Vroeger was security het sausje dat achteraf aan een systeem werd toegevoegd. Tegenwoordig begint security steeds meer een plaats te krijgen in de enterprise architectuur. Dit zien we bijvoorbeeld terug in de huidige vernieuwing van TOGAF, een mainstream framework voor enterprise architectuur.
Waar in de huidige TOGAF 9 de security nog een apart hoofdstukje vormt en de security manager nog letterlijk wordt beschreven als ‘iemand die altijd bezig is het negatieve te bewijzen’, wordt in de toekomstige TOGAF Next veel energie gestoken in het integreren van security in het hele framework.
Het TOGAF Next Security Project (TNSP) van The Open Group is verantwoordelijk voor deze security-integratie en wordt gedreven vanuit een business georiënteerde security architectuur-gedachte. Dat wil zeggen dat security zodanig wordt ingezet dat de bedrijfsdoelstellingen kunnen worden gehaald. Dit is wezenlijk anders dan de ‘check-in-the-box’-benadering die je wel eens ziet als security vanuit compliance-verplichtingen wordt geregeld. De business driven benadering zorgt ervoor dat beveiligingsmaatregelen altijd kunnen worden gerechtvaardigd vanuit het perspectief van het (top-)management.
Gids voor architecten
De definitie van security in TOGAF Next is breed. Zij is niet beperkt tot de traditionele beveiligingsaspecten beschikbaarheid, integriteit en betrouwbaarheid, maar omvat ook aspecten als privacy en traceerbaarheid. Ook strategische planning, operationeel risico-management, security communicatie met stakeholders en de relatie tussen de enterprise architectuur en het security management proces zijn in deze bredere definitie opgenomen. Het TNSP project zorgt hiermee niet alleen voor een degelijk fundament voor security en risico management in TOGAF, maar brengt tevens publicaties voort die architecten kunnen gidsen bij het maken van een veilige architectuur.
Eén van deze publicaties betreft het selecteren van de juiste security maatregelen in een gegeven business context. Conform de architectuurgedachte worden deze securitymaatregelen beschreven als zogenaamde ‘building blocks’. Een security building block is een security service die herbruikbaar is, met een gedefinieerde werking en output.
<onderschrift>De samenhang tussen doelstellingen, dreigingen en maatregelen. De security services zijn functionele maatregelen in de enterprise architectuur.
<einde onderschrift schema>
Standaard catalogus
Er is behoefte aan een uniforme set security services om deze werkwijze te ondersteunen. Daarom gaat op dit moment (september 2014) het Security Services Catalogue project van start. Dit is een gezamenlijk initiatief van drie belangrijke spelers in frameworks voor security architectuur, namelijk The SABSA Institute (www.sabsa.org), The Open Group Security Forum (www.opengroup.org) and the Open Security Architecture (www.opensecurityarchitecture.org). Doel van het project is om een community-gedreven ontwikkeling van een security services catalogue te bewerkstelligen, zodat deze kan worden gebruikt door enterprise (security)architecten. Een standaard beschikbare catalogus stelt deze architecten in staat om een heldere match te maken tussen hoog-over security requirements en de bijbehorende oplossingen op de functionele laag in de architectuur. De catalogus bevat het geheugen van de oplossingen binnen de organisatie en faciliteert hergebruik.
Wil je meer weten over deze ontwikkeling of participeren in het Security Services Catalogue project, stuur dan een e-mail naar Pascal de Koning, p.de.koning@i-to-i.nl. Pascal is senior security consultant by i-to-i en co-chairman van het TOGAF-Next Security Project van The Open Group.
