Het beste framework voor security architectuur

TOGAF-SABSA

Er bestaan verschillende frameworks voor security architectuur, de belangrijkste zijn SABSA (www.sabsa.org), O-ESA (https://www2.opengroup.org/ogsys/jsp/publications/PublicationDetails.jsp?publicationid=12380) en OSA (www.opensecurityarchitecture.org). Elk heeft zijn eigen sterke punten en ze vullen elkaar goed aan. Het ontwikkelen van een effectieve security architectuur is een uitdaging. Als je gaat zoeken in bestaande frameworks, dan blijkt die vaak nét niet te passen op de eigen situatie. Het begrip security architectuur kent vele gedaantes en elk framework heeft zijn eigen focus en sterktes. Hoe maak je uit deze diversiteit de beste security architectuur?

Wat je echt nodig hebt hangt af van welk knelpunt je op wilt lossen

De belangrijkste eerste stap is het vaststellen welke knelpunten je denkt op te lossen met de security architectuur. Wat is het doel? Wanneer is het een succes? Wie moet het gaan gebruiken? Dit soort vragen zijn essentieel om een security architectuur te laten slagen. Hier komt een vierde framework van pas, te weten TOGAF (www.togaf.org). De genoemde vragen worden uitgebreid behandeld in de Preliminary Phase. Hier besluit je of het architectuurproject de moeite waard is. Het is in mijn ogen de aller, aller-belangrijkste fase van het project.

Selecteer de delen die je gaat ontwikkelen

Een mooi overkoepelend kader voor een enterprise security architectuur wordt gegeven door SABSA. Het heeft een holistische benadering, van business doelstellingen tot aan het laatste bitje. Dit leent zich prima als kapstokmodel, waarmee in de pre-liminary phase kan worden bepaald welke componenten wel of niet nodig zijn. Het gaat hier nog puur om de WAT-vraag, nog niet om de HOE, die komt later. De benodigde componenten worden geplot op het architectuurlagenmodel. Dit lagenmodel uit SABSA is zeer sterk door eenvoud en herkenbaarheid voor veel mensen. Op deze wijze wordt een eerste steenkool-schets van de security architectuur gemaakt.

Business alignment in de bovenste lagen

Voor het daadwerkelijk invullen van de lagen of ontwikkelen van de componenten in de security architectuur biedt SABSA ook hulp, met name in de bovenste lagen van business tot logische componenten. Uniek en sterk is het model om security requirements te managen: het Business Attribute model. Eveneens sterk en onmisbaar voor business commitment is de drang om de security Business-driven in te regelen.

‘Wij doen security om jou te laten slagen in je bedrijfsdoelstelling.’ Met deze insteek wordt security gelinkt aan business en is het nooit moeilijk om accoord te krijgen voor de security plannen.

Technische uitwerking in de onderste lagen

De onderste lagen in de security archtiectuur hebben betrekking op functionaliteit en techniek van de security maatregelen. Hier gaat het om de ‘echte’ security, zoal toegangsbeheersing, systeem-hardening, security scans, security awareness, etc. Het framework wat op dit vlak echt onderscheidend is, is O-ESA. Het zoomt in op policy-driven architectuur, een uitwerking van de visie dat operationele beveiliging digitaliseert. Operationele risico-beslissingen worden steeds meer dynamisch genomen en daarom is het nodig om security policies te automatiseren. Veel aandacht is er voor toegangsbeheersing en security monitoring. Anders dan SABSA, waar een security policy een maatregel is die nog gedefinieerd kan worden, gaat O-ESA ervanuit dat er al een security policy bestaat. Ondanks zijn naam is O-ESA dus een framework voor de onderste architectuurlagen.

Communicatie met de rest van het bedrijf met OSA (visualisatie)

Als de security architectuur eenmaal staat, inclusief de operationele security services, dan is er nog een laatste stap te zetten: zorgen dat deze gebruikt gaat worden door de rest van de organisatie. Security zou (net als bijvoorbeeld finance) een integraal onderdeel moeten zijn van alle andere processen, diensten, architectuur, etc. Om dit te bereiken is communicatie nodig. Mensen zijn visueel ingesteld. Hier is in OSA goed gebruik van gemaakt. OSA bevat bijvoorbeeld een icon library die helpt om uit te beelden welke beveiligingsmaatregelen nodig zijn in een bepaalde IT-context. Bijvoorbeeld wanneer een klant een website bezoekt welke verbinding heeft met de back-office. De icon library is terecht het meest populaire component van OSA. Eén plaatje zegt meer dan 80 bladzijden tekst, vooral als het bedoeld is voor mensen die security niet zo heel interessant vinden (ja, die zijn er ook en meer dan je denkt).

Conclusie:

Door goed na te denken over doelstellingen van de security architectuur en wat er nodig is om dat te bereiken, wordt een helder beeld gekregen over de vorm ervan. Vervolgens kan worden gekeken naar de bestaande frameworks welke dit het sterkst invult. Er is geen silver bullet framework, maar door goed voor ogen te houden welk probleem je wilt oplossen is er altijd wel een bruikbaar framework te vinden die sterk is waar jij het nodig hebt en die je helpt om het doel te bereiken.

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten