O melhor framework para arquitetura de segurança
Existem vários frameworks para arquitetura de segurança, os mais importantes são SABSA, O-ESA e OSA. Eles se complementam e se sobrepõem. O desafio é desenvolver uma arquitetura de segurança que seja eficaz. Se você olhar para as estruturas existentes, você pode descobrir que elas nunca se encaixam exatamente na sua situação. O conceito de arquitetura de segurança tem muitas faces, e cada estrutura tem seu próprio foco e pontos fortes. Como fazer a melhor arquitetura de segurança dessa diversidade?
Figura 1. Várias estruturas de arquitetura colocam em perspectiva, com base em seus pontos fortes.
O que você realmente precisa depende do problema que você quer resolver
O primeiro passo é determinar quais problemas você quer resolver com a arquitetura de segurança. Qual é o objetivo? Quando será um sucesso? Quem deveria usá-lo? Esses tipos de perguntas são essenciais para o sucesso de uma arquitetura de segurança. Aqui, entra uma quarta estrutura útil, ou seja, TOGAF. As questões acima são discutidas detalhadamente na Fase Preliminar da TOGAF. Nessa fase você decide se o projeto arquitetônico vale a pena. Na minha opinião, é a fase mais importante do projeto.
Selecione as peças que você precisa ter
Uma boa estrutura abrangente para uma arquitetura de segurança corporativa é dada pela SABSA. Tem uma abordagem holística, desde objetivos de negócios até o último bit no código fonte. Isso se presta bem como um modelo de guarda-chuva, que pode ser usado na fase Preliminar para decidir quais componentes podem ou não ser necessários. Isso é apenas sobre o O, não o COMO; que vem depois. Os componentes necessários são plotados no modelo de camada de arquitetura. Este modelo de camada de arquitetura na SABSA é muito forte, devido à sua simplicidade e familiaridade para muitas pessoas. Desta forma, um primeiro esboço de carvão da arquitetura de segurança é criado.
Alinhamento de negócios nas camadas superiores
A SABSA também oferece suporte para realmente preencher as camadas da arquitetura de segurança com componentes, especialmente nas camadas superiores onde os drivers de negócios estão ligados a serviços de segurança lógica. Único e forte é o modelo para gerenciar requisitos de segurança: o modelo Business Attribute. Também forte e indispensável para o compromisso dos negócios é a abordagem voltada para os negócios. “Fazemos segurança para ajudá-lo a alcançar seu objetivo de negócios.” Como a segurança está relacionada às metas de negócios e stakeholders, nunca é difícil obter compromisso para o plano de segurança.
Desenvolvimento técnico nas camadas inferiores
As camadas inferiores na arquitetura de segurança estão relacionadas à funcionalidade e controles técnicos de segurança. Aqui falamos sobre a segurança ‘real’, como controle de acesso, endurecimento do sistema, varreduras de segurança, conscientização de segurança, etc. O quadro que é realmente distinto nesta área é o O-ESA. Ele amplia a arquitetura orientada por políticas, uma elaboração da visão de que a segurança operacional digitalizará cada vez mais. As decisões de risco operacional serão tomadas cada vez mais dinâmicas e, portanto, é necessário automatizar políticas de segurança. Muita atenção é dada ao controle de acesso e monitoramento de segurança. Ao contrário da SABSA, onde uma política de segurança é uma medida que precisa ser definida, a O-ESA assume que a política de segurança já existe. Por isso, apesar de seu nome, O-ESA é uma estrutura para as camadas arquitetônicas inferiores.
Comunicação com o resto da empresa
Uma vez que a arquitetura de segurança esteja lá, você precisa garantir que ela seja usada pelo resto da organização. Para isso, a comunicação é fundamental. Pessoas gostam de informações visuais, este é um aspecto forte da Arquitetura de Segurança Aberta (OSA). O OSA contém uma biblioteca de ícones para criar diagramas que visualizam a segurança em um determinado contexto de TI. Uma imagem diz mais de 80 páginas de texto de política de segurança, especialmente para pessoas que acham a segurança um assunto chato (sim, eles estão lá, e com mais do que você imagina).
Conclusão
Não há estrutura de bala de prata para arquitetura de segurança, mas se você tem em mente qual problema você quer resolver, provavelmente há um disponível que é mais adequado para a sua situação e que o ajuda a alcançar seu objetivo.