Da Arquitetura da Segurança para a Arquitetura Segura

postado em 13 de abr de 2017 13:17 por Antonio Plais   [ 13 de abr de 2017 13:19 atualizado‎(s)‎ ]
Originalmente postado por Remco Blom* no blog da BiZZdesign. Tradução e reprodução autorizados.

A Arquitetura da Segurança ainda não é um aspecto integral do desenho de negócios

Em muitas organizações, segurança parece ser um campo do conhecimento completamente separado. É, normalmente, um desafio enorme integrar todos os aspectos da segurança nos trabalhos de desenho de negócios, que em geral é feito pelos formuladores de políticas, arquitetos e desenhistas. Em contradição com as previsões feitas por autoridades em arquitetura corporativa, o arquiteto de segurança ainda é um papel separado, embora importante, no desenho e controle da segurança, privacidade e continuidade cibernética. Mas, se vamos lutar para tornar este papel separado supérfluo, qual é a coisa certa a fazer?

Sete boas práticas: da arquitetura de segurança para a arquitetura segura

  1. Tarefas, papéis e responsabilidades bem definidas para o CISO e os Arquitetos Corporativos
  2. Transformar o DNA da sua organização através da introdução da "Segurança por Desenho"
  3. Estabelecer um programa contínuo de conscientização da segurança
  4. Criar um "laboratório criminal" interno
  5. Integrar a segurança no seu método de Arquitetura Corporativa
  6. Fornecer percepções através de todas as camadas da sua arquitetura
  7. Trabalhar com base em princípios


Tarefas, papéis e responsabilidades bem definidas para o CISO e os Arquitetos Corporativos

Em muitas organizações, o CISO (Chief Information Security Officer) e a equipe de arquitetura lutam para trabalhar juntos. Eles parecem defender seus territórios e gastam tempo e energia provando que o outro lado está errado. Arquitetos de segurança gastam uma enorme quantidade de tempo mantendo o passo e gerenciando as relações entre estes dois grupos. Sugere-se que uma definição mais precisa em relação aos papéis das duas equipes é uma boa prática para reduzir este problema.

Transformar o DNA da sua organização através da introdução da "Segurança por Desenho"

Não sugerimos que isto seja uma realização fácil, mas manipular o DNA da sua organização através da adição da preocupação com a segurança ao DNA é uma prática importante para realizar uma arquitetura segura. Em muitas organizações a segurança da informação não é parte do DNA da organização.

Estabelecer um programa contínuo de conscientização da segurança

A falta de conscientização com a segurança da informação é uma das razões pelas quais os arquitetos de segurança existem. As coisas não desenhadas para ser seguras por si mesmas. Ter um programa de conscientização intencivo e estruturado fornece uma ajuda consiterável para promover a conscientização sobre os riscos (mudança x impacto) que estão presentes dentro das organizações.

Criar um "laboratório criminal" interno

Um bom conselho é "pensar como um criminoso". É bastante engraçado, e também bastante útil. Eventualmente, alguns arquitetos de segurança são "criminosos de bom coração". Se todos os gerentes e desenhistas pensarem sobre seus ativos de dados a partir das perspectivas daqueles que ameaçam a organização, isso pode ajudá-los a ganhar conhecimento e conscientização, e considerar as medidas relevantes.

Integrar a segurança no seu método de Arquitetura Corporativa

A segurança é geralmente um aspecto dos métodos de arquitetura corporativa. Por exemplo, no TOGAF a segurança é considerada um aspecto de todas as fases no ciclo ADM. No entanto, os arquitetos de segurança também possuem seus próprios métodos distintos e particulares, como o SABSA ou o Open Security Architecture. Apesar de todos os métodos disponíveis, o desafio real para a organização reside na verdadeira integração da força destes frameworks dedicados nas suas abordagens de arquitetura corporativa. Preferencialmente, isto deveria ser feito em combinação com a seleção dos padrões corretos (ISO ou MIST). Isto é algo que pode realmente ajudar a criar uma arquitetura segura integrada, ao invés de desenvolver uma arquitetura de segurança separada.

Fornecer percepções através de todas as camadas da sua arquitetura

Para possibilitar a compreensão dos riscos e medidas necessários, as pessoas consideram que é essencial a tarefa de visualização dos aspectos de segurança através das camadas arquiteturais. Isto envolve não apenas as implicações técnicas que podem surgir a partir de testes de penetração (pentests), mas também, por exemplo, do impacto nos negócios dos riscos de autenticação. O ArchiMate pode desempenhar um papel crucial para que isso seja possível e realizável.

Trabalhar com base em princípios

Finalmente, o conceito de desenho baseado em princípios, ao invés do desenho baseado em regras, é de grande ajuda para mover em direção à integração dos aspectos de segurança em todas as disciplinas de desenho através do negócio. Gerentes de risco e arquitetos devem trabalhar juntos para determinar um conjunto de princípios que guiam o desenho da organização, ao invés de detalhar todos os requisitos em cada iniciativa ou projeto.

Concluindo

Usar estas melhores práticas pode ajudá-lo a se mover de uma arquitetura de segurança para uma arquitetura verdadeiramente segura! Fique ligado em nossas próximas postagens sobre este assunto, e acompanhe a série de postagens sobre o GDPR aqui.



*Remco Blom é consultor sênior e especialista em melhoria de processos e segurança da informação na BiZZdesign