معماری امنیت اطلاعات SABSA
2018-05-26مدیریت ریسک عملیاتی و SABSA
2018-05-26رویکرد ادغام TOGAF – SABSA چیست؟
TOGAF و SABSA از نظر فرهنگی و فلسفی بسیار به یکدیگر شبیه هستند. هر دو بر کسب و کار تأکید دارند و هر دو یک چشم انداز معماری به عنوان یک طرح سرمایه گذاری گسترده دارند. با این وجود این دو ریشه و تاریخچه متفاوتی دارند.
ادغام TOGAF – SABSA بر اساس سه اصل است:
- مدیریت ریسک محرکی برای انتخاب اقدامات امنیتی است – رویکرد SABSA برای مدیریت ریسک عملیاتی، کسب و کار ایجاد شده به جای تهدید. رویکرد کسب و کار ایجاد شده هم چنین مفهوم ریسک را در دست یابی به یک نتیجه مثبت در نظر می گیرد، در حالی که رویکرد تهدید ایجاد شده به نظر می رسد تنها برای به حداقل رساندن یا حذف کردن امکان از دست دادن رویداد است.
- مدیریت نیاز ها نقش محوری در توسعه معماری موفق ایفا می کند – TOGAF یک رویکرد مبتنی بر نیاز ها را دنبال می کند و پروفایل ویژگی کسب و کار SABSA یک تکنیک قدرتمند را برای حل نیاز های معماری فراهم می کند.
- روش توسعه معماری TOGAF یک فرایند تحویل معماری محبوب است – این مقاله نشان می دهد که آثار معماری امنیتی به هر مرحله از ADM مربوط می شوند، به طوری که معماری امنیتی بخش لاینفک از معماری سازمانی می شود. به این ترتیب SABSA در عبارت TOGAF بیان می شود، این روش زبان مشترکی بین TOGAF و SABSA به منظور تسهیل و بهتر کردن تبادل اطلاعات بین موجودیت های یک سازمان فراهم می کند.
نیازی به گفتن نیست که ایجاد ادغام معماری امنیتی در میان معماری سازمانی بهتر عمل می کند، معمار امنیت باید عضوی از تیم معماری سازمانی باشد.
ریسک عملیاتی و ارتباط آن با معماری سازمانی:
رویکرد نسبت به ریسک در SABSA:
صنعت امنیت اطلاعات و امنیت IT در سراسر عمرش دیدگاهی از ریسک عملیاتی توسعه داده است که تنها به خطرات، ضعف ها، فقدان وقایع ( اثرات منفی ) مربوط می شود. پیدایش مدیریت ریسک عملیاتی در صنعت بانک داری در طول دهه ی 1990 تقریباً به طور کامل از درون مراکز امنیت اطلاعات و امنیت IT متخصص در بانک ها ناشی می شود.
ریسک عملیاتی و معماری سازمانی:
ریسک عملیاتی به تهدید ها و فرصت های پدید آمده در عملیات کسب و کار مربوط می شود، بر عکس خطر استراتژیک و یا خطرات سرمایه گذاری مالی خاص مانند ریسک اعتبار یا ریسک بازار.
ریسک عملیاتی مربوط به عمل معماری سازمانی است، زیرا عملیات های کسب و کار از طریق فرآیند های و سیستم هایی که به واسطه ی آثار معماری ایجاد شده اند ( مردم به علاوه ی فن آوری ) اجرا می شوند. محصول و بازده آثار معماری ایجاد قابلیت و توانایی عملیاتی است. در این زمینه ما ” قابلیت و توانایی عملیاتی ” را در وسیع ترین معنای آن، از جمله، توانایی ساختن برنامه های استراتژیک، توانایی جمع آوری و تجزیه و تحلیل اطلاعات کسب و کار، توانایی مدیریت برنامه ها و پروژه ها و بسیاری از قابلیت های مشابه در نظر می گیریم. بازده هر کدام از این موارد از سود استراتژیک است نه صرفاً عملیاتی. با این وجود، این فعالیت ها همگی در محل اجرا ” عملیاتی ” هستند. به عنوان یک مثال ویژه، شکست فرآیند ” پشتکار مناسب ( due diligence ) ” منجر به شکست مالکیت استراتژیک شرکت ها می شود زیرا یک تصمیم استراتژیک ضعیف گرفته شده است.
خود فرآیند ” پشتکار مناسب ( due diligence ) ” عملیاتی است و شکست چنین فرآیندی ریسک عملیاتی می باشد، اما در این مورد نتیجه یک اثر به شدت منفی استراتژیک ( و احتمالاً اعتبار ) است. بنابر این معمار شرکت باید از آن ها آگاه بوده و برای ریسک های کسب و کاری که طی چرخه ی عملیاتی این فرآیند ها و سیستم ها با آن ها مواجه خواهد شد تدبیری بیاندیشد. مسلماً نقش یک معمار سازمانی ایجاد یک محیط عملیاتی است که در آن ریسک عملیاتی می تواند برای حداکثر سود کسب و کار و حداقل زیان کسب و کار بهینه سازی شود.