Qu'est-ce que l'architecture de sécurité ?
Bien qu'il existe différentes définitions de l'architecture de sécurité, il s'agit en fin de compte d'un ensemble de concepts, de procédures et de modèles de sécurité qui équilibrent les opportunités et les menaces. Tout ce que fait votre entreprise crée la possibilité d'avantages et de menaces. Vous aurez une tolérance au risque différente dans différentes parties de votre entreprise. Une bonne architecture de sécurité correspond à vos objectifs de bénéfices et de risques. Assurez-vous essentiellement de rester suffisamment protégé contre les cyberattaques. Les besoins de l'entreprise sont traduits en exigences de sécurité exploitables grâce à l'architecture de sécurité.
Une façon de le saisir immédiatement est de le comparer à l'architecture traditionnelle. Le travail d'un architecte de la sécurité est assez similaire à celui d'un architecte de maison, d'école ou de bâtiment d'entreprise. Ils analysent la propriété, prennent en compte des aspects tels que les préférences des clients, le type de sol, le terrain et le climat (l'état actuel du terrain), puis élaborent une stratégie pour atteindre le résultat souhaité (le plan). D'autres construisent la structure, dans ce cas, les constructeurs et les entrepreneurs, sous la supervision de l'architecte pour garantir l'atteinte de l'objectif (Gouvernance de l'Architecture).
L'objectif de la plupart des architectures de sécurité est de protéger l'entreprise contre les cybermenaces. Les architectes de sécurité travailleront avec d'autres Architectes d'entreprise dans votre entreprise pendant un certain temps afin de découvrir ce qui rend votre organisation unique. Ils parleront avec vos dirigeants, votre personnel et architectes d'entreprise pour en savoir plus sur les objectifs de votre entreprise, les exigences du système, les souhaits des consommateurs et d'autres aspects essentiels. Ils peuvent ensuite créer une stratégie et des conseils adaptés aux objectifs de votre entreprise et répondant à votre appétence déclarée pour le risque de cybersécurité.
Il y a beaucoup de emplois en architecture d'entreprise au sein d'une équipe d'architecture d'entreprise de premier plan. Si vous souhaitez explorer les rôles, passez à la différents métiers de l'architecture d'entreprise.
Les quatre éléments critiques de l'architecture de sécurité.
Pour mieux comprendre la nature de l'architecture de sécurité, il est utile de voir l'architecture de sécurité dans quatre contextes critiques.
Il n'y a pas d'architecture de sécurité autonome
L'un des principaux composants de l'architecture de sécurité est qu'il n'existe pas d'architecture de sécurité autonome. C'est une « préoccupation transversale ». Cela signifie qu'il y a un aspect de sécurité dans chaque domaine de l'architecture d'entreprise. Par exemple : Dans le contexte de votre entreprise, lorsque vous pensez à votre logiciel d'entreprise, il aura un composant de sécurité. Cela pourrait être considéré comme faisant partie de votre architecture de sécurité et de vos opérations de sécurité.
Le modèle SABSA
La meilleure pratique pour l'architecture de sécurité est SABSA. SABSA est un cadre d'architecture de sécurité des informations d'entreprise axé sur les risques pour soutenir les activités commerciales clés. Bien qu'il ne soit pas directement lié à la Cadre de Zachman, SABSA utilise la structure de base. La principale caractéristique du modèle SABSA est que tout doit être tiré d'une étude des besoins des entreprises en matière de sécurité, en particulier ceux dans lesquels la sécurité sert de catalyseur pour développer et exploiter de nouvelles perspectives commerciales.
Le processus analyse les demandes commerciales dès le début et développe une chaîne qui peut être suivie à travers la stratégie et le concept, la conception, la mise en œuvre et les phases continues de gestion et de mesure du cycle de vie pour s'assurer que le mandat commercial est maintenu. La méthode est soutenue par des outils de cadre basés sur l'expérience du monde réel.
