Tenía esta pregunta en Owasp Escocia esta noche, y no obtuvo respuestas útiles.
¿Hay demasiada especialización en seguridad ahora, lo que significa que los arquitectos empresariales no pueden saber lo suficiente como para brindar seguridad como parte de su trabajo diario?
Mi primera observación es que la seguridad es responsabilidad de todos. Ninguna persona podrá controlar la base de código de toda una organización. El diseño de seguridad y el diseño de la empresa son intrínsecamente diferentes en propósito y objetivo, pero los dos deben interactuar estrechamente para obtener el mejor resultado. El objetivo de un arquitecto empresarial es diseñar un sistema que satisfaga las necesidades del negocio y represente los procesos del negocio con precisión y cree un patrón consistente para implementar dicha funcionalidad. Un objetivo de los arquitectos de seguridad es diseñar un patrón de seguridad y proporcionar un patrón consistente para su implementación y cumplimiento.
En un entorno grande, la mera escala de estas dos tareas podría merecer que diferentes personas trabajen en ellas y podría haber una pequeña ganancia en relación con la separación de responsabilidad entre el proceso de negocios y el proceso de seguridad, pero en general no lo hago. No veo ninguna razón importante por la que alguien con un conjunto de habilidades cruzadas no pueda hacer ambas cosas. (Digo esto como un arquitecto de software empresarial con experiencia en diseño de seguridad).
Para publicar una opinión contraria a la excelente respuesta de AJ:
En una gran corporación, la arquitectura puede terminar siendo responsabilidad de múltiples equipos en diferentes departamentos, países, regiones, etc. para que funcione en cada región, mientras que la seguridad de la empresa es probable que se administre desde una perspectiva global para reducirla. Riesgo para la organización en su conjunto.
Por lo tanto, tiendo a favorecer la idea de que la arquitectura de seguridad es una subdisciplina de la arquitectura o la seguridad, con profesionales que trabajan con arquitectos empresariales para alcanzar lo mejor de la solución de ambos mundos (o compromiso).
Primero que nada, si está hablando de disciplinas dentro de la arquitectura de Enterprise, asumo que habla de estas cuatro:
Por supuesto, existen muchas subdisciplinas, pero creo que la que se mencionó anteriormente es la que se usa con más frecuencia (también la que usa TOGAF).
Mientras que la seguridad es un aspecto muy importante, creo que proporciona una visión demasiado detallada como para ser comprendida como una disciplina adicional, junto a las cuatro anteriores. La arquitectura empresarial proporciona una vista de la estructura de la organización, que comprende sus procesos de negocios, objetos de datos (información), aplicaciones e infraestructura. Todos estos deben ser seguros, pero deben ser mucho más, dependiendo de los objetivos que la organización haya establecido.
Si la organización no estableció la seguridad como un objetivo (lo que significa que nunca aparece en la columna de motivación en el marco Zachman ), entonces NO se debe traducir en un proceso, un objeto de datos, una aplicación o una infraestructura. Esta es una de las razones principales por las que la arquitectura de seguridad no debe considerarse una disciplina separada dentro de EA: La seguridad no es parte de la estructura básica de una organización, sino que la seguridad es una opción que se puede hacer acerca de la estructura .
Eso no quiere decir que la arquitectura de seguridad no sea importante. Como comparación: un proceso de negocio debe ser eficiente. ¿Por qué necesita ser eficiente? Porque es obvio, aunque en teoría solo debería ser eficiente si hay una motivación (Zachman, nuevamente) para hacer que el proceso sea eficiente. Lo mismo se aplica para la seguridad. Una aplicación debe ser segura, porque es obvia (para nosotros). Sin embargo, en teoría, debería existir una motivación para hacer que la aplicación (o proceso de negocio, o datos, o infraestructura) sea segura.
Para terminar con una cita de los autores de TOGAF :
Las preocupaciones de seguridad están generalizadas en todos los dominios de arquitectura y en todas las fases del desarrollo de la arquitectura. Se llama seguridad por separado porque es una infraestructura que rara vez es visible para La función empresarial. Su finalidad fundamental es proteger el valor. de los sistemas y activos de información de la empresa.
Una cita, que nos recuerda que la seguridad IS en realidad es importante para los arquitectos empresariales y los marcos correspondientes. Simplemente no es parte de la clasificación general (negocios, datos, aplicaciones, tecnología). Por supuesto, si su pregunta era "¿Por qué una arquitectura empresarial no se preocupa por la seguridad?" o "¿Por qué las metodologías de EA nunca hablan de seguridad?", no habría estado de acuerdo con usted, porque a mí sí me importa, y las metodologías sí hablan de seguridad.
Ahora, mientras terminaba esta respuesta, noté que en realidad no respondí a tu pregunta directamente. Por lo tanto, una última frase: hay beneficios para incluir la seguridad como una preocupación principal durante el desarrollo de EA, y los arquitectos empresariales ya deben conocer estos beneficios. Es solo un puente demasiado lejos para incluirlo como una disciplina separada junto a las cuatro subdisciplinas bien conocidas de EA.
Lea otras preguntas en las etiquetas business-risk