La arquitectura de seguridad de la información empresarial (EISA) es parte de la arquitectura empresarial que se centra en la seguridad de la información en toda la empresa. El nombre implica una diferencia que puede no existir entre las pequeñas y medianas empresas y las organizaciones más grandes.
Descripción general
La arquitectura de seguridad de la información empresarial (EISA) es la práctica de aplicar un método exhaustivo y riguroso para describir una estructura y comportamiento actuales y / o futuros para los procesos de seguridad, los sistemas de seguridad de la información, el personal y las subunidades organizativas de una organización para que se alineen con los objetivos centrales y la dirección estratégica de la organización. Aunque a menudo se asocia estrictamente con la tecnología de seguridad de la información , se relaciona de manera más amplia con la práctica de seguridad de la optimización empresarial en el sentido de que también aborda la arquitectura de seguridad empresarial, la gestión del rendimiento y la arquitectura del proceso de seguridad.
La arquitectura de seguridad de la información empresarial se está convirtiendo en una práctica común en las instituciones financieras de todo el mundo . El propósito principal de crear una arquitectura de seguridad de la información empresarial es garantizar que la estrategia empresarial y la seguridad de TI estén alineadas. Como tal, la arquitectura de seguridad de la información empresarial permite la trazabilidad desde la estrategia empresarial hasta la tecnología subyacente.
Temas de arquitectura de seguridad de la información empresarial
Posicionamiento
La arquitectura de seguridad de la información empresarial fue posicionada formalmente por primera vez por Gartner en su documento técnico llamado " Incorporación de la seguridad en el proceso de la arquitectura empresarial ". [1] Esto fue publicado el 24 de enero de 2006. Desde esta publicación, la arquitectura de seguridad ha pasado de ser una arquitectura basada en silos a una solución enfocada en la empresa que incorpora negocios, información y tecnología . La siguiente imagen representa una vista unidimensional de la arquitectura empresarial como arquitectura orientada a servicios . También refleja la nueva incorporación a la familia de arquitectura empresarial denominada "Seguridad". La arquitectura empresarial, la arquitectura de la información y la arquitectura tecnológica solían llamarse BIT para abreviar. Ahora, con la seguridad como parte de la familia de la arquitectura, se ha convertido en BITS.
Los imperativos de cambio de la arquitectura de seguridad ahora incluyen cosas como
- Hojas de ruta comerciales
- Requisitos legislativos y legales
- Hojas de ruta tecnológicas
- Tendencias industriales
- Tendencias de riesgo
- Visionarios
Metas
- Proporcionar estructura, coherencia y cohesión.
- Debe permitir la alineación de la empresa a la seguridad.
- Definido de arriba hacia abajo comenzando con la estrategia empresarial.
- Asegúrese de que todos los modelos e implementaciones se remontan a la estrategia comercial, los requisitos comerciales específicos y los principios clave.
- Proporcione abstracción para que los factores complicados, como la geografía y la tecnología, la religión, puedan eliminarse y restablecerse en diferentes niveles de detalle solo cuando sea necesario.
- Establecer un "lenguaje" común para la seguridad de la información dentro de la organización.
Metodología
La práctica de la arquitectura de seguridad de la información empresarial implica desarrollar un marco de seguridad de arquitectura para describir una serie de arquitecturas de referencia "actuales", "intermedias" y "objetivo" y aplicarlas para alinear los programas de cambio. Estos marcos detallan las organizaciones, roles, entidades y relaciones que existen o deberían existir para realizar un conjunto de procesos comerciales. Este marco proporcionará una taxonomía y una ontología rigurosas que identifican claramente qué procesos realiza una empresa e información detallada sobre cómo se ejecutan y aseguran esos procesos. El producto final es un conjunto de artefactos que describen con diversos grados de detalle exactamente qué y cómo funciona una empresa y qué controles de seguridad se requieren. Estos artefactos suelen ser gráficos.
Dadas estas descripciones, cuyos niveles de detalle variarán de acuerdo con la asequibilidad y otras consideraciones prácticas, los tomadores de decisiones cuentan con los medios para tomar decisiones informadas sobre dónde invertir recursos, dónde realinear los objetivos y procesos de la organización y qué políticas y procedimientos respaldarán el núcleo. misiones o funciones comerciales.
Un sólido proceso de arquitectura de seguridad de la información empresarial ayuda a responder preguntas básicas como:
- ¿Cuál es la postura de riesgo de seguridad de la información de la organización?
