O que é Arquitetura de Segurança?
Embora existam várias definições de arquitetura de segurança, ela é, em última análise, uma coleção de conceitos, procedimentos e modelos de segurança que equilibram oportunidade e ameaça. Tudo o que sua empresa faz cria a possibilidade de benefícios e ameaças. Você terá uma tolerância ao risco diferente em diferentes partes do seu negócio. Uma boa arquitetura de segurança combina com seus objetivos de benefício e risco. Essencialmente, garantindo que você fique seguro o suficiente contra ataques cibernéticos. As necessidades de negócios são traduzidas em requisitos de segurança acionáveis por meio da arquitetura de segurança.
Uma maneira de compreendê-lo imediatamente é compará-lo à arquitetura tradicional. O trabalho de um arquiteto de segurança é bastante semelhante ao de um arquiteto de construção de casas, escolas ou negócios. Eles analisam a propriedade, consideram aspectos como preferências do cliente, tipo de solo, terreno e clima (condição existente do terreno) e, em seguida, elaboram uma estratégia para atingir o resultado desejado (a planta). Outros constroem a estrutura, neste caso, construtores e empreiteiros, sob a supervisão do arquiteto para garantir que atinja o objetivo (Governança da Arquitetura).
O objetivo da maioria das arquiteturas de segurança é proteger a empresa contra ameaças cibernéticas. Security Architects trabalhará com outros Arquitetos Corporativos em seu negócio por um período para descobrir o que torna sua organização única. Eles falarão com seus executivos, funcionários e arquitetos de negócios para aprender sobre os objetivos da sua empresa, requisitos do sistema, desejos do consumidor e outros aspectos essenciais. Eles podem então criar uma estratégia e aconselhamento adaptados aos objetivos da sua empresa e que atendam ao seu apetite declarado ao risco de segurança cibernética.
Existem muitos vagas de arquitetura empresarial em uma equipe líder de arquitetura corporativa. Se você quiser explorar os papéis, pule para o diferentes trabalhos de arquitetura corporativa.
Os Quatro Elementos Críticos da Arquitetura de Segurança.
Para entender melhor a natureza da arquitetura de segurança, é útil ver a arquitetura de segurança em quatro contextos críticos.
Não há arquitetura de segurança independente
Vamos Um grande componente da arquitetura de segurança é que não existe uma arquitetura de segurança independente. É uma 'preocupação transversal'. Isso significa que há um aspecto de segurança para cada domínio de arquitetura empresarial. Por exemplo: No contexto do seu negócio, quando você pensa em seu software empresarial, ele terá um componente de segurança. Isso pode ser considerado parte de sua arquitetura de segurança e operações de segurança.
O Modelo SABSA
A melhor prática para arquitetura de segurança é SABSA. SABSA é uma estrutura de arquitetura de segurança da informação corporativa orientada a riscos para apoiar as principais atividades de negócios. Embora não esteja diretamente relacionado com a Estrutura Zachman, a SABSA utiliza a estrutura central. A principal característica do modelo SABSA é que tudo deve ser elaborado a partir de um estudo das necessidades de segurança do negócio, principalmente aquelas em que a segurança serve como um facilitador para desenvolver e explorar novas perspectivas de negócios.
O processo analisa as demandas de negócios desde o início e desenvolve uma cadeia que pode ser rastreada por meio da estratégia e conceito, design, implementação e fases contínuas de gerenciamento e medição do ciclo de vida para garantir que o mandato de negócios seja mantido. O método é apoiado por ferramentas de estrutura baseadas na experiência do mundo real.
O modelo SABSA é de natureza geral e pode ser utilizado como ponto de partida para qualquer organização; mas, ao passar pelo processo de análise e tomada de decisão sugerido pela sua estrutura, torna-se particular à empresa e acaba por ser altamente personalizado a um modelo de negócio específico. Torna-se a arquitetura de segurança corporativa e é fundamental para o sucesso do programa de gerenciamento de segurança da informação estratégica da organização.
A equipe da Conexiam trabalhou com o The Open Group e o Instituto SABSA para integrar a estrutura de EA padrão do setor, TOGAF, com o SABSA. Baixe uma cópia de Integrando Risco e Segurança com Arquitetura Corporativa Para maiores informações.
É tudo sobre gerenciamento de riscos
Arquitetura de segurança é sobre gerenciamento de risco. Risco é o efeito da incerteza no cumprimento de todos os objetivos do seu negócio. A incerteza vem de perder uma oportunidade e ser atingido por ameaças potenciais. A arquitetura de segurança não resulta necessariamente em proteção contra uma ameaça. Um elemento de gerenciamento de risco deve estar envolvido.
A prática de controle de riscos vinculados ao uso de tecnologia da informação é conhecida como gerenciamento de riscos de segurança da informação, ou ISRM. Implica reconhecer, analisar e responder a ameaças à confidencialidade, integridade e disponibilidade dos ativos de uma organização. O objetivo final desta abordagem é abordar os riscos de acordo com a tolerância ao risco da empresa. As empresas devem tentar determinar e assumir um limite de risco geral aceitável para sua empresa, em vez de esperar remover todos os riscos potenciais.
Normalmente, o gerenciamento de riscos como parte da arquitetura de segurança envolve a identificação de ativos, a identificação de vulnerabilidades potenciais, a identificação de ameaças, a localização de controles e a realização de avaliações completas regularmente.
A segurança e a arquitetura corporativa precisam ser integradas
O desenvolvimento da Arquitetura de Segurança precisa ser totalmente integrado ao desenvolvimento de uma arquitetura corporativa.
