Arquitetura de segurança cibernética: uma estrutura orientadora para estabelecer uma abordagem de arquitetura de segurança

News 2023-09-09 00:24:55 views: null

01Principais
conclusões

■ A estrutura arquitetônica utiliza insights coletivos para criar práticas recomendadas que orientam os usuários na consideração dos riscos organizacionais e do contexto de negócios. A adaptação e personalização desses métodos ajudarão as organizações a obter o melhor valor deles.
■ A metodologia fornece uma abordagem de engenharia de sistemas que utiliza informações e expectativas de negócios para criar definições de arquitetura de segurança repetíveis e rastreáveis ​​(de baixo para cima e de cima para baixo).
■ As estruturas de arquitetura podem ser usadas com sucesso em conjunto com metodologias de arquitetura de segurança para abordar o contexto e os requisitos de segurança empresarial que envolvem a estrutura (como obrigações de conformidade).
■ A arquitetura estratégica, a arquitetura lógica e a arquitetura técnica mudam em velocidades diferentes e os resultados também são diferentes. Como o método de entrega determina como os componentes tecnológicos são construídos, um método de implementação programática pode ajudar a alcançar o rigor durante a mudança.

02Principais
sugestões

Como especialista técnico que aborda riscos de tecnologia, informação e resiliência em arquiteturas de segurança, você deve:

■ Planeje suas interações com os principais interessados ​​na organização para acumular contexto de negócios e promover os benefícios da arquitetura de segurança.

■ Use metodologias estruturais como NIST CSF para acelerar a construção de arquiteturas de segurança. Você deve planejar personalizá-lo para atender aos seus objetivos estratégicos e de negócios claramente definidos.

■ Definir o contexto de negócios usando uma metodologia de segurança como SABSA e fornecer rastreabilidade e rigor em nível de engenharia de sistemas entre as camadas de arquitetura.

■ Avaliar como uma combinação de estruturas e metodologias (as duas não são mutuamente exclusivas) pode tirar vantagem do “melhor dos dois mundos”.


03Declaração do problema

As metodologias de arquitetura de segurança e as abordagens de estrutura podem ser complexas de implementar para concretizar todo o seu valor. A falta de uma arquitetura de segurança bem pensada resultará na implantação de capacidades de segurança ineficazes (implantadas em excesso ou com lacunas). Os clientes estão tentando entender como implementar recursos de arquitetura de segurança para melhor atender suas organizações. Existem diversas estratégias diferentes, incluindo metodologias e frameworks, cada uma com vantagens e desvantagens.

Uma crítica às atividades de arquitetura de segurança é que elas são frequentemente vistas como atividades únicas e dispendiosas ou atividades que impedem a entrega ágil e rapidamente deixam de refletir a realidade do tempo de execução. Este guia explica como iniciar o processo de construção de sua própria abordagem personalizada e focada na organização para a arquitetura de segurança, incluindo como incorporar a arquitetura de segurança nas práticas de entrega. Ele fornece orientação sobre como se preparar para implementar a arquitetura de segurança como uma atividade contínua em sua organização.

04
Método Gartner

As arquiteturas de segurança são altamente estruturadas, sejam elas desenvolvidas usando metodologias de primeiros princípios ou customizando uma estrutura arquitetônica. A implementação bem-sucedida requer um gerenciamento cuidadoso em todo o processo de seleção, design e integração nas práticas comerciais existentes. Selecionar e, em alguns casos, combinar abordagens para fornecer o processo de arquitetura de segurança mais apropriado é necessário para atingir os objetivos de negócios. Para maior clareza, este guia ajuda os usuários a se prepararem e escolherem o caminho mais adequado para sua organização.

Este guia orienta você nas atividades que você deve planejar para apoiar a implementação de uma abordagem de arquitetura de segurança. As etapas vão desde necessidades estratégicas com etapas definidas até ajudar a formar segurança lógica. Recomenda a preparação para um processo de design tranquilo para ajudar a implementar os componentes e tecnologias de segurança necessários. Alcançar objetivos tecnológicos estratégicos significa que a arquitetura de segurança deve ser um processo vivo e não um evento único. A abordagem fornece orientação para ajudar a incorporar a arquitetura de segurança nas práticas comerciais e de ITT para garantir sua aceitação e integração.

