【企业安全架构】从安全架构到安全架构
分享知识和良好实践是BiZZdesign的核心价值观之一。我们定期组织和参与在线和离线研讨会,会议和圆桌会议。在一次题为“安全不是IT问题”的演示之后,我们组织了一个世界咖啡馆,讨论安全架构,安全控制和安全系统等相关主题。请通过回复此博客分享您的好的和最坏的做法。
安全性仍然不是业务设计的一个组成部分
在许多组织中,安全似乎是一个完全独立的知识领域。将安全的所有方面集成到业务设计工作中往往是一个巨大的挑战,这是由决策者,架构师和设计师完成的。与EA领域的领导者所做的预测相矛盾的是,安全架构师在设计和控制网络安全,隐私和连续性方面仍然是一个独立但重要的角色。但是,如果我们努力使这个单独的角色变得多余,那么正确的做法是什么?
七个良好实践:从安全架构到安全架构
- 明确定义的任务,角色,CISO和企业架构师的职责
- 通过引入“设计安全”来改变组织的DNA
- 建立持续的安全意识计划
- 建立一个内部“犯罪智囊团”
- 将安全性集成到企业架构方法中
- 深入了解架构的所有层
- 基于原则的工作
明确定义的任务,角色,CISO和企业架构师的职责
在出席会议的许多组织中,CISO和架构团队正在努力合作。他们似乎捍卫自己的领土,花时间和精力证明对方是错的。安全架构师花费了大量时间来维护和平并管理这两个群体之间的关系。一些与会者建议更加明确两个团队的角色,这确实是一个很好的做法。
通过引入“设计安全”来改变组织的DNA
我并不是说这是一个简单的壮举,但通过在DNA中添加安全意识来操纵组织的DNA是实现安全架构的重要实践。许多与会者声称信息安全通常不是组织DNA的一部分。
建立持续的安全意识计划
缺乏信息安全意识是安全架构师存在的一个原因。它本身并不是安全设计的。拥有结构化和强化的意识计划被认为有助于提高组织内部存在的风险意识(改变x影响)。
建立一个内部“犯罪智囊团”
一些与会者建议其他人“像罪犯一样思考”。这很有趣,但也很有用。也许一些安全架构师实际上是善良的罪犯。如果所有管理人员和设计人员都会从威胁组织的角度考虑他们的数据资产,那将有助于他们获得理解和认识,并考虑相关措施。
将安全性集成到企业架构方法中
安全性通常是EA方法的一个方面。例如,在TOGAF中,安全性被认为是ADM中所有阶段的一个方面。但是,安全性仍然有自己独特的方法,如SABSA或OpenSecurityArchitecture。尽管有各种可用的方法,但您组织面临的真正挑战在于将这些专用框架的强大功能真正集成到您的EA方法中。优选地,这将与选择正确的标准(ISO或NIST)结合进行。这有助于创建集成的安全体系结构,而不是开发单独的安全体系结构。
深入了解架构的所有层
为了理解风险和必要的措施,人们认为跨越架构层可视化安全方面的任务至关重要。这不仅涉及测试所产生的技术影响,还涉及认证风险对业务的影响。 ArchiMate®可以在完成所有这些工作中发挥至关重要的作用。
基于原则的工作
最后,基于原则的设计而非基于规则的设计的概念有助于在业务中的所有设计学科中实现安全性方面的集成。风险经理和架构师应共同努力,确定一套指导组织设计的原则,而不是详细说明所有要求。
使用这些最佳实践可以帮助您从安全架构转变为真正安全的架构!你从哪里开始的?请随时查看本系列的下一篇文章:信息安全:生命的必需品。
原文:https://bizzdesign.com/blog/from-security-architecture-to-a-secure-architecture/
讨论:请加入知识星球【首席架构师圈】
- 112 次浏览