Primero que nada, si está hablando de disciplinas dentro de la arquitectura de Enterprise, asumo que habla de estas cuatro:
- Arquitectura empresarial
- arquitectura de datos
- arquitectura de la aplicación
- arquitectura tecnológica
Por supuesto, existen muchas subdisciplinas, pero creo que la que se mencionó anteriormente es la que se usa con más frecuencia (también la que usa TOGAF).
Mientras que la seguridad es un aspecto muy importante, creo que proporciona una visión demasiado detallada como para ser comprendida como una disciplina adicional, junto a las cuatro anteriores. La arquitectura empresarial proporciona una vista de la estructura de la organización, que comprende sus procesos de negocios, objetos de datos (información), aplicaciones e infraestructura. Todos estos deben ser seguros, pero deben ser mucho más, dependiendo de los objetivos que la organización haya establecido.
Si la organización no estableció la seguridad como un objetivo (lo que significa que nunca aparece en la columna de motivación en el marco Zachman ), entonces NO se debe traducir en un proceso, un objeto de datos, una aplicación o una infraestructura. Esta es una de las razones principales por las que la arquitectura de seguridad no debe considerarse una disciplina separada dentro de EA: La seguridad no es parte de la estructura básica de una organización, sino que la seguridad es una opción que se puede hacer acerca de la estructura .
Eso no quiere decir que la arquitectura de seguridad no sea importante. Como comparación: un proceso de negocio debe ser eficiente. ¿Por qué necesita ser eficiente? Porque es obvio, aunque en teoría solo debería ser eficiente si hay una motivación (Zachman, nuevamente) para hacer que el proceso sea eficiente. Lo mismo se aplica para la seguridad. Una aplicación debe ser segura, porque es obvia (para nosotros). Sin embargo, en teoría, debería existir una motivación para hacer que la aplicación (o proceso de negocio, o datos, o infraestructura) sea segura.
Para terminar con una cita de los autores de TOGAF :
Las preocupaciones de seguridad están generalizadas en todos los dominios de arquitectura
y en todas las fases del desarrollo de la arquitectura. Se llama seguridad
por separado porque es una infraestructura que rara vez es visible para
La función empresarial. Su finalidad fundamental es proteger el valor.
de los sistemas y activos de información de la empresa.
Una cita, que nos recuerda que la seguridad IS en realidad es importante para los arquitectos empresariales y los marcos correspondientes. Simplemente no es parte de la clasificación general (negocios, datos, aplicaciones, tecnología). Por supuesto, si su pregunta era "¿Por qué una arquitectura empresarial no se preocupa por la seguridad?" o "¿Por qué las metodologías de EA nunca hablan de seguridad?", no habría estado de acuerdo con usted, porque a mí sí me importa, y las metodologías sí hablan de seguridad.
Ahora, mientras terminaba esta respuesta, noté que en realidad no respondí a tu pregunta directamente. Por lo tanto, una última frase: hay beneficios para incluir la seguridad como una preocupación principal durante el desarrollo de EA, y los arquitectos empresariales ya deben conocer estos beneficios. Es solo un puente demasiado lejos para incluirlo como una disciplina separada junto a las cuatro subdisciplinas bien conocidas de EA.