In dit drieluik positioneer ik een open en publieke methode die informatiebeveiliging toepast als ondersteuning van de business en niet als een beveiliging die juist de zakelijke kansen blokkeert. In het eerste deel schetste ik de huidige status die informatiebeveiliging vaak bij bedrijven heeft. Dit tweede deel beschrijft de zienswijze en methodiek die hierin verlichting kan brengen en in het derde deel beschrijf ik een case waarin deze zienswijze een belangrijke rol speelt.
Ontstaan van enterprise security architectuur
Het gebeurt in de praktijk vaak dat we een beveiligingsoplossing selecteren en implementeren op basis van een tactische behoefte. Ondanks dat het lijkt dat de business een gekozen oplossing stuurt is de business misschien wel de trigger maar meestal niet de sturing. In het geval van een urgente tactische behoefte wordt niet nagedacht over een afstemming met de business. De focus is op het probleem.
Het gevolg is een oplossing die voor het probleem prima werkt maar in het brede perspectief faalt. Suboptimale functionaliteit, overbodige hulpmiddelen en een mengeling van diverse oplossingen die onderling niet optimaal aansluiten. Maar ook zelfs oplossingen die met andere behoeften conflicteren. De kosten zijn nog een extra probleem. De aanschaf van licenties worden wel opgenomen, maar de langetermijnkosten worden niet meegenomen of zwaar onderschat. Daarbij bedoel ik natuurlijk de beheerkosten naar in het bijzonder de invloed op bijvoorbeeld de efficiëntie van de bedrijfsvoering. Die zijn dan uiteindelijk veel groter dan de inschatting bij eerste aanschaf. Er is in zo'n geval geen aanwijsbare strategische relatie tussen de bedrijfsdoelstellingen en de afwegingen bij het kiezen voor een oplossing.
De EISA
Een methode om dit soort ontwikkelingen te voorkomen is het bepalen van een enterprise security architectuur die door de zakelijke doelstellingen wordt gedreven. Deze beschrijft dan op een gestructureerde manier de relatie tussen zakelijke langetermijndoelstellingen enerzijds en de technische en procedurele beveiligingsoplossingen anderzijds. De verzamelingscriteria bij het kiezen voor een beveiligingshulpmiddel moeten duidelijk voortkomen uit de bedrijfsdoelstellingen. Een greep uit de afwegingen die we dan moeten doen:
– Wat is de behoefte voor kostenreductie?
– In hoeverre moeten deeloplossingen modulair zijn?
– Wat zijn de eisen rond herbruikbaarheid?
– Welke eisen zijn er rond schaalbaarheid?
– Welke eisen stellen we aan operationeel beheer?
– Hoe zwaar laten we gebruiksgemak wegen?
– Moeten deeloplossingen samen kunnen werken, zowel intern als extern?
– In hoeverre moet een deeloplossing passen binnen de bestaande omgeving?
Verder is beveiliging van informatiesystemen ook maar een deel van het bredere onderwerp informatiebeveiliging. En informatiebeveiliging zelf is ook maar onderdeel van het onderwerp business-security. Business-security kent drie gebieden, namelijk informatiebeveiliging, fysieke en omgevingsveiligheid en de bedrijfscontinuïteit. Business-security zelf kan ook een nog breder gebied beslaan als het operationeel risicobeheer daar aan toegevoegd wordt.
Een beveiligingsarchitectuur kan alleen maar passen in de bedrijfsarchitectuur als deze aandachtsgebieden worden meegenomen. Op die manier krijg je de garantie dat een beveiligingsoplossing niet de bedrijfsvoering hindert maar juist ondersteunt.
Het ontstaan van SABSA
Het team van SABSA heeft sinds 1995 gewerkt aan informatiebeveiligingsarchitecturen binnen hun opdrachten bij grote bedrijven. Daarbij hebben zij een model en methodiek toegepast dat nu bekend is onder de naam SABSA. Het SABSA-model is in de loop van de jaren vanuit de praktijk verder ontwikkeld, verfijnd en gecompleteerd.
Een kerneigenschap van SABSA is het feit dat alles terug te voeren valt tot de informatie-eisen die voortkomen uit de bedrijfsdoelstellingen. Dat leidt tot beveiliging van informatie die de zakelijke activiteit niet blokkeert maar juist expliciet ondersteunt of waar beveiliging juist zakelijke kansen creëert.
Het SABSA-model is gelaagd en begint met de vaststelling van eisen die direct voortvloeien uit de bedrijfsdoelstellingen. Elk lager niveau is een abstractielaag minder, de conceptuele architectuur, de logische architectuur, de fysiek en uiteindelijk de componentenarchitectuur waar de technologieselectie en productselectie plaatsvindt. Daaroverheen ligt de operationele architectuur, die zorgt voor de administratie en beheer.
Generiek model
Het SABSA-model is een generiek model waarmee je kunt starten binnen elke organisatie. Echter, de SABSA-methodiek leidt je door analyses en besluiten waarmee het model steeds verder een representatie wordt van het unieke bedrijfsmodel van een individuele organisatie. Daarmee wordt de enterprise security architectuur gevormd. Een architectuur die heel specifiek is voor die organisatie en een centrale, toetsende rol in een succesvol informatierisicobeheer vervult.
In het volgende en laatste deel van dit drieluik zal ik een veelvoorkomende case bespreken waarbij de SABSA-zienswijze en -methodiek een belangrijke rol speelt.
