O que é Arquitetura de Segurança

Arquitetura de segurança é o processo de avaliação dos controles de segurança da informação e implementação dos processos e ferramentas de negócios adequados nos sistemas de TI para proteger os dados utilizados e armazenados por uma organização. No fim das contas, a arquitetura de segurança é apenas o primeiro passo – a segurança vem da implementação e das operações.

Quando uma boa arquitetura de segurança não é devidamente estabelecida, as equipes de uma organização ficam presas na busca por designs e implementações que protejam aleatoriamente contra ameaças. A maioria das "arquiteturas de segurança cibernética" é reativa e orientada a ameaças. No entanto, uma arquitetura de segurança robusta fornecerá medidas preventivas que garantirão a segurança da empresa.

Neste guia, detalharemos o que é arquitetura de segurança, os elementos críticos da arquitetura de segurança e por que uma arquitetura de segurança sólida é tão vital para uma organização.

Aprenda Arquitetura de Risco com o SABSA Domain Framework

O que é Arquitetura de Segurança?

Embora existam várias definições de arquitetura de segurança, ela é, em última análise, um conjunto de conceitos, procedimentos e modelos de segurança que equilibram oportunidades e ameaças. Tudo o que sua empresa faz cria a possibilidade de benefícios e ameaças. Você terá uma tolerância a riscos diferente em diferentes áreas do seu negócio. Uma boa arquitetura de segurança se alinha aos seus objetivos de benefícios e riscos. Essencialmente, garante que você permaneça suficientemente seguro contra ataques cibernéticos. As necessidades do negócio são traduzidas em requisitos de segurança acionáveis por meio da arquitetura de segurança.

Uma maneira de entender isso imediatamente é compará-lo à arquitetura tradicional. O trabalho de um arquiteto de segurança é bastante semelhante ao de um arquiteto de casas, escolas ou edifícios comerciais. Eles analisam o imóvel, consideram aspectos como preferências do cliente, tipo de solo, terreno e clima (as condições atuais do terreno) e, em seguida, elaboram uma estratégia para atingir o resultado desejado (a planta baixa). Outros constroem a estrutura, neste caso, construtores e empreiteiros., sob a supervisão do arquiteto para garantir que o objetivo seja alcançado (Governança da Arquitetura).

O objetivo da maioria das arquiteturas de segurança é proteger a empresa contra ameaças cibernéticas. Os arquitetos de segurança trabalharão com outros Arquitetos corporativos em seu negócio por um período para descobrir o que torna sua organização única. Eles falarão com seus executivos, funcionários e arquitetos de negócios para aprender sobre os objetivos da sua empresa, requisitos do sistema, desejos do consumidor e outros aspectos essenciais. Eles podem então criar uma estratégia e aconselhamento adaptados aos objetivos da sua empresa e que atendam ao seu apetite declarado por riscos de segurança cibernética.

Existem muitos empregos de arquitetura empresarial em uma equipe líder de arquitetura empresarial. Se você quiser explorar as funções, vá para o diferentes empregos de arquitetura empresarial.

Entre em contato conosco para falar sobre consultoria em arquitetura empresarial

Os quatro elementos críticos da arquitetura de segurança.

Para entender melhor a natureza da arquitetura de segurança, é útil vê-la em quatro contextos críticos.

Não há arquitetura de segurança autônoma

Um grande componente da arquitetura de segurança é que não existe uma arquitetura de segurança independente. É uma "preocupação transversal". Isso significa que há um aspecto de segurança em cada domínio de arquitetura empresarial. Por exemplo: no contexto do seu negócio, quando você pensa em software corporativo, ele terá um componente de segurança. Isso pode ser considerado parte da sua arquitetura e operações de segurança.

O Modelo SABSA

A melhor prática para arquitetura de segurança é SABSA. SABSA é uma estrutura de arquitetura de segurança da informação corporativa orientada a riscos para dar suporte às principais atividades empresariais. Embora não esteja diretamente relacionada à Estrutura Zachman, O SABSA utiliza a estrutura central. A principal característica do modelo SABSA é que tudo deve ser elaborado a partir de um estudo das necessidades de segurança do negócio, especialmente aquelas em que a segurança serve como um facilitador para o desenvolvimento e a exploração de novas perspectivas de negócios.

O processo analisa as demandas do negócio desde o início e desenvolve uma cadeia que pode ser rastreada ao longo das fases de estratégia e conceito, design, implementação e gerenciamento e mensuração contínuos do ciclo de vida para garantir que o mandato do negócio seja mantido. O método é apoiado por ferramentas de estrutura baseadas em experiências reais.

