TOGAF®-SABSA Integratie

SABSA TOGAF® Integratie: Feit of Fictie?

Door: Jeroen van Esch

Tijdens de verhoren van de parlementaire enquêtes Financieel Stelsel eind vorig jaar was een antwoord op veel van de vragen: ”Met de kennis van toen hebben we destijds in onze ogen het juiste besluit genomen”. Dit is het domein van risicomanagement, vrij vertaald naar het inschatten van en anticiperen op de effecten van niet of nauwelijks beïnvloedbare gebeurtenissen op wat van waarde wordt geacht. Hoe bescherm je deze waarde, hoe integreer je risicomanagement in de bedrijfsvoering?

Deze vraag wordt beantwoord aan de hand van de inhoud van de ‘TOGAF®-SABSA integration whitepaper’, die in oktober 2011 is gepubliceerd. De boodschap: alleen met de integratie van operationeel risicomanagement in de bedrijfsarchitectuur, kan architectuur zijn doel vervullen. Dit doel is het voorzien in een continue afstemming tussen de organisatiedoelstellingen en de operatie, als ook het op een effectieve en efficiënte wijze realiseren hiervan, zelfs als de omgeving of bedrijfsdoelstellingen veranderen. Dit artikel is bedoeld voor breed georiënteerde architecten, maar ook voor verander- en risicomanagers die een idee willen krijgen over hoe optimaal te kunnen blijven inspelen op elkaar steeds sneller opvolgende (technologische) ontwikkelingen en veranderende concurrentiekrachten.

Dat de aandacht uitgaat naar het beheersen van operationeel risico, is omdat het de operationele capaciteiten binnen de organisatie zijn, die bijdragen aan de realisatie van organisatiedoelstellingen. Of het nu het schetsen van een business model op de achterkant van een sigarendoosje, het ontwikkelen van een cloud strategie, het motiveren van medewerkers of het administreren van polissen is, allen dragen in zekere mate bij aan waardetoevoeging. De rol van de architect hierin is niet meer, maar ook niet minder dan met het inbouwen van risicomanagement in architectuur, een operationele omgeving te realiseren, die optimaal bijdraagt aan deze waardetoevoeging. Het eeuwige dilemma voor architecten en managers is duidelijk te krijgen en te maken wanneer goed, goed genoeg is. Kortom wat is optimaal? Bij het managen van risico’s is de risicotolerantie, ofwel de risk appetite hiervoor een uitgangspunt. Deze wordt bepaald door het vaststellen van hoeveel verlies draagbaar is en hoeveel waarde moet worden gecreëerd met het benutten van kansen om organisatiedoelstellingen te kunnen realiseren. Het bepalen hiervan is een verantwoordelijkheid van het management. De dynamiek van het zich kunnen voordoen van gebeurtenissen, die waarde beïnvloeden, is weergegeven in figuur 1. De operationele capaciteiten gelden als de ‘assets at risk’ .

TOGAF---invloeden-op-waarde

Figuur 1: De invloeden op waarde

Twee kernpunten van SABSA

Om de opdracht tot het realiseren van een operationele omgeving die optimaal bijdraagt aan waardetoevoeging te kunnen uitvoeren, worden twee kernpunten aangereikt.

Het eerste is security niet als geïsoleerde operationele capaciteit te beschouwen, maar als view van de bedrijfsarchitectuur. Vanuit dit perspectief gaat security niet alleen om het borgen van de veiligheid van informatie en informatiesystemen, maar om het borgen van de veiligheid van alle operationele capaciteiten in hun bijdrage aan de organisatiedoelstellingen. Een operationele capaciteit kan hierbij natuurlijk nog steeds een informatiesysteem zijn. Veiligheid omvat ook meer dan alleen de vanuit de informatiebeveiliging bekende aspecten beschikbaarheid, integriteit en vertrouwelijkheid. Het gaat om alle aspecten die bijdragen aan een ‘fit for purpose’. De gewenste veiligheid wordt bepaald aan de hand van de risk appetite en kan worden uitgedrukt in beveiligingsdoelstellingen.

Het tweede kernpunt is het toekennen van een centrale rol voor requirements management als verbindend element tussen de organisatiedoelstellingen en de operatie. Een belangrijk aspect hierin is dat het niet alleen om het stellen van beveiligingsdoelstellingen gaat, maar dat het ook mogelijk is om terugkoppeling te krijgen over de effecten van de realisatie ervan.

