O QUE É ARQUITETURA DE SEGURANÇA, E O QUE VOCÊ PRECISA SABER?
OS PRINCÍPIOS DA ARQUITETURA DE SEGURANÇA SÃO MUITO PARECIDOS COM A ARQUITETURA REGULAR.
Na era moderna da tecnologia, a importância de proteger sua organização contra ameaças à segurança cibernética não pode ser ignorada. Custando em média 3,3 milhões de euros(IBM),com 33% desse custo que dura até dois anos após o ataque, as violações cibernéticas representam uma enorme despesa para as organizações capturadas despreparadas.
A arquitetura de segurança é um meio de reduzir o risco de violações cibernéticas e proteger seus ativos contra danos digitais. Mas o que é arquitetura de segurança, e o que sua organização obteria ao investir nela?
O QUE É ARQUITETURA DE SEGURANÇA?
Embora a arquitetura de segurança tenha muitas definições, em última análise é um conjunto de princípios, métodos e modelos de segurança projetados para se alinhar aos seus objetivos e ajudar a manter sua organização a salvo de ameaças cibernéticas. A arquitetura de segurança traduz os requisitos de negócios para requisitos de segurança executáveis.
Novo na arquitetura de segurança? Uma maneira de entendê-lo rapidamente é simctá-lo à arquitetura regular. Um arquiteto de casas, escolas e blocos de escritórios tem o mesmo trabalho que um arquiteto de segurança. Eles examinam a propriedade, levam em conta fatores como preferência do cliente, tipo de solo, topografia e clima (o status atual da propriedade) e, em seguida, produzem um plano para alcançar o resultado desejado (o projeto). Outros indivíduos, neste caso construtores e empreiteiros, então constroem o próprio edifício, sob a orientação do arquiteto para garantir que ele atenda ao objetivo.
OLHANDO PARA OS ELEMENTOS DA ARQUITETURA DE SEGURANÇA
Como observamos, a arquitetura de segurança tem uma série de definições. Isso ocorre porque cada organização é diferente e, portanto, cada estrutura de arquitetura de segurança tem que atender a necessidades únicas. Dito isto, há muitas semelhanças entre os métodos comuns que os arquitetos usam.
Propósito
As arquiteturas de segurança normalmente compartilham o mesmo propósito - proteger a organização contra danos cibernéticos. Para isso, os arquitetos muitas vezes tentarão se instalar em seu negócio por um período de tempo enquanto aprendem o que faz você, e seu povo, diferentes. Eles conversarão com seus líderes e funcionários, buscando entender seus objetivos individuais de negócios, as necessidades de seus sistemas, as necessidades de seus clientes e outros fatores críticos.
A partir daqui, eles podem produzir um plano e oferecer orientações que estejam alinhadas aos objetivos do seu negócio, e se adequam ao seu apetite declarado de risco de segurança cibernética.
Estruturas
Assim como arquitetos de propriedades têm diretrizes para trabalhar dentro, também os arquitetos de segurança. Estes são comumente referidos como “frameworks”.
O que é uma estrutura de arquitetura de segurança? Pode ser algumas coisas diferentes, mas é geralmente considerado um conjunto consistente de princípios e diretrizes para implementar a arquitetura de segurança em diferentes níveis do negócio. Existem muitos padrões de estrutura internacionais, cada um resolvendo um problema diferente.
Algumas empresas também criarão suas próprias estruturas. Por exemplo, na dig8ital usamos as melhores práticas com base em três das estruturas de arquitetura de segurança mais comuns do mundo: SABSA, TOGAF e OSA (veja abaixo). Ao combinar padrões, somos capazes de fornecer um serviço mais versátil que use a melhor orientação de cada um. Isso nos permite projetar, implementar e medir requisitos e soluções de segurança altamente personalizados.