O modelo SABSA é de natureza geral e pode ser usado como ponto de partida para qualquer organização; mas, ao passar pelo processo de análise e tomada de decisão sugerido por sua estrutura, torna-se específico para cada empresa e, eventualmente, altamente personalizado para um modelo de negócio específico. Torna-se a arquitetura de segurança corporativa e é fundamental para o sucesso do programa estratégico de gestão da segurança da informação da organização.

A equipe da Conexiam trabalhou com o The Open Group e o Instituto SABSA para integrar a estrutura EA padrão da indústria, TOGAF, com SABSA. Baixe uma cópia de Integrando Risco e Segurança com Arquitetura Empresarial para obter mais informações.

É tudo uma questão de gestão de riscos

Arquitetura de segurança é sobre gerenciamento de riscos. Risco é o efeito da incerteza no cumprimento de todos os objetivos do seu negócio. A incerteza advém da perda de uma oportunidade e do impacto de ameaças potenciais. A arquitetura de segurança não resulta necessariamente em proteção contra uma ameaça. Um elemento de gestão de riscos deve estar presente.

A prática de controlar riscos associados ao uso da tecnologia da informação é conhecida como gestão de riscos de segurança da informação, ou ISRM. Ela envolve reconhecer, analisar e responder a ameaças à confidencialidade, integridade e disponibilidade dos ativos de uma organização. O objetivo final dessa abordagem é abordar os riscos de acordo com a tolerância a riscos da empresa. As empresas devem tentar determinar e assumir um limite de risco geral aceitável para suas organizações, em vez de esperar eliminar todos os riscos potenciais.

Normalmente, o gerenciamento de riscos como parte da arquitetura de segurança envolverá a identificação de ativos, a identificação de vulnerabilidades potenciais, a identificação de ameaças, a descoberta de controles e a realização de avaliações completas regularmente.

Segurança e arquitetura empresarial precisam ser integradas

O desenvolvimento da Arquitetura de Segurança precisa ser totalmente integrado ao desenvolvimento de uma arquitetura corporativa.

Na maioria das empresas, melhorar a segurança é uma tarefa impossível. Em vez de desenvolver uma arquitetura de segurança integrada, um trabalho aleatório é realizado para proteger partes do negócio. Muitas vezes, outras partes do negócio estão sujeitas a fácil penetração ou violação. Proporcionar um ambiente seguro requer medidas preventivas, investigativas e corretivas.

Muitos profissionais convencionais de segurança da informação consideram a arquitetura de segurança nada mais do que a presença de regras de segurança, controles, ferramentas e monitoramento.

Todos os profissionais de segurança devem estar cientes dos objetivos de negócios e se esforçar para alcançá-los, projetando controles de segurança apropriados que possam ser facilmente justificados às partes interessadas e relacionados ao risco do negócio. Estruturas corporativas, como SABSA e Padrão TOGAF, auxilia no alinhamento dos requisitos de segurança e negócios.

Compreendendo o TOGAF

TOGAF é um estrutura de arquitetura empresarial. Os arquitetos corporativos usam o Método de Desenvolvimento de Arquitetura TOGAF (ADM) para focar mudanças, reduzir erros e alinhar a TI com as divisões de negócios para criar resultados de alta qualidade.

Dê uma olhada em nosso TOGAF vs. SABSA artigo para pensar no TOGAF mais SABSA. Amplie sua arquitetura empresarial com risco e segurança de classe mundial.

Treinamento de Certificação em Arquitetura Corporativa

Por que a arquitetura de segurança cibernética é importante para uma organização

A primeira (e mais evidente) vantagem da segurança aprimorada é a redução de violações de segurança. Muitos invasores empregam táticas de ataque extremamente básicas que visam vulnerabilidades comuns de segurança cibernética, compartilhadas por empresas que não estão tão engajadas no desenvolvimento de uma base arquitetônica de segurança sólida.

Diversos padrões distintos de segurança da informação, como HIPAA, GDPR e outros, provavelmente se aplicam à sua empresa. Muitos desses padrões de segurança de dados exigem que a empresa mantenha uma arquitetura de segurança robusta e bem gerenciada, bem como uma variedade de procedimentos de segurança específicos. É mais fácil atingir esses tipos de padrões se você tiver um projeto de arquitetura de segurança sólido como componente-chave da sua organização. Ter uma visão precisa da sua arquitetura de rede e das diversas medidas de segurança integradas, em particular, pode facilitar a determinação se você corre o risco de infringir uma lei importante.

