y a la tecnología de la información.
Entender cómo comunicar el riesgo.
Describa las principales preocupaciones en materia de seguridad de la información: confidencialidad, integridad y disponibilidad.
Identificar y describir las características que se encuentran en las arquitecturas típicas de sistemas de información, incluidas redes, sistemas operativos y aplicaciones.
Describir cómo la seguridad se adapta a la arquitectura y a las metodologías de desarrollo de sistemas.
Identificar y describir los controles de seguridad comunes.
Comprender la conexión entre la seguridad y la privacidad de los sistemas de información.
Comprender el panorama de los estándares de seguridad de los sistemas de información.
Definir garantía y comprender el papel de la garantía en la seguridad de los sistemas de información.
Identificar y describir las 20 principales salvaguardas del sistema de información.

Curso de formación en arquitectura de seguridad

Incluido en la entrega:

3 días de instrucción
- Conferencia
- Ejercicios de taller
- Revisión del ejercicio
Copia electrónica de todos los materiales de cursos y ejercicios de Conexiam
Copia electrónica de todo Navegar por Plantillas y herramientas de arquitectura pública utilizadas en el curso
- Los estudiantes tienen acceso a cursos actualizados, materiales de ejercicios, Navegar por Plantillas y contenidos de arquitectura pública durante más de un año

Todo el material del curso se proporciona en formato electrónico. Para las clases presenciales, se proporcionan diapositivas y ejercicios en una carpeta.

Prerrequisitos recomendados:

Una comprensión de los sistemas o arquitectura empresarial. Finalización de Curso de formación en arquitectura empresarial TOGAF o EA con TOGAF® y Navegar por™ es un activo.

¿Quién debería asistir?

Ingenieros y diseñadores de seguridad que quieran comprender mejor el panorama general
Arquitectos empresariales y de sistemas que quieran comprender la seguridad

Para obtener más información sobre Cursos personalizados de Conexiam.

Arquitectura de portafolio: camino al éxito

Programa Kickstart gratuito de 12 semanas: Conviértete en un mejor arquitecto de seguridad

Mejore sus competencias en arquitectura empresarial

Formamos arquitectos empresariales de éxito
Desarrollamos equipos de arquitectura empresarial de éxito

12 semanas gratuitas para arquitectos empresariales

Formación en arquitectura empresarial

Curso de formación en arquitectura empresarial TOGAF

Galleta	Duración	Descripción
_ga	1 año 1 mes 4 días	Google Analytics instala esta cookie para calcular los datos de visitantes, sesiones y campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. La cookie almacena la información de forma anónima y asigna un número generado aleatoriamente para reconocer a los visitantes únicos.
No, no, no, no.	1 año 1 mes 4 días	Google Analytics instala esta cookie para almacenar y contar las visitas a las páginas.
_omappvp	1 año 1 mes 4 días	La cookie _omappvp se utiliza para distinguir entre usuarios nuevos y recurrentes y se utiliza junto con la cookie _omappvs.
_omappvs	20 minutos	La cookie _omappvs, utilizada junto con las cookies _omappvp, se utiliza para determinar si el visitante ha visitado el sitio web con anterioridad, o si se trata de un nuevo visitante.