Exemplos de estruturas comuns de arquitetura de segurança
-
TOGAF: A Open Group Architecture Framework, ou TOGAF, ajuda a determinar quais problemas uma empresa quer resolver com a arquitetura de segurança. Foca-se nas fases preliminares da arquitetura de segurança, no escopo e no objetivo de uma organização, estabelecendo os problemas que uma empresa pretende resolver com esse processo. No entanto, não fornece orientações específicas sobre como lidar com questões de segurança.
-
SABSA: Sherwood Applied Business Security Architecture, ou SABSA, é uma estrutura bastante orientada para políticas que ajuda a definir questões-chave que devem ser respondidas pela arquitetura de segurança: quem, o que, quando e por quê. Seu objetivo é garantir que os serviços de segurança sejam projetados, entregues e suportados como parte integrante da gestão de TI da empresa. No entanto, embora muitas vezes descrito como um “método de arquitetura de segurança”, ele não entra em detalhes sobre a implementação técnica.
-
OSA: Open Security Architecture, ou OSA, é uma estrutura relacionada à funcionalidade e controles técnicos de segurança. Oferece uma visão geral abrangente das principais questões de segurança, princípios, componentes e conceitos subjacentes às decisões arquitetônicas que estão envolvidas ao projetar arquiteturas de segurança eficazes. Dito isso, ele normalmente só pode ser usado quando a arquitetura de segurança já estiver projetada.
QUAL É O BENEFÍCIO DA ARQUITETURA DE SEGURANÇA?
1. UMA FORTE ARQUITETURA DE SEGURANÇA LEVA A MENOS FALHAS DE SEGURANÇA
As empresas modernas precisam ter uma estrutura robusta de arquitetura de segurança para proteger seus ativos de informação mais importantes. Ao fortalecer sua arquitetura de segurança para fechar fraquezas comuns, você pode reduzir drasticamente o risco de um invasor ter sucesso em violar seus sistemas.
Um dos principais benefícios da arquitetura de segurança é sua capacidade de traduzir os requisitos únicos de cada organização em estratégias executáveis para desenvolver um ambiente livre de riscos para cima e para baixo nos negócios, alinhado com as necessidades dos negócios e com os mais recentes padrões de segurança.
Como um benefício adicional, com essas medidas em vigor, as organizações podem demonstrar sua confiabilidade para potenciais parceiros, potencialmente ajudando-os a colocar seus negócios à frente dos concorrentes.
Isso, em última análise, fornecerá uma arquitetura que é de benefício de longo prazo para a organização.
2. MEDIDAS PROATIVAS DE SEGURANÇA ECONOMIZAM DINHEIRO
Detectar e corrigir vulnerabilidades de segurança custa dinheiro real. Ele interrompe a produção, requer uma investigação minuciosa e pode levar a recalls de produtos prejudiciais ou conferências de imprensa embaraçosas.
Dessa forma, quanto mais tarde no ciclo de desenvolvimento do produto for detectado um erro, mais dinheiro ele pode custar - sem mencionar o risco de danos à reputação.
Para colocar isso em números, detectar um erro durante a fase de codificação do desenvolvimento poderia aumentar o custo de corrigi-lo em até 500% - detectar o mesmo erro mais tarde, nas fases de produção ou pós-lançamento, pode custar até 3.000% a mais.
Integrar a segurança em cada nível de desenvolvimento do produto pode reduzir a chance de que um erro deslize. Os produtos são desenvolvidos com um contexto de segurança a partir da fase de ideação, e ferramentas e processos recém-desenvolvidos (instalados como parte do processo de arquitetura de segurança) ajudam a reduzir o risco de erro em cada etapa subsequente.
3. PODE AJUDAR A MITIGAR MEDIDAS DISCIPLINARES EM CASO DE VIOLAÇÃO
Embora a legislação difere em todo o mundo quanto às consequências de uma violação da segurança cibernética,um dos elementos comuns é que quanto mais uma empresa tenta reduzir seu risco e prevenir vulnerabilidades, mais favorável o resultado pode ser em caso de ataque. Em geral, os reguladores têm mostrado que respeitam quando as organizações fazem o seu melhor e punem empresas que só fingem tentar, ou não tentam.
