Waarom een Enterprise Security Architectuur?

Een strategische visie op Security Architectuur

Als we het met zijn allen ergens over eens zijn, is het dat IT oplossingen een steeds belangrijkere en fundamentele rol in ons leven gaan spelen. Waar we allemaal in de jaren tachtig dachten dat de IT hype echt wel op een hoogtepunt zou zijn, bleek dit alleen maar het topje van de ijsberg. Cloud Computing en de mogelijkheden van Big Data brengen volstrekt nieuwe – revolutionaire – mogelijkheden met zich mee. Het belang van IT in organisaties zal in de komende jaren, mijns inziens, dan ook alleen maar toenemen. Veel bedrijven erkennen dit, maar hebben de organisatie nog niet aangepast om met deze ontwikkeling om te gaan. Ik denk dat het concept van Enterprise Security Architectuur (gebaseerd op het SABSA® Framework) een goede eerste stap kan zijn om de afhankelijkheid van IT in organisaties goed te borgen.

Informatiebeveiliging zit op het verkeerde niveau in organisaties

Vraag de gemiddelde Information Security Officer (als een organisatie die al heeft) naar de informatiebeveiligingsprocessen en -oplossingen van een organisatie, en je krijgt het volgende verhaal: we identificeren een requirement, zoeken een geschikte oplossing en voeren die vervolgens uit. Risicomanagement uit de prehistorie. Wel heel logisch, want voor veel organisaties is dit jaren lang meer dan voldoende geweest. Het gevolg is dat er op het gebied van informatiebeveiliging heel veel verschillende oplossingen aan elkaar geknoopt worden, die niet allemaal heel goed samenwerken. Veel ruimte dus voor zwakheden in de infrastructuur. In de praktijk is is het gemiddelde architectuurplaatje na vijf jaar dan ook een compleet spinnenweb met velerlei verschillende verbindingen.

Daar komt bij dat dat er vaak geen calculaties gemaakt worden van de lange termijn kosten – in het bijzonder de operationele kosten – die het grootste gedeelte van de Total Cost of Ownership uitmaken. De reden hiervoor is dat er geen aantoonbare strategie is waarbij Security Architectuur aansluit op de doelstellingen van het bedrijf. Security Architectuur is vaak slechts een tactisch proces dat keurig uitgevoerd wordt, maar absoluut geen waarde toevoegt aan het bedrijf.

Security Architectuur moet aansluiten op de business

Hoe gaan we er dan voor zorgen dat Security Architectuur wel een onderwerp is dat waarde gaat toevoegen aan de bedrijfsvoering? Volgens mij begint dit met de aansluiting van architectuur van bij de Business Requirements (requirements-based-approach). Net zoals een reguliere architectuur (van een gebouw) moet aansluiten bij een groter bestemmingsplan, zo zal een IT architectuur moeten gaan aansluiten bij de lange termijn doelstellingen van de organisatie. Niet langer alleen ondersteunend – en dus een kostenplaats – maar als middel om die doelstellingen te behalen. Om dit te bereiken, zal de Security Architectuur Business Requirements moeten gaan analyseren, zoals het belang van kostenreducties, modulariteit, schaalbaarheid, gebruiksgemak en integratie met verschillende systemen.

IT Security zal daarbij altijd onderdeel blijven van een groter onderwerp: business security. Business Security bestaat daarbij volgens de theorie uit drie onderwerpen:

  1. Information Security
  2. Business Continuity
  3. Physical and Environmental Security

Deze drie pilaren staan nu helemaal los van elkaar en worden op dit moment vaak door verschillende bedrijfsonderdelen uitgevoerd. Hoog tijd dus dat we deze onderwerpen gaan combineren in een breder plaatje: de Enterprise Security Architectuur

Wat betekent een Enterprise Security Architectuur?

In een Enterprise Security Architectuur (ESA) gaan we alle bovenstaande onderwerpen met elkaar verbinden in één structuur, en verschuiven we van een tactisch naar strategisch niveau. Volgens de officiële SABSA publicaties moeten we het dan hebben over een ‘holistische benadering,’ maar in mijn ogen is het gewoon een logische samenhang. Waarom cruciale zaken – die enorme impact kunnen hebben – los van elkaar koppelen als ze ook meteen samen genomen kunnen worden? Zeker ook omdat fysieke en digitale beveiliging steeds dichter tegen elkaar aan gaan liggen. Meer deuren zijn tegenwoordig elektronisch beveiligd dan alleen met een sleutel.

Ik denk dat Enterprise Security Architectuur een hele logische stap is in Informatiebeveiliging. Zowel in termen van ‘waarde’ die we willen creëren als de eenvoud van het model: uiteindelijk willen we alleen de dingen doen die voor (het voortbestaan van) de organisatie van belang zijn. Business Requirements moeten daarmee dus de logische input gaan vormen van Security Architectuur.

Deel via:
LinkedInTwitterFacebookGoogle+WhatsAppEmail