Le modèle SABSA est de nature générale et peut être utilisé comme point de départ pour toute organisation ; mais, en passant par le processus d'analyse et de prise de décision suggéré par sa structure, il devient particulier à l'entreprise et est finalement fortement personnalisé à un modèle d'affaires spécifique. Il devient l'architecture de sécurité de l'entreprise et est essentiel au succès du programme de gestion stratégique de la sécurité de l'information de l'organisation.
L'équipe de Conexiam a travaillé avec The Open Group et le Institut SABSA pour intégrer le cadre EA standard de l'industrie, TOGAF, avec SABSA. Télécharger une copie de l'intégration des risques et de la sécurité à l'architecture d'entreprise pour plus d'informations.
Tout est dans la gestion des risques
L'architecture de sécurité concerne la gestion des risques. Le risque est l'effet de l'incertitude sur la réalisation de tous les objectifs de votre entreprise. L'incertitude vient du fait de manquer une opportunité et d'être confronté à des menaces potentielles. L'architecture de sécurité ne se traduit pas nécessairement par une protection contre une menace. Un élément de gestion des risques doit être impliqué.
La pratique de contrôle des risques liés à l'utilisation des technologies de l'information est connue sous le nom de gestion des risques de sécurité de l'information, ou ISRM. Cela implique de reconnaître, d'analyser et de répondre aux menaces à la confidentialité, à l'intégrité et à la disponibilité des actifs d'une organisation. L'objectif final de cette approche est de traiter les risques en fonction de la tolérance au risque de l'entreprise. Les entreprises devraient essayer de déterminer et d'assumer un seuil de risque global acceptable pour leur entreprise, plutôt que de s'attendre à éliminer tous les dangers potentiels.
En règle générale, la gestion des risques dans le cadre de l'architecture de sécurité implique l'identification des actifs, l'identification des vulnérabilités potentielles, l'identification des menaces, la recherche de contrôles et la réalisation d'évaluations approfondies sur une base régulière.
La sécurité et l'architecture d'entreprise doivent être intégrées
Le développement de l'architecture de sécurité doit être entièrement intégré au développement d'une architecture d'entreprise.
Dans la plupart des entreprises, améliorer la sécurité est une tâche impossible. Plutôt que de développer une architecture de sécurité intégrée, un travail aléatoire est effectué pour sécuriser des parties de l'entreprise. Souvent avec d'autres parties de l'entreprise sujettes à une pénétration ou à une violation facile. La mise en place d'un environnement sécurisé nécessite des mesures préventives, d'enquête et correctives.
De nombreux praticiens de la sécurité de l'information conventionnels considèrent l'architecture de sécurité comme rien de plus que la présence de règles de sécurité, de contrôles, d'outils et de surveillance.
Tous les professionnels de la sécurité doivent être conscients des objectifs commerciaux et s'efforcer de les atteindre en concevant des contrôles de sécurité appropriés qui peuvent être facilement justifiés pour les parties prenantes et liés au risque commercial. Les cadres d'entreprise, tels que SABSA et le Norme TOGAF, aide à l'alignement des exigences de sécurité et de l'entreprise.
Comprendre le TOGAF
TOGAF est un cadre d'architecture d'entreprise. Les architectes d'entreprise utilisent le Méthode de développement d'architecture TOGAF (ADM) pour cibler le changement, réduire les erreurs et aligner l'informatique sur les divisions commerciales pour créer des résultats de haute qualité.
Jetez un oeil à notre TOGAF contre SABSA article à penser au TOGAF plus SABSA. Étendez l'architecture de votre entreprise avec des risques et une sécurité de classe mondiale.
Pourquoi l'architecture de cybersécurité est importante pour une organisation
Le premier avantage (et le plus évident) d'une sécurité améliorée est que les failles de sécurité sont réduites. De nombreux attaquants utilisent des tactiques d'attaque extrêmement basiques qui ciblent les faiblesses courantes de la cybersécurité partagées par les entreprises qui ne sont pas aussi engagées dans le développement d'une base architecturale de sécurité solide.