Na maioria das empresas, melhorar a segurança é uma tarefa impossível. Em vez de desenvolver uma arquitetura de segurança integrada, o trabalho aleatório é realizado para proteger partes do negócio. Muitas vezes com outras partes do negócio sujeitas a fácil penetração ou violação. Fornecer um ambiente seguro requer medidas preventivas, investigativas e corretivas.
Muitos profissionais de segurança da informação convencionais consideram a arquitetura de segurança nada mais do que a presença de regras de segurança, controles, ferramentas e monitoramento.
Todos os profissionais de segurança devem estar cientes dos objetivos de negócios e se esforçar para realizá-los, projetando controles de segurança apropriados que possam ser facilmente justificados às partes interessadas e relacionados ao risco do negócio. Estruturas corporativas, como SABSA e o Padrão TOGAF, auxiliam no alinhamento dos requisitos de segurança e de negócios.
Entendendo o TOGAF
TOGAF é um estrutura de arquitetura corporativa. Arquitetos Corporativos usam o Método de Desenvolvimento de Arquitetura TOGAF (ADM) para focar a mudança, reduzir erros e alinhar a TI com as divisões de negócios para criar resultados de alta qualidade.
Dê uma olhada no nosso TOGAF vs. SABSA artigo para pensar no TOGAF mais SABSA. Estenda sua arquitetura corporativa com risco e segurança de classe mundial.
Por que a arquitetura de segurança cibernética é importante para uma organização
A primeira (e mais evidente) vantagem da segurança aprimorada é que as violações de segurança são reduzidas. Muitos invasores empregam táticas de ataque extremamente básicas que visam pontos fracos comuns de segurança cibernética que são compartilhados por empresas que não estão tão envolvidas no desenvolvimento de uma base arquitetônica de segurança sólida.
Vários padrões distintos de segurança da informação, como HIPAA, GDPR e outros, provavelmente se aplicarão à sua empresa. Muitos desses padrões de segurança de dados exigem que uma empresa mantenha uma arquitetura de segurança robusta e bem gerenciada, bem como uma variedade de procedimentos de segurança específicos. É mais simples atingir esses tipos de padrões se você tiver um design de arquitetura de segurança sólido como um componente-chave de sua organização. Ter uma imagem precisa de sua arquitetura de rede e das muitas medidas de segurança integradas, em particular, pode tornar mais simples determinar se você corre o risco de infringir uma lei importante.
Ganhar confiança requer uma arquitetura de segurança forte. Quando sua empresa é reconhecida como líder no campo da segurança cibernética, isso pode ajudá-lo a ganhar a confiança de outras pessoas. Isso não se aplica apenas a clientes em potencial; também se aplica a possíveis parceiros de negócios e potenciais parcerias que possam acontecer no futuro.
Próximas etapas: treinamento de arquitetura de segurança
Este curso destina-se a fornecer uma compreensão mais profunda da Arquitetura de Segurança. O aprendizado é aprimorado com a experiência prática por meio de exercícios baseados em estudos de caso do mundo real.
O objetivo do arquiteto de segurança de sistemas de informação é projetar controles que gerenciem efetivamente os riscos associados à informação e à tecnologia da informação. O objetivo do arquiteto de segurança é proteger a empresa, não a tecnologia.
As arquiteturas de segurança eficazes são totalmente integradas à arquitetura da empresa. Os arquitetos de segurança devem trabalhar com, e não contra, as ferramentas, práticas e cultura da empresa. Eles devem equilibrar a necessidade de proteção contra o desejo de sucesso.
Principais objetivos de aprendizagem da arquitetura de segurança:
Ao concluir este curso, os alunos serão capazes de:
- Identificar e avaliar os riscos de negócios associados à informação e tecnologia da informação.
- Entenda como comunicar o risco.
- Descreva as principais preocupações de segurança da informação de confidencialidade, integridade e disponibilidade.
- Identifique e descreva os recursos encontrados em arquiteturas típicas de sistemas de informação, incluindo redes, sistemas operacionais e aplicativos.
- Descrever como a segurança se encaixa com as metodologias de arquitetura e desenvolvimento de sistemas
- Identifique e descreva controles de segurança comuns.
- Compreender a conexão entre segurança e privacidade dos sistemas de informação
- Compreender o cenário de padrões de segurança de sistemas de informação.
- Definir garantia e compreender o papel da garantia na segurança dos sistemas de informação.
- Identifique e descreva as 20 principais salvaguardas do sistema de informação.
Curso de Treinamento em Arquitetura de Segurança
Incluído na entrega:
- 3 dias de instrução
- Palestra
- Exercícios de oficina
- Revisão do exercício
- Cópia eletrônica de todos os materiais didáticos e de exercícios da Conexiam
- Cópia eletrônica de todos Navegar templates e ferramentas de arquitetura pública usadas no curso
- Os alunos têm acesso a material didático atualizado, materiais de exercícios, Navegar templates e conteúdos de arquitetura pública há mais de um ano
Todo o material do curso é fornecido eletronicamente. Para entrega em sala de aula, os slides do curso e os materiais de exercícios são fornecidos em um fichário.
Pré-requisitos recomendados:
Uma compreensão dos sistemas ou arquitetura empresarial. Conclusão de Certificação TOGAF® 9 ou EA com TOGAF® e Navegar™ é um ativo.
Quem deve ir:
- Engenheiros e designers de segurança que desejam entender melhor o panorama geral
- Arquitetos corporativos e de sistemas que desejam entender a segurança
Para mais informações sobre Cursos personalizados da Conexiam.