Een toepassing van SABSA en TOGAF®

Daar waar in TOGAF® geen concrete invulling is gegeven aan requirements management biedt SABSA hier een belangrijke toevoeging. Hoe werkt dit concreet en hoe draagt het proces van requirements management  bij aan de afstemming van organisatiedoelstellingen en operatie? Figuur 2 geeft het TOGAF® ADM proces weer voor het ontwikkelen van architectuur.  De rechthoeken zijn SABSA artifacten waarmee een security view op het ontwikkelproces en uiteindelijk op de bedrijfsarchitectuur wordt geboden.

TOGAF---ontwikkelen-van-een-veilige-structuur

Figuur 2: Het ontwikkelen van een veilige architectuur met SABSA en TOGAF® ADM

Het begint met het opstellen of verzamelen van beschrijvingen van externe ontwikkelingen en algemene organisatiedoelstellingen. Om in de financiële sector te blijven; aangescherpte eisen van toezichthouders aan kapitaaltoereikendheid en snelle berichtgeving via de sociale media over vermeende misstappen, zijn voorbeelden van relevante ontwikkelingen voor banken en verzekeraars. Voorbeelden van algemene doelstellingen zijn het verhogen van omzet en het verbeteren van de marktpositie.

Vanuit een security perspectief kunnen ontwikkelingen, die kansen en bedreigingen in zich hebben, worden verbonden met de algemene doelstellingen via beveiligingsdoelstellingen. Voorbeelden zijn het bereiken van adequate inschattingen van de waarde van passiva (bijvoorbeeld technische provisie) en het verbeteren van de Net Promotor Score (NPS). De beveiligingsdoelstellingen gelden als kritische succesfactoren om optimaal te kunnen inspelen op mogelijke gebeurtenissen als gevolg van de ontwikkelingen. De complete set van beveiligingsdoelstellingen komt tot stand aan de hand van vragen over het wat, waarom, wie, hoe, waar en wanneer van de strategie.

De beveiligingsdoelstellingen zijn niet concreet en specifiek genoeg om als basis te dienen voor  architectuur voor operationele capaciteiten. Dit kan worden opgelost door een decompositie te maken naar het niveau van het domein waar een of meerdere operationele capaciteiten onderdeel van zijn. De organisatie als geheel is hierbij het topdomein. Door het toepassen van bijvoorbeeld  een opdeling naar functie of afdeling, ontstaan deeldomeinen.

De eisen worden bepaald voor karakteristieken, of attributen van operationele capaciteiten binnen een domein. Het gaat om die attributen die verwacht worden bepalend te zijn voor de realisatie van de beveiligingsdoelstellingen.

Voor operationele capaciteiten binnen grotere verzekeraars zal gelden dat het belangrijk is om bij te dragen aan het kunnen voldoen aan de Solvency II richtlijnen, om hiermee als organisatie in te kunnen spelen op de ontwikkeling aangaande aangescherpt toezicht. Nauwkeurigheid, toepasselijkheid en compleetheid zijn in het kader van Solvency II relevante attributen. Hier kan het attribuut reputatie aan worden toegevoegd om bij te dragen aan reputatiebescherming. De uiteindelijke set van attributen komt tot stand door het verantwoordelijke management en andere stakeholders die nodig zijn voor het bereiken draagvlak, te betrekken.

De attributen worden beschreven in termen die voor het verantwoordelijke management duidelijk maken op welke wijze wordt bijgedragen aan de beveiligingsdoelstellingen. Hierbij kunnen de attributen de verbinding vormen tussen een domein en een deeldomein, maar kan voor het deeldomein een eigen specifieke beschrijving worden toegekend.

Om meetbaar te kunnen maken in welke mate wordt voldaan aan de beveiligingsdoelstellingen, worden per attribuut prestatiedoelen bepaald.  Dit kan met het gebruik van bekende score card technieken met indicatoren.  Achtereenvolgens worden een meetmethode, een metriek en het prestatiedoel zelf vastgelegd. Ideeën bij het management over haalbaarheid van prestatiedoelstellingen, bestaande maatregelen, geldende (technische) beperkingen en risicobereidheid zijn bepalend voor de waardes van de prestatiedoelen. Het zichtbaar maken van scores op de prestatiedoelen kan met real-time operational risk dashboards of score cards.

