Ticker

6/recent/ticker-posts

Adopción TOGAF y SABSA para Arquitectura TI Seguras



TOGAF y SABSA no son mutuamente excluyentes, sino metodologías complementarias. TOGAF (marco de arquitectura empresarial) se enfoca en alinear la tecnología y el negocio en general, mientras que SABSA (marco de arquitectura de seguridad) se especializa en diseñar sistemas de seguridad y gestión de riesgos.

¿En qué consisten?

  • TOGAF (The Open Group Architecture Framework): Es un marco estándar para diseñar, planificar e implementar arquitecturas empresariales. Proporciona una metodología estructurada (ADM - Método de Desarrollo de Arquitectura) para alinear los objetivos de negocio con la infraestructura tecnológica (aplicaciones, datos y hardware).
  • SABSA (Sherwood Applied Business Security Architecture): Es un marco enfocado en el diseño de soluciones de seguridad robustas y la gestión del riesgo cibernético. Su propósito principal es asegurar que los programas de seguridad impulsen y protejan los objetivos comerciales en lugar de obstaculizarlos.

Comparativa: Enfoque y Alcance

CaracterísticaTOGAFSABSA
Enfoque principalArquitectura Empresarial (General)Arquitectura de Seguridad
OrientaciónTecnológica y de procesosEstratégica y de negocios
Estructura metodológicaMétodo genérico adaptable (ADM)Modelo matricial de 6 capas y 6 atributos
AlcanceAmplio (negocio, datos, apps, tecnología)Especializado (riesgo y seguridad)

Integración: Lo mejor de ambos mundos

Integrar ambos marcos es una práctica estándar en la industria. La guía oficial de The Open Group recomienda fusionarlos de la siguiente manera:
  1. Uso de TOGAF como estructura: Emplear el ciclo ADM de TOGAF para establecer el andamiaje y la gestión general del proyecto.
  2. Implementación de SABSA en la seguridad: Integrar las técnicas, plantillas y análisis de riesgos de SABSA en las fases específicas de diseño tecnológico y de TI de TOGAF.
  3. Resultado: Se logra una arquitectura empresarial global donde la seguridad cibernética está alineada desde el inicio con la estrategia de la compañía, logrando que sea medible y gestionada correctamente.

Certificación y Mercado

  • TOGAF: Muy solicitado en Estados Unidos, ideal para quienes buscan ser Arquitectos Empresariales. Los exámenes (Parte 1 y 2 combinados) tienen un costo promedio de $625 USD.
  • SABSA: Preferido en regiones como Asia-Pacífico y el sector financiero, enfocado en CISO (Directores de Seguridad de la Información) y Consultores de Riesgo.

Adopción TOGAF y SABSA

Para la Adopción de TOGAF y SABSA se considerá el mapa de ruta y el diagrama de referencia para adoptar e integrar SABSA dentro del ciclo TOGAF ADM.
La clave de esta adopción es que la seguridad no se añade al final, sino que los artefactos de SABSA (como la matriz de 6x6 y los atributos de negocio) se inyectan en cada fase del desarrollo de la arquitectura empresarial.

Diagrama de Referencia: Inyección de SABSA en TOGAF ADM

El siguiente diagrama ilustra cómo las fases de TOGAF ADM (representadas en el flujo circular externo) se nutren y se validan con las capas correspondientes de la matriz SABSA (en el núcleo del diseño).
Diseño Propio

Mapeo de Adopción Paso a Paso

Para implementar esta referencia en tu organización, debes seguir este orden de acoplamiento:
  1. Fase Preliminar y Fase A (Visión de la Arquitectura)
    • SABSA Contextual: Define los objetivos del negocio y los impulsores de seguridad.
    • Artefacto: Acta de constitución de la arquitectura que incluye el perfil de riesgos inicial.
  2. Fase B (Arquitectura de Negocio)
    • SABSA Conceptual: Define los Atributos de Negocio de SABSA (ejemplo: Confidencialidad, Disponibilidad, Cumplimiento).
    • Artefacto: Métricas de rendimiento de seguridad (KPIs) y taxonomía de riesgos del negocio.
  3. Fase C (Arquitectura de Sistemas de Información) y Fase D (Arquitectura Tecnológica)
    • SABSA Lógica y Física: Diseña las zonas de seguridad, las políticas de control de acceso, los servicios de confianza y la infraestructura de criptografía/redes.
    • Artefacto: Modelos de datos seguros, topologías de red segmentadas y esquemas de identidad (IAM).
  4. Fase E (Oportunidades y Soluciones) y Fase F (Planificación de la Migración)
    • SABSA de Componentes: Selecciona las herramientas de software, hardware y proveedores que cumplen con los requisitos anteriores.
    • Artefacto: Matriz de trazabilidad que demuestra cómo cada producto cubre un atributo de negocio específico.
  5. Fase G (Gobernanza de la Implementación) y Fase H (Gestión de Cambios de la Arquitectura)
    • SABSA de Gestión: Establece la supervisión continua, auditorías, gestión de incidentes y el ciclo de vida operativo de la seguridad.
    • Artefacto: Tableros de control de cumplimiento (Dashboards) y manuales de respuesta a incidentes.

El objetivo principal de la adopción conjunta de TOGAF y SABSA es conectar la estrategia y los riesgos empresariales con la infraestructura tecnológica. Mientras TOGAF alinea las TI con los objetivos del negocio para mejorar la eficiencia y flexibilidad general, SABSA asegura que la gestión de riesgos y la ciberseguridad respalden y habiliten esas metas u objetivos del negocio.

Matriz de Trazabilidad de Arquitectura Segura

Además, la Matriz de Trazabilidad de Arquitectura Segura es una herramienta que vincula directamente los objetivos de negocio y los riesgos con los controles técnicos de seguridad. Su propósito es demostrar de forma visual que cada medida de seguridad implementada tiene una justificación comercial real.

¿Para qué sirve?

  • Justificar inversiones: Demuestra por qué se gasta presupuesto en una tecnología específica de seguridad.
  • Evitar brechas: Identifica si algún requerimiento de seguridad o riesgo crítico quedó sin protección.
  • Eliminar controles redundantes: Detecta herramientas o procesos de seguridad innecesarios que no mitigan ningún riesgo real.
  • Facilitar auditorías: Proporciona evidencia clara a los auditores de que la seguridad cumple con las normativas legales.
  • Medir el impacto: Permite ver cómo un cambio en el negocio afecta a la infraestructura tecnológica y viceversa.

¿Cuál es su importancia?

Su importancia radica en que une el mundo estratégico con el técnico, un concepto fundamental al integrar TOGAF y SABSA.
Sin esta matriz, la seguridad informática se diseña "a ciegas" o basándose solo en corazonadas técnicas. Al usarla, la organización garantiza que la ciberseguridad no sea un obstáculo operativo, sino un habilitador del negocio que protege el valor de la empresa de manera medible y eficiente.

Referencia:

Publicar un comentario

0 Comentarios