Enterprise Security Architecture - แนวทางจากบนสู่ล่าง
กระบวนการจัดทำ Enterprise Security Architecture มักสร้างความสับสนในองค์กร โดยทั่วไปแล้ว สถาปัตยกรรมความมั่นคงปลอดภัยประกอบด้วยการควบคุมเชิงป้องกัน การควบคุมเชิงตรวจจับ และการควบคุมเชิงแก้ไขที่นำมาใช้เพื่อปกป้องโครงสร้างพื้นฐานและแอปพลิเคชันขององค์กร บางองค์กรพัฒนาสถาปัตยกรรมความมั่นคงปลอดภัยให้ดียิ่งขึ้นโดยเพิ่มการควบคุมเชิงกำกับ เช่น นโยบายและกระบวนการต่าง ๆ
อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศหลายท่านยึดติดกับแนวคิดแบบดั้งเดิมที่ว่า สถาปัตยกรรมความมั่นคงปลอดภัยไม่ใช่สิ่งอื่นใดนอกเหนือจากการมีนโยบายความมั่นคงปลอดภัย การควบคุม เครื่องมือ และการตรวจสอบ
โลกได้เปลี่ยนแปลงไป ความมั่นคงปลอดภัยไม่เหมือนเดิมอีกต่อไป ความเสี่ยงและภัยคุกคามในปัจจุบันมีความซับซ้อนกว่าเดิมมาก เทคโนโลยีใหม่ ๆ เช่น Internet of Things ได้เปลี่ยนแปลงวิธีการดำเนินงาน จุดเน้น และวัตถุประสงค์ขององค์กรอย่างมากมาย ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทุกคนจึงต้องเข้าใจวัตถุประสงค์ทางธุรกิจ และพยายามสนับสนุนโดยการนำการควบคุมที่เหมาะสมมาใช้ในลักษณะที่ผู้มีส่วนได้เสียสามารถเข้าใจได้ง่ายและเชื่อมโยงกับความเสี่ยงทางธุรกิจได้ กรอบการทำงานระดับองค์กร เช่น Sherwood Applied Business Security Architecture (SABSA), COBIT และ The Open Group Architecture Framework (TOGAF) สามารถช่วยให้บรรลุเป้าหมายในการจัดการความต้องการด้านความมั่นคงปลอดภัยให้สอดคล้องกับความต้องการทางธุรกิจได้
ความสัมพันธ์ระหว่าง SABSA, COBIT และ TOGAF มีดังนี้
SABSA เป็นกรอบการทำงานด้านความมั่นคงปลอดภัยที่ขับเคลื่อนโดยธุรกิจ สำหรับองค์กรที่มุ่งเน้นความเสี่ยงและโอกาสที่เกี่ยวข้อง ไม่ได้กำหนดการควบคุมที่เฉพาะเจาะจง แต่อ้างอิงจากแหล่งอื่น เช่น มาตรฐาน ISO หรือกระบวนการ COBIT เป็นวิธีการที่ใช้เพื่อให้มั่นใจว่าสอดคล้องกับธุรกิจ
COBIT 5 ถูกพัฒนาโดย ISACA เป็น "กรอบแบบครอบคลุมที่ช่วยให้องค์กรบรรลุวัตถุประสงค์ในการกำกับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศขององค์กร" ประกอบด้วยชุดเครื่องมือและกระบวนการที่ช่วยลดช่องว่างระหว่างประเด็นด้านเทคนิค ความเสี่ยงทางธุรกิจ และข้อกำหนดของกระบวนการ จุดมุ่งหมายคือการสร้างคุณค่าสูงสุดจากเทคโนโลยีสารสนเทศ ผ่านการรักษาความสมดุลระหว่างการสร้างประโยชน์ การลดความเสี่ยง และการใช้ทรัพยากร COBIT 5 ปรับเทคโนโลยีสารสนเทศให้สอดคล้องกับธุรกิจ และจัดการการบริหาร
TOGAF เป็นมาตรฐานและชุดเครื่องมือที่ช่วยพัฒนาสถาปัตยกรรมองค์กร โดยวงจรการพัฒนาของ TOGAF เริ่มต้นจากมุมมองธุรกิจและชั้นของธุรกิจ ตามด้วยเทคโนโลยีและข้อมูล สามารถนำไปใช้ในการกำหนดสถาปัตยกรรม วัตถุประสงค์และวิสัยทัศน์ ทำการวิเคราะห์ช่องว่าง และตรวจสอบกระบวนการ
การใช้งานร่วมกันของทั้ง 3 กรอบการทำงานในการพัฒนา Enterprise Security Architecture จะช่วยให้สถาปัตยกรรมความมั่นคงปลอดภัยที่พัฒนาขึ้นสอดคล้องกับความต้องการทางธุรกิจและตอบสนองต่อความต้องการของผู้มีส่วนได้เสียทั้งหมด
ขั้นตอนการเริ่มต้นพัฒนา Enterprise Security Architecture อย่างง่ายโดยใช้แนวทาง Agile มีดังนี้:
ระบุวัตถุประสงค์ เป้าหมาย และกลยุทธ์ทางธุรกิจ
ระบุคุณลักษณะทางธุรกิจที่จำเป็นในการบรรลุเป้าหมายเหล่านั้น
ระบุความเสี่ยงที่เกี่ยวข้องซึ่งอาจส่งผลกระทบต่อธุรกิจในการบรรลุเป้าหมาย
ระบุการควบคุมที่จำเป็นในการจัดการความเสี่ยง
จัดทำโครงการเพื่อออกแบบและใช้การควบคุมเหล่านั้น
หลังจากระบุและประเมินความเสี่ยงทั้งหมดแล้ว องค์กรสามารถเริ่มออกแบบองค์ประกอบสถาปัตยกรรมต่าง ๆ เช่น นโยบาย การสร้างความตระหนักรู้ให้แก่ผู้ใช้ เครือข่าย แอปพลิเคชัน และเซิร์ฟเวอร์ สำหรับแต่ละส่วน ควรอ้างอิงตามกรอบการทำงานด้านความมั่นคงปลอดภัย และปรับความสมบูรณ์ของแต่ละการควบคุมตามระดับวุฒิภาวะที่ต้องการด้วยโมเดล CMMI
การใช้งานร่วมกันของกรอบการทำงานเหล่านี้จะทำให้ได้สถาปัตยกรรมความมั่นคงปลอดภัยระดับองค์กรที่ตอบสนองวัตถุประสงค์และความต้องการทางธุรกิจอย่างแท้จริง โดยมั่นใจได้ว่าสถาปัตยกรรมที่สร้างขึ้นเป็นส่วนหนึ่งของความต้องการทางธุรกิจ ตอบโจทย์ความต้องการเฉพาะของธุรกิจได้ และมีหลักการสนับสนุนโดยอัตโนมัติ ยึดหลักการ Agile จะช่วยให้สามารถเริ่มต้นโครงการสถาปัตยกรรมความมั่นคงปลอดภัยขององค์กรได้อย่างรวดเร็ว มีประสิทธิภาพ และประสบความสำเร็จ