TOGAF---voorbeeld-attribuut-prestatiedoel

Figuur 3: Voorbeeld van een attribuut en prestatiedoel

Een volgende stap is het uitvoeren van een riscioanalyse, het bepalen van beheersdoelen en een bijbehorende set van maatregelen die ervoor moet zorgen dat de risico’s van het niet kunnen halen van de prestatiedoelen worden beperkt tot een acceptabel niveau. Ook hier is de risicobereidheid van het verantwoordelijke management bepalend.

De set van attributen, prestatiedoelen en beheersdoelen vertegenwoordigen gezamenlijk de bijdrage aan de beveiligingsdoelstellingen en zijn daarmee een weergave van de risk appetite van de organisatie.

TOGAF---relatiebeveiligings-doelstellingen

Figuur 4: Relatie beveiligingsdoelstellingen, attributen, prestatiedoelen en beheersdoelen

Met het kiezen van maatregelen, vindt er ook een doorvertaling plaats naar oplossingsniveau. Hoe uiteindelijk praktisch wordt bijgedragen aan het optimaliseren van risico’s,  is voor een belangrijk deel aan de  architect. Hiermee is de link tussen strategie en operatie, alsook de link tussen doelen en oplossingen compleet. Ook is er sprake van volledige traceerbaarheid. Dit zal het kunnen nemen van geïnformeerde beslissingen bij het maken van keuzes over bijvoorbeeld te realiseren maatregelen bevorderen.

Het werken met attributen is niet uniek voor de invulling van requirements management. Methodes als “Extended ISO 9126” maken er ook gebruik van. Het verschil zit er in dat de ISO methode security ziet als een afzonderlijk attribuut, terwijl in de hier beschreven aanpak attributen en prestatiedoelen gezamenlijk de gewenste veiligheid representeren. Een ander verschil is dat niet met een algemene set wordt gewerkt, maar met een set die afgestemd is op gezamenlijk onderkende bijdrage van de operationele capaciteiten aan waardeoptimalisatie.

Het op genoemde wijze uitvoeren van het proces van requirements management is allerminst een lineair proces en eenvoudig van aard. Zo is het opstellen van een set van attributen en prestatiedoelen een ontwikkelproces met een bijbehorende dynamiek in het betrekken van stakeholders. De uitdaging ligt in het definiëren van meetbare prestatiedoelen die terug te voeren zijn naar de beveiligingsdoelstellingen. Daarnaast zijn governance, vastlegging van resultaten, eigenaarschap en het onderhouden van het proces belangrijke aandachtspunten.

Denken en doen

In de praktijk wisselen planning en realisatie zich continu af. Er is meestal meer geld beschikbaar om op oplossingsniveau architectuur te ontwikkelen en toe te passen dan op bedrijfsniveau. Maar op  bedrijfsniveau is er vaak meer tijd dan op projectniveau. Het verkrijgen van draagvlak en aantonen van de voordelen van het proces van requirements management hebben de beste kans van slagen op  programma- of portfolioniveau. Dit is niet alleen omdat dit het veilige midden is. Het is de plek waar, als het goed is, het hart van organisatieverandering ligt en ook de coördinatie voor het wel of niet volgens een roadmap implementeren van architectuur.

Tot slot over TOGAF® en SABSA

Met de integratie van TOGAF® en SABSA is een verdere stap gezet in de invulling van het proces van requirements management.  In het gebruik van dit proces kan een krachtig beleidsinstrument worden gevonden, dat de beveiligingsdoelstellingen van het verantwoordelijke management weergeeft en als leidraad kan dienen voor het inrichten van operationele capaciteiten en het operationeel risico daarbinnen te optimaliseren. Denk aan het veel beter kunnen inrichten en gebruiken van tools voor Business Event Monitoring en Business Service Management,  een betere afstemming van vraag en aanbod in contracten voor managed services, maar ook bijvoorbeeld het bepalen van kwaliteitsattributen voor een master test plan.

Met de getoonde methode wordt mogelijk om het wat, waarom, wie, hoe, waar  en wanneer op strategisch niveau op een gestructureerde wijze te kunnen verbinden met die zelfde aspecten op operationeel niveau, dit alles met in acht name van de risk appetite.

Voorwaarden om er werkelijk de vruchten van te kunnen plukken zitten in het betrekken van beslissers, waarbij een sterk beroep gedaan wordt op de samenwerking tussen partijen in de keten, en op de kennis en kunde van managers en architecten.

Deel via:
LinkedInTwitterFacebookGoogle+WhatsAppEmail