05Riscos
e armadilhas

Os riscos comuns para projetos de arquitetura de segurança incluem:

■ A falta de uma arquitetura de segurança bem pensada resultará na implantação de recursos de segurança ineficazes (implantados em excesso ou com lacunas). Seja muito cuidadoso e inclua todas as partes interessadas em todos os estágios da implementação da arquitetura de segurança para garantir que os recursos de segurança não sejam implantados incorretamente.

■ Ao implementar o processo de arquitetura de segurança, a falha na definição do escopo resultará em uma arquitetura de segurança mal definida. Limites de escopo incompletos são tão ruins quanto nenhum limite de escopo ou apenas limites de escopo hipotéticos. Portanto, todos os esforços devem ser feitos para garantir a cobertura e a integralidade. Trabalhe com a liderança de TI para confirmar e garantir que o escopo correto seja definido para o seu processo de arquitetura de segurança.

■ Se uma arquitetura de segurança for desenvolvida sem a compreensão do risco, as organizações estarão essencialmente desenvolvendo um modelo de controle genérico e livre de contexto. Isto ficaria fora de foco e não abordaria os riscos reais que uma organização enfrenta. Todas as atividades de arquitetura de segurança devem ser dedicadas ao gerenciamento de riscos.

■ Identificar estruturas de segurança e controle existentes. Se esta etapa for negligenciada ou negligenciada, poderá haver inconsistências entre os requisitos exigidos da estrutura de controle e o projeto arquitetônico de segurança. A falta de alinhamento entre a governação e a conceção resultará em controlos insuficientes ou ausentes, o que pode levar a falhas de auditoria. Colabore com todas as equipes de governança e risco de segurança e use políticas e padrões de segurança organizacionais para ajudar a moldar a arquitetura de segurança.

■ Sem um plano de comunicações eficaz, riscos significativos afectarão o sucesso global das actividades de arquitectura de segurança. Se você não planeja envolver as partes interessadas, especialmente os funcionários seniores, é provável que elas não apareçam imediatamente quando você precisar delas. Desenvolva um plano de envolvimento das partes interessadas.

■ A falta de planejamento e preparação cuidadosos para esta fase de risco nos impede de definir uma arquitetura de segurança eficaz. O principal risco é não ter informações detalhadas suficientes sobre processos organizacionais e de negócios para determinar os serviços de segurança lógica necessários. Esses problemas podem ser mitigados tendo acesso a esses documentos e conectando-se com as partes interessadas em toda a organização que podem fornecer orientação.

■ Sempre verifique a defesa em camadas. Não ignore, pois isso introduz riscos potenciais relacionados à sofisticação da arquitetura de segurança. No papel, parece que todos os requisitos foram atendidos. Contudo, deve-se verificar se os controles compensatórios atendem adequadamente aos requisitos.

■ É necessário definir gatilhos suficientes para levar os arquitetos de segurança a aplicar arquiteturas de segurança existentes em novos projetos.

■ Os arquitetos devem se esforçar para garantir que a arquitetura de segurança lógica e técnica possa ser atualizada em tempo hábil à medida que as metas de negócios mudam. Artefatos como arquiteturas de referência e componentes de programação criados para DevOps também devem ser mantidos e atualizados.

2. Quadro de Orientação

Esta estrutura orientadora ajuda a definir uma abordagem para a arquitetura de segurança, que consiste em cinco fases, alinhadas com as áreas de foco da implementação. As etapas incluem:

  1. Defina o escopo e entenda o ambiente.

  2. Obtenha insights de segurança de nível estratégico.

  3. Apoiar o desenvolvimento de arquitetura lógica de segurança.

  4. Facilitar o design da arquitetura técnica de segurança.

  5. Faça da arquitetura de segurança um processo dinâmico e ativo.

A Figura 1 resume as fases, fornecendo as atividades das subfases e os possíveis resultados de cada fase.

insira a descrição da imagem aqui

Acho que você gosta

Origin blog.csdn.net/Arvin_FH/article/details/132718621
Recomendado
Clasificación
Diario
Más
2024-05-19(0)
2024-05-18(32)
2024-05-17(5)
2024-05-16(24)
2024-05-15(5)
2024-05-14(11)
2024-05-13(7)
2024-05-12(23)
2024-05-11(31)
2024-05-10(32)

Code World

© 2018 codetd.com