Cybersicherheitsarchitektur: Ein Leitrahmen für die Etablierung eines Sicherheitsarchitekturansatzes

News 2023-09-09 00:24:51 views: null

01Wichtige
Erkenntnisse

■ Das Architektur-Framework nutzt kollektive Erkenntnisse, um Best Practices zu erstellen, die Benutzern bei der Berücksichtigung organisatorischer Risiken und des Geschäftskontexts helfen. Die Anpassung und Anpassung dieser Methoden wird Unternehmen dabei helfen, den größtmöglichen Nutzen daraus zu ziehen.
■ Die Methodik bietet einen systemtechnischen Ansatz, der Geschäftseingaben und -erwartungen nutzt, um wiederholbare, nachvollziehbare (Bottom-Up- und Top-Down-)Sicherheitsarchitekturdefinitionen zu erstellen.
■ Architektur-Frameworks können erfolgreich in Verbindung mit Methoden der Sicherheitsarchitektur eingesetzt werden, um den geschäftlichen Sicherheitskontext und die Anforderungen im Zusammenhang mit dem Framework (z. B. Compliance-Verpflichtungen) zu berücksichtigen.
■ Strategische Architektur, logische Architektur und technische Architektur ändern sich unterschiedlich schnell und auch die Ergebnisse sind unterschiedlich. Da die Bereitstellungsmethode bestimmt, wie Technologiekomponenten aufgebaut werden, kann eine programmatische Implementierungsmethode dazu beitragen, bei Änderungen Genauigkeit zu erreichen.

02Hauptvorschläge
_

Als technischer Experte, der sich mit Technologie-, Informations- und Ausfallsicherheitsrisiken in Sicherheitsarchitekturen befasst, sollten Sie:

■ Planen Sie Ihre Interaktionen mit hochrangigen Stakeholdern in der Organisation, um Geschäftskontext zu sammeln und die Vorteile der Sicherheitsarchitektur zu fördern.

■ Verwenden Sie Framework-Methoden wie NIST CSF, um den Aufbau von Sicherheitsarchitekturen zu beschleunigen. Sie müssen planen, es so anzupassen, dass es Ihren klar definierten geschäftlichen und strategischen Zielen entspricht.

■ Verwenden Sie Sicherheitsmethoden wie SABSA, um den Geschäftskontext zu definieren und eine Rückverfolgbarkeit und Genauigkeit auf Systemtechnikebene zwischen Architekturebenen zu gewährleisten.

■ Bewerten Sie, wie eine Kombination von Frameworks und Methoden (die beiden schließen sich nicht gegenseitig aus) das „Beste aus beiden Welten“ nutzen kann.

03Problemstellung
_

Die Implementierung von Sicherheitsarchitekturmethoden und Framework-Ansätzen kann komplex sein, um ihren vollen Wert auszuschöpfen. Das Fehlen einer gut durchdachten Sicherheitsarchitektur führt zur Bereitstellung ineffektiver Sicherheitsfunktionen (entweder übermäßig bereitgestellt oder mit Lücken). Kunden versuchen zu verstehen, wie sie Sicherheitsarchitekturfunktionen implementieren können, um ihren Organisationen einen besseren Service zu bieten. Es gibt verschiedene Strategien, einschließlich Methoden und Frameworks, jede mit Vor- und Nachteilen.

Ein Kritikpunkt an Sicherheitsarchitekturaktivitäten ist, dass sie oft als kostspielige, einmalige Aktivitäten oder als Aktivitäten angesehen werden, die eine agile Bereitstellung behindern und schnell die Realitäten der Laufzeit nicht widerspiegeln. In diesem Leitfaden wird erläutert, wie Sie mit dem Aufbau Ihres eigenen, maßgeschneiderten, organisationsorientierten Ansatzes für die Sicherheitsarchitektur beginnen und wie Sie die Sicherheitsarchitektur in die Bereitstellungspraktiken einbetten. Es bietet Anleitungen zur Vorbereitung auf die Implementierung der Sicherheitsarchitektur als fortlaufende Aktivität in Ihrem Unternehmen.

04
Gartner-Methode

Sicherheitsarchitekturen sind hochgradig strukturiert, unabhängig davon, ob sie mithilfe von Methoden aus ersten Prinzipien oder durch die Anpassung eines Architekturrahmens entwickelt werden. Eine erfolgreiche Implementierung erfordert ein sorgfältiges Management während des gesamten Auswahl-, Design- und Integrationsprozesses in bestehende Geschäftspraktiken. Um Geschäftsziele zu erreichen, ist die Auswahl und in einigen Fällen die Kombination von Ansätzen zur Bereitstellung des am besten geeigneten Sicherheitsarchitekturprozesses erforderlich. Der Übersichtlichkeit halber unterstützt dieser Leitfaden Benutzer bei der Vorbereitung und Auswahl des für ihre Organisation am besten geeigneten Wegs.

Dieser Leitfaden führt Sie durch die Aktivitäten, die Sie zur Unterstützung der Implementierung eines Sicherheitsarchitekturansatzes planen sollten. Die Stufen reichen von strategischen Bedürfnissen mit definierten Schritten bis hin zur Mitgestaltung logischer Sicherheit. Es empfiehlt die Vorbereitung auf einen reibungslosen Designprozess, um die Implementierung der erforderlichen Sicherheitskomponenten und -technologien zu unterstützen. Um strategische Technologieziele zu erreichen, muss die Sicherheitsarchitektur ein lebendiger Prozess und kein einmaliges Ereignis sein. Der Ansatz bietet Leitlinien zur Einbettung der Sicherheitsarchitektur in Geschäfts- und ITT-Praktiken, um deren Akzeptanz und Integration sicherzustellen.