- ¿La arquitectura actual respalda y agrega valor a la seguridad de la organización?
- ¿Cómo se podría modificar una arquitectura de seguridad para que agregue más valor a la organización?
- Con base en lo que sabemos sobre lo que la organización quiere lograr en el futuro, ¿la arquitectura de seguridad actual lo respaldará u obstaculizará?
La implementación de la arquitectura de seguridad de la información empresarial generalmente comienza con la documentación de la estrategia de la organización y otros detalles necesarios, como dónde y cómo opera. Luego, el proceso desciende en cascada para documentar las competencias básicas discretas, los procesos comerciales y cómo la organización interactúa consigo misma y con partes externas, como clientes, proveedores y entidades gubernamentales.
Una vez documentada la estrategia y la estructura de la organización, el proceso de arquitectura fluye hacia los componentes discretos de la tecnología de la información, tales como:
- Organigramas, actividades y flujos de procesos de cómo opera la organización de TI
- Ciclos de organización, períodos y calendario
- Proveedores de hardware, software y servicios de tecnología
- Inventarios y diagramas de aplicaciones y software
- Interfaces entre aplicaciones, es decir: eventos, mensajes y flujos de datos.
- Intranet, Extranet, Internet, comercio electrónico, enlaces EDI con partes dentro y fuera de la organización
- Clasificaciones de datos, bases de datos y modelos de datos de apoyo
- Hardware, plataformas, hosting: servidores, componentes de red y dispositivos de seguridad y dónde se guardan
- Redes de área local y amplia, diagramas de conectividad a Internet
Siempre que sea posible, todo lo anterior debe estar relacionado explícitamente con la estrategia, los objetivos y las operaciones de la organización . La arquitectura de seguridad de la información empresarial documentará el estado actual de los componentes técnicos de seguridad enumerados anteriormente, así como un estado futuro deseado en el mundo ideal (Arquitectura de referencia) y finalmente un estado futuro "Objetivo" que es el resultado de compensaciones y compromisos de ingeniería frente a . el ideal. Esencialmente, el resultado es un conjunto de modelos anidados e interrelacionados, generalmente administrados y mantenidos con software especializado disponible en el mercado.
Este mapeo exhaustivo de las dependencias de TI tiene superposiciones notables tanto con los metadatos en el sentido general de TI como con el concepto ITIL de la base de datos de gestión de la configuración . Mantener la precisión de dichos datos puede ser un desafío importante.
Junto con los modelos y diagramas hay un conjunto de mejores prácticas destinadas a asegurar la adaptabilidad, escalabilidad , capacidad de gestión, etc. Estas mejores prácticas de ingeniería de sistemas no son exclusivas de la arquitectura de seguridad de la información empresarial, pero son esenciales para su éxito. Implican cosas como la creación de componentes, la comunicación asincrónica entre los componentes principales, la estandarización de identificadores clave, etc.
La aplicación exitosa de la arquitectura de seguridad de la información empresarial requiere un posicionamiento apropiado en la organización. La analogía de la planificación urbana se invoca a menudo a este respecto y es instructiva.
Un resultado intermedio de un proceso de arquitectura es un inventario completo de la estrategia de seguridad empresarial, los procesos de seguridad empresarial, los organigramas , los inventarios de seguridad técnica, los diagramas de sistemas e interfaces y las topologías de red, y las relaciones explícitas entre ellos. Los inventarios y diagramas son simplemente herramientas que apoyan la toma de decisiones. Pero esto no es suficiente. Debe ser un proceso vivo.
La organización debe diseñar e implementar un proceso que asegure el movimiento continuo del estado actual al estado futuro. El estado futuro generalmente será una combinación de uno o más
- Cerrar las brechas que existen entre la estrategia actual de la organización y la capacidad de las dimensiones de seguridad de TI para respaldarla.
- Cerrar las brechas que están presentes entre la estrategia futura de la organización deseada y la capacidad de las dimensiones de seguridad para respaldarla.
- Actualizaciones y reemplazos necesarios que se deben realizar en la arquitectura de seguridad de TI en función de la viabilidad del proveedor, la antigüedad y el rendimiento del hardware y el software, problemas de capacidad, requisitos reglamentarios conocidos o anticipados y otros problemas no impulsados explícitamente por la gestión funcional de la organización.