Conquistar confiança requer uma arquitetura de segurança sólida. Quando sua empresa é reconhecida como líder na área de segurança cibernética, isso pode ajudá-la a conquistar a confiança de outras pessoas. Isso não se aplica apenas a clientes em potencial; também se aplica a possíveis parceiros de negócios e possíveis parcerias que possam surgir no futuro.

Próximos passos: Treinamento em Arquitetura de Segurança

Este curso tem como objetivo proporcionar uma compreensão mais aprofundada da Arquitetura de Segurança. O aprendizado é aprimorado com experiências práticas por meio de exercícios baseados em estudos de caso reais.

O objetivo do arquiteto de segurança de sistemas de informação é projetar controles que gerenciem eficazmente os riscos associados à informação e à tecnologia da informação. O objetivo do arquiteto de segurança é proteger a empresa, não a tecnologia.

Arquiteturas de segurança eficazes são totalmente integradas à arquitetura da empresa. Arquitetos de segurança devem trabalhar com, e não contra, as ferramentas, práticas e cultura da empresa. Eles devem equilibrar a necessidade de proteção com a busca pelo sucesso.

Principais objetivos de aprendizagem da arquitetura de segurança:

Ao concluir este curso, os alunos serão capazes de:

Identificar e avaliar riscos comerciais associados à informação e à tecnologia da informação.
Entenda como comunicar riscos.
Descreva as principais preocupações com a segurança da informação: confidencialidade, integridade e disponibilidade.
Identificar e descrever os recursos encontrados em arquiteturas típicas de sistemas de informação, incluindo redes, sistemas operacionais e aplicativos.
Descreva como a segurança se encaixa nas metodologias de desenvolvimento de arquitetura e sistemas
Identifique e descreva controles de segurança comuns.
Entenda a conexão entre segurança de sistemas de informação e privacidade
Compreender o cenário de padrões de segurança de sistemas de informação.
Defina garantia e entenda o papel da garantia na segurança de sistemas de informação.
Identifique e descreva as 20 principais salvaguardas do sistema de informação.

Curso de Treinamento em Arquitetura de Segurança

Incluído na entrega:

3 dias de instrução
- Palestra
- Exercícios de oficina
- Revisão de exercícios
Cópia eletrônica de todos os materiais de curso e exercícios da Conexiam
Cópia eletrônica de todos Navegar modelos e ferramentas de arquitetura pública usadas no curso
- Os alunos têm acesso a cursos atualizados, materiais de exercícios, Navegar modelos e conteúdos de arquitetura pública por mais de um ano

Todo o material do curso é fornecido eletronicamente. Para aulas presenciais, os slides do curso e os materiais de exercícios são fornecidos em uma pasta.

Pré-requisitos recomendados:

Uma compreensão de sistemas ou arquitetura corporativa. Conclusão de Curso de treinamento em arquitetura empresarial TOGAF ou EA com TOGAF® e Navegar™ é um ativo.

Quem deve participar:

Engenheiros e designers de segurança que desejam entender melhor o panorama geral
Arquitetos corporativos e de sistemas que desejam entender a segurança

Para mais informações sobre Cursos personalizados da Conexiam.

Arquitetura de Portfólio: caminho para o sucesso

Programa Kickstart gratuito de 12 semanas - Seja um arquiteto de segurança melhor

Aprimore suas habilidades de arquitetura corporativa

Treinamos arquitetos empresariais bem-sucedidos
Desenvolvemos equipes de arquitetura empresarial bem-sucedidas

Início gratuito de 12 semanas para arquitetos corporativos

Treinamento em arquitetura corporativa

Curso de treinamento em arquitetura empresarial TOGAF

Biscoito	Duração	Descrição
_ga	1 ano 1 mês 4 dias	O Google Analytics define esse cookie para calcular dados de visitantes, sessões e campanhas e rastrear o uso do site para o relatório de análise do site. O cookie armazena informações de forma anônima e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_ga_*	1 ano 1 mês 4 dias	O Google Analytics define esse cookie para armazenar e contar as visualizações de página.
_omappvp	1 ano 1 mês 4 dias	O cookie _omappvp é definido para distinguir usuários novos e antigos e é usado em conjunto com o cookie _omappvs.
_omappvs	20 minutos	O cookie _omappvs, usado em conjunto com os cookies _omappvp, é usado para determinar se o visitante já visitou o site antes ou se é um novo visitante.