05Risiken
und Fallstricke

Zu den häufigsten Risiken für Sicherheitsarchitekturprojekte gehören:

■ Das Fehlen einer gut durchdachten Sicherheitsarchitektur führt zur Bereitstellung ineffektiver Sicherheitsfunktionen (entweder übermäßig bereitgestellt oder mit Lücken). Seien Sie sehr gründlich und beziehen Sie alle Beteiligten in allen Phasen der Implementierung der Sicherheitsarchitektur ein, um sicherzustellen, dass Sicherheitsfunktionen nicht falsch bereitgestellt werden.

■ Wenn bei der Implementierung des Sicherheitsarchitekturprozesses der Umfang nicht definiert wird, führt dies zu einer falsch definierten Sicherheitsarchitektur. Unvollständige Bereichsgrenzen sind genauso schlecht wie keine Bereichsgrenzen oder nur hypothetische Bereichsgrenzen. Daher sollten alle Anstrengungen unternommen werden, um Abdeckung und Vollständigkeit sicherzustellen. Arbeiten Sie mit der IT-Führung zusammen, um zu bestätigen und sicherzustellen, dass der richtige Umfang für Ihren Sicherheitsarchitekturprozess definiert ist.

■ Wenn eine Sicherheitsarchitektur ohne Risikoverständnis entwickelt wird, entwickeln Unternehmen im Wesentlichen eine kontextfreie, generische Kontrollvorlage. Dies wäre unkonzentriert und würde nicht auf die tatsächlichen Risiken eingehen, denen eine Organisation ausgesetzt ist. Alle Aktivitäten der Sicherheitsarchitektur sollten dem Risikomanagement gewidmet sein.

■ Identifizieren Sie vorhandene Sicherheits- und Kontrollrahmen. Wenn dieser Schritt vernachlässigt oder vernachlässigt wird, kann es zu Inkonsistenzen zwischen den erforderlichen Anforderungen an das Kontrollrahmenwerk und dem Design der Sicherheitsarchitektur kommen. Eine mangelnde Abstimmung zwischen Governance und Design führt zu unzureichenden oder fehlenden Kontrollen, was zu Prüfungsfehlern führen kann. Arbeiten Sie mit allen Sicherheits-Governance- und Risikoteams zusammen und nutzen Sie organisatorische Sicherheitsrichtlinien und -standards, um die Sicherheitsarchitektur mitzugestalten.

■ Ohne einen wirksamen Kommunikationsplan beeinträchtigen erhebliche Risiken den Gesamterfolg der Sicherheitsarchitekturaktivitäten. Wenn Sie nicht vorhaben, Stakeholder, insbesondere leitende Mitarbeiter, einzubeziehen, ist die Wahrscheinlichkeit groß, dass diese nicht sofort auftauchen, wenn Sie sie brauchen. Entwickeln Sie einen Stakeholder-Engagement-Plan.

■ Das Versäumnis, diese Risikophase sorgfältig zu planen und vorzubereiten, hindert uns daran, eine wirksame Sicherheitsarchitektur zu definieren. Das Hauptrisiko besteht darin, dass nicht genügend detaillierte Organisations- und Geschäftsprozessinformationen vorliegen, um die erforderlichen logischen Sicherheitsdienste zu bestimmen. Diese Probleme können gemildert werden, indem man Zugriff auf solche Dokumente hat und sich mit Stakeholdern im gesamten Unternehmen in Verbindung setzt, die Ratschläge geben können.

■ Achten Sie immer auf mehrschichtige Abwehrmaßnahmen. Überspringen Sie es nicht, da dies potenzielle Risiken im Zusammenhang mit der Ausgereiftheit der Sicherheitsarchitektur birgt. Auf dem Papier sieht es so aus, als wären alle Anforderungen erfüllt. Es sollte jedoch überprüft werden, ob die Kompensationskontrollen den Anforderungen angemessen entsprechen.

■ Es müssen ausreichend Auslöser definiert werden, um Sicherheitsarchitekten dazu zu veranlassen, die bestehende Sicherheitsarchitektur auf neue Projekte anzuwenden.

■ Architekten müssen bestrebt sein, sicherzustellen, dass die logische und technische Sicherheitsarchitektur rechtzeitig aktualisiert werden kann, wenn sich die Geschäftsziele ändern. Auch Artefakte wie Referenzarchitekturen und Programmierkomponenten, die für DevOps erstellt wurden, müssen gepflegt und aktualisiert werden.

2. Orientierungsrahmen

Dieser Leitrahmen hilft bei der Definition eines Ansatzes für die Sicherheitsarchitektur, der aus fünf Phasen besteht und auf die Schwerpunktbereiche der Implementierung abgestimmt ist. Zu den Phasen gehören:

  1. Definieren Sie den Umfang und verstehen Sie die Umgebung.

  2. Gewinnen Sie Sicherheitseinblicke auf strategischer Ebene.

  3. Unterstützen Sie die Entwicklung einer logischen Sicherheitsarchitektur.

  4. Erleichtern Sie den Entwurf einer technischen Sicherheitsarchitektur.

  5. Machen Sie die Sicherheitsarchitektur zu einem dynamischen und aktiven Prozess.

Abbildung 1 fasst die Phasen zusammen und stellt die Unterphasenaktivitäten und möglichen Ergebnisse jeder Phase bereit.

Fügen Sie hier eine Bildbeschreibung ein

Supongo que te gusta

Origin blog.csdn.net/Arvin_FH/article/details/132718621
Recomendado
Clasificación
Diario
Más
2024-06-03(1)
2024-06-02(0)
2024-06-01(2)
2024-05-31(0)
2024-05-30(0)
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)
2024-05-26(1)
2024-05-25(0)

Code World

© 2018 codetd.com