- De forma regular, el estado actual y el estado futuro se redefinen para tener en cuenta la evolución de la arquitectura, los cambios en la estrategia organizacional y factores puramente externos, como los cambios en la tecnología y los requisitos del cliente / proveedor / gobierno, y los cambios tanto internos como externos. paisajes de amenazas a lo largo del tiempo.
Marco de arquitectura de seguridad de alto nivel
Los marcos de arquitectura de seguridad de la información empresarial son solo un subconjunto de los marcos de arquitectura empresarial. Si tuviéramos que simplificar la abstracción conceptual de la arquitectura de seguridad de la información empresarial dentro de un marco genérico, la imagen de la derecha sería aceptable como un marco de arquitectura de seguridad conceptual de alto nivel.
Otros marcos de arquitectura empresarial abiertos son:
- Marco y metodología de SABSA
- Marco de arquitectura del Departamento de Defensa de EE. UU. (DoD) (DoDAF)
- Marco de arquitectura empresarial extendido (E2AF) del Instituto para desarrollos de arquitectura empresarial .
- Arquitectura empresarial federal del gobierno de los Estados Unidos (FEA)
- Marco de arquitectura integrada de Capgemini [2]
- Marco de arquitectura del Ministerio de Defensa del Reino Unido (MOD) (MODAF)
- Marco de arquitectura empresarial de los NIH [3]
- Arquitectura de seguridad abierta [4]
- Marco arquitectónico empresarial de garantía de la información (IAEAF)
- Marco de modelado orientado a servicios (SOMF)
- El marco de arquitectura de grupo abierto (TOGAF)
- Marco de Zachman
- Ciberseguridad empresarial (libro)
Relación con otras disciplinas de TI
La arquitectura de seguridad de la información empresarial es un componente clave del proceso de gobierno de la tecnología de seguridad de la información en cualquier organización de tamaño significativo. Cada vez más empresas [ cita requerida ] están implementando un proceso formal de arquitectura de seguridad empresarial para respaldar el gobierno y la gestión de TI.
Sin embargo, como se señaló en el párrafo inicial de este artículo, idealmente se relaciona de manera más amplia con la práctica de la optimización empresarial en el sentido de que también aborda la arquitectura de seguridad empresarial, la gestión del rendimiento y la arquitectura de seguridad de procesos. La Arquitectura de seguridad de la información empresarial también está relacionada con la gestión de la cartera de seguridad de TI y los metadatos en el sentido de TI empresarial.
Ver también
- Arquitectura empresarial
- Planificación de la arquitectura empresarial
- Seguridad de información
- Aseguramiento de información
Referencias
- ^ "Incorporación de la seguridad en el proceso de arquitectura empresarial" . www.gartner.com . Consultado el 30 de agosto de 2015 .
- ^ Marco de arquitectura integrada de Capgemini Archivado el 23 de junio de 2006 en la Wayback Machine.
- ^ "Arquitectura empresarial" . enterprisearchitecture.nih.gov. Archivado desde el original el 19 de junio de 2013 . Consultado el 30 de agosto de 2015 .
- ^ "Arquitectura de seguridad abierta" . www.opensecurityarchitecture.org . Consultado el 30 de agosto de 2015 .
Otras lecturas
- Carbone, JA (2004). Kit de herramientas de arquitectura de TI. Serie informática empresarial. Upper Saddle River, Nueva Jersey, Prentice Hall PTR.
- Cook, MA (1996). Construyendo arquitecturas de información empresarial: reingeniería de sistemas de información. Libros profesionales de Hewlett-Packard. Upper Saddle River, Nueva Jersey, Prentice Hall.
- Fowler, M. (2003). Patrones de arquitectura de aplicaciones empresariales. La serie de firmas de Addison-Wesley. Boston, Addison-Wesley.
- Integración de SABSA con TOGAF .
- Groot, R., M. Smits y H. Kuipers (2005). " Un método para rediseñar las carteras de SI en grandes organizaciones ", Actas de la 38ª Conferencia Internacional Anual de Hawaii sobre Ciencias de Sistemas (HICSS'05). Pista 8, p. 223a. IEEE .
- Steven Spewak y SC Hill (1993). Planificación de la arquitectura empresarial: desarrollo de un plan para datos, aplicaciones y tecnología. Boston, Pub QED. Grupo.
- Woody, Aaron (2013). Seguridad empresarial: un enfoque centrado en los datos para proteger la empresa . Birmingham, Reino Unido. Packt Publishing Ltd.