Zachman en SABSA op een rijtje…

Zachman en SABA Security Architectuur

Security Architectuur. Een onderwerp dat langzaam maar zeker steeds meer lading begint te krijgen. Waar voorheen een aantal fanatieke IT architecten een aantal mooie plaatjes bij elkaar zat te hobbyen, staat het onderwerp nu op de agenda van onze CIO. En plotseling ben je belangrijk. De voornaamste reden? De opkomst van Cloud Computing heeft de onderwerpen Security en Informatiebeveiliging op de agenda gezet. Niemand wil uiteindelijk (negatief) op de voorpagina van De Telegraaf…

Voor Security Architectuur is dus plotseling aandacht en dat betekent dat er druk gezocht wordt naar kennis, methoden en methodieken. Iedereen kent waarschijnlijk TOGAF®, maar vandaag leggen we eens twee andere methodieken naast elkaar. De Zachman methode en het SABSA Framework.

Zachman Enterprise Architecture Framework

Het Zachman Enterprise Architecture Framework is in de jaren tachtig een van de eerste (altijd zelfbenoemde) ‘frameworks’ geweest waarbij niet de processen, maar juist de mens centraal staat. En dat was in de wereld van de stoffige IT architecten toch best vernieuwend: het betekende namelijk dat je het uit te leggen was in personen en rollen.

Het framework is – hoe kan het ook anders – opgebouwd in de vorm van een matrix waarin zes architectuurlagen beschreven worden die betrekking hebben op verschillende belanghebbenden (planner, eigenaar, architect, aannemer, onderaannemer en gebruiker). Deze belanghebbenden worden vervolgens gekoppeld aan een zestal vragen (wat, hoe, waar, wie wanneer en waarom?). Ja, leg dat nog maar eens uit, hoor ik u denken…

En dat is misschien dan ook wel de zwakte van deze ‘methode’ – het biedt geen handvatten of adressering voor een expliciete architectuur. En wij mensen (voor zover IT architecten nog in die categorie vallen…) willen toch graag iets wat meer tastbaar is dan de meest existentiële vragen des levens.

Zachman Model

SABSA Security Architectuur

Maar toen was daar SABSA. Een methode voor Security Architectuur die eind jaren tachtig door professor John Sherwood bedacht is en zijn eigen naam draagt (de eerste S staat voor Sherwood). Het model van John Sherwood borduurt in sterke mate voort op de methode van Zachman, maar stelt in plaats van personen ‘de business’ centraal.

Bij de SABSA methodiek ligt een sterke nadruk op het vaststellen van zogenaamde ‘security requirements’ door middel van ‘business attribute profiles.’ Ik hoor u weer even denken… In normaal Nederlands komt het er op neer dat de vragen uit het Zachman model tot het niveau van componenten uitgesplitst worden. En die componenten kunnen we vasthouden en beheersen. Hoewel het model zeker nog niet helemaal uitgekristalliseerd is, komt het langzaam maar zeker in Nederland steeds meer onder de aandacht.

Sabsa Matrix

Mijn voorspelling is dat dit in de komende jaren alleen maar meer wordt en de aandacht voor Security Architectuur zal groeien. De oorzaak? Cloud Computing. De reden? We willen alles graag kunnen beheersen.

Deel via:
LinkedInTwitterFacebookGoogle+WhatsAppEmail