Outro ponto importante é que as regulamentações só estão ficando mais rigorosas. Antes de 2016, ninguém tinha ouvido falar do GDPR e certamente não tinha que aderir aos seus padrões. Agora, é claro, ele guia grande parte da paisagem digital na Europa e no mundo. O cenário legislativo está trabalhando duro para alcançar a tecnologia, e para as empresas isso significa que provavelmente haverá regras mais.mais rígidas a seguir no futuro.
Criar uma forte arquitetura de segurança, integrar a segurança no ciclo de desenvolvimento, usar ferramentas e processos para detectar erros - todos esses são passos vitais nos esforços de uma organização para mostrar que está se esforçando ao máximo para se defender contra ameaças cibernéticas e cumprir todas as regulamentações relevantes da melhor forma possível.
QUAIS SÃO OS PRINCIPAIS ENTREGADORES DA ARQUITETURA DE SEGURANÇA?
Então, do ponto de vista das entregas, o que você realmente ganha com a arquitetura de segurança? Mais uma vez, depende do arquiteto, do negócio, das estruturas em uso e de uma série de outras variáveis. Em última análise, as entregas que você recebe serão baseadas em seus objetivos.
Olhando especificamente para as estruturas, cada modelo é usado em diferentes estágios da arquitetura de segurança - portanto, uma estrutura nunca cobrirá tudo. No entanto, abaixo compilamos uma lista de alguns dos entregadores mais comuns que podem vir do uso de diferentes frameworks:
EXEMPLOS DO TOGAF:
- Definição de princípios de negócios, metas e drivers.
- Roteiros de arquitetura de segurança - ou seja, uma lista de pacotes de trabalho individuais que definirão a arquitetura de segurança alvo e mostrarão a progressão do estado as-é para o estado desejado dentro dos prazos acordados.
- Blocos de construção de arquitetura de segurança. Um bloco de construção é um pacote de funcionalidade projetado para atender às necessidades dos negócios em uma organização.
- Especificação dos requisitos de arquitetura de segurança. Isso fornece uma visão quantitativa da solução, indicando critérios mensuráveis que devem ser atendidos durante a implementação.
EXEMPLOS DA SABSA:
- O modelo de atributo de negócio - o coração da SABSA. O modelo de atributo de negócios é uma abstração dos requisitos de negócios da vida real, detalhando definições e diretrizes para uma variedade de atributos importantes de negócios.
- Uma estratégia de segurança definida,mapeada para controlar objetivos e perfil de atributo de negócios.
- A arquitetura da política de segurança, que abrange as políticas de segurança e domínio que uma organização deve seguir, cumpriu as mais recentes normas de segurança e órgãos reguladores.
- Serviços de segurança definidos. Isso deve ser baseado em políticas de segurança, estratégias de negócios e objetivos de controle.
EXEMPLOS DA OSA:
- Funcionalidade e controles técnicos de segurança. Estes fornecem uma definição de controles técnicos de segurança, como controles de acesso, endurecimento do sistema, varreduras de segurança, etc.
- Proteção de software e integridade de dados,uma taxonomia de técnicas de proteção à integridade de software
Com um serviço como o nosso aqui na dig8ital, reuniremos entregas de cada uma das estruturas com base em suas necessidades para garantir que você receba um resultado adequado em todas as etapas da arquitetura de segurança.
QUANTO TEMPO A ARQUITETURA DE SEGURANÇA VAI LEVAR?
Infelizmente, não há uma resposta definitiva para esta pergunta. Um roteiro simples pode levar semanas para ser elaborado, enquanto uma avaliação detalhada e totalmente abrangente do negócio pode levar meses. Além disso, o processo de transformação real depende da escala do negócio e do escopo do projeto.
Resumindo: O processo de arquitetura de segurança é altamente dependente de seus objetivos, do tamanho do seu negócio, do seu orçamento, do seu estado as-é e fatores semelhantes.