lördag 15 november 2008

Enterprise Security Arhitecture, Första dagen

Första dagen om ” Enterprise Security Architecture and Strategy” är avslutad och det var väl ganska mycket skåpmat, men också lite nya tankar och koncept att jobba med. David Lynnas som föreläsare är riktigt lyckat och han har en enorm erfarenhet, 26 år inom informationssäkerhet, från hela världen. Detta gör att han enkelt och professionellt svarar på frågor från alla deltagarna, främst amerikaner, angående hur det verkligen är där ute och inte bara enligt ramverket.

Säkerhetsramverket som denna kurs är baserad på heter SABSA, www.sabsa.org, och är gratis att använda. David är en av författarna till det. Vad är säkerhetsarkitektur? På detta svarar David:
A consistent set of principles, policies and standards that sets the direction and vision for the development and operation of the organisation’s business information systems so as to ensure alignment with and support for the business needs"

Jag kan bara hålla med honom och konstatera att vi måste tänka mer på företagens affärer och anpassa säkerhetsarkitekturen efter det. Man kanske inte behöver bygga den säkraste och mest avancerade lösningen för att hantera ett problem utan det kanske räcker med ”The plastic bag model”, dvs enkelt, litet och lätt. Här är det också viktigt att tänka på att alla avdelningar skall samarbeta för att skapa en bättre säkerhetsarkitektur, dvs projekten skall inte skapas av IT!

SABSA ramverk består av sex lager med olika vyer för olika aktörs arbete med att specificera, designa, bygga och använda affärssystemet. De översta tre lagren är de som bidrar med kraven, medans de nedersta tre bidrar med byggandet.


SABSA Matrisen använder sedan samma sex frågor som används i Zachman ramverk för att fylla i den vertikala delen av matrisen:
  • Vad försöker du göra på denna nivå? - De tillgångar som skall skyddas
  • Varför gör du det? – Viljan att tillämpa säkerhet
  • Hur försöker du göra det? - De funktioner som behövs
  • Vem är inblandad? - Människor och organisatoriska aspekter
  • Var gör du det? - De platser där du tillämpar säkerheten
  • När gör du det? - Tidsaspekter av säkerhet

Så hur skall jag då sammanfatta dagens aktiviteter?
  • Säkerhetarkitekturens viktigaste uppgift är att stödja affären och driva den framåt, inte säga stopp!
  • Säkerhetsarkitektur måste drivas som en strategi inte som taktiska lösningar.
  • Använd de delar av SABSA modellen som passar och ändra eller ta bort resten.
  • Se till att fånga rätt kravbild från företaget
  • Sluta ta fram negativa hot utan använd positiva affärsmöjligheter istället.
  • Mycket teori och management idag.
Upplagd av kl.

Inga kommentarer:

Skicka en kommentar

Prenumerera på: Kommentarer till inlägget (Atom)