Plusieurs normes de sécurité des informations distinctes, telles que HIPAA, GDPR et autres, sont susceptibles de s'appliquer à votre entreprise. Bon nombre de ces normes de sécurité des données exigent qu'une entreprise maintienne une architecture de sécurité robuste et bien gérée, ainsi qu'une variété de procédures de sécurité particulières. Il est plus simple d'atteindre ces types de normes si vous disposez d'une conception d'architecture de sécurité solide en tant que composant clé de votre organisation. Avoir une image précise de l'architecture de votre réseau et des nombreuses mesures de sécurité intégrées, en particulier, peut permettre de déterminer plus facilement si vous risquez d'enfreindre une loi majeure.
Gagner la confiance nécessite une architecture de sécurité solide. Lorsque votre entreprise est reconnue comme un chef de file dans le domaine de la cybersécurité, cela peut vous aider à gagner la confiance des autres. Cela ne s'applique pas simplement aux clients potentiels ; cela s'applique également aux éventuels partenaires commerciaux et aux partenariats potentiels qui pourraient survenir à l'avenir.
Prochaines étapes : formation sur l'architecture de sécurité
Ce cours est destiné à fournir une compréhension plus approfondie de l'architecture de sécurité. L'apprentissage est renforcé par une expérience pratique grâce à des exercices basés sur des études de cas réels.
L'architecte de la sécurité des systèmes d'information a pour objectif de concevoir des contrôles qui gèrent efficacement les risques associés à l'information et aux technologies de l'information. L'objectif de l'architecte de sécurité est de protéger l'entreprise, pas la technologie.
Les architectures de sécurité efficaces sont entièrement intégrées à l'architecture de l'entreprise. Les architectes de sécurité doivent travailler avec, et non contre, les outils, les pratiques et la culture de l'entreprise. Ils doivent trouver un équilibre entre le besoin de se protéger et la volonté de réussir.
Principaux objectifs d'apprentissage de l'architecture de sécurité :
Au terme de ce cours, les étudiants seront capables de :
- Identifier et évaluer les risques commerciaux associés à l'information et aux technologies de l'information.
- Comprendre comment communiquer les risques.
- Décrire les principaux problèmes de sécurité de l'information que sont la confidentialité, l'intégrité et la disponibilité.
- Identifier et décrire les fonctionnalités trouvées dans les architectures de systèmes d'information typiques, y compris les réseaux, les systèmes d'exploitation et les applications.
- Décrire comment la sécurité s'intègre à l'architecture et aux méthodologies de développement de systèmes
- Identifier et décrire les contrôles de sécurité courants.
- Comprendre le lien entre la sécurité des systèmes d'information et la confidentialité
- Comprendre le paysage des normes de sécurité des systèmes d'information.
- Définir l'assurance et comprendre le rôle de l'assurance dans la sécurité des systèmes d'information.
- Identifier et décrire les 20 principales sauvegardes du système d'information.
Cours de formation sur l'architecture de sécurité
Inclus dans la livraison :
- 3 jours de formation
- Conférence
- Exercices d'atelier
- Examen de l'exercice
- Copie électronique de tous les didacticiels et supports d'exercices Conexiam
- Copie électronique de tous Naviguer modèles et outils d'architecture publique utilisés dans le cours
- Les étudiants ont accès à des didacticiels mis à jour, à du matériel d'exercices, Naviguer modèles et contenus d'architecture publique depuis plus d'un an
Tout le matériel de cours est fourni par voie électronique. Pour les cours en classe, les diapositives et le matériel d'exercice sont fournis dans un classeur.
Prérequis recommandés :
Une compréhension des systèmes ou l'architecture d'entreprise. Achèvement de Certification TOGAF® 9 ou EA avec TOGAF® et Naviguer™ est un atout.
Qui devrait être présent:
- Ingénieurs et concepteurs de sécurité qui souhaitent mieux comprendre la situation dans son ensemble
- Architectes d'entreprise et de système qui souhaitent comprendre la sécurité
Pour plus d'informations sur Les cours personnalisés de Conexiam.
