Enterprise Security Architecture, A Business Driven Approach Kappaleet 7 ja 8
Chapter 7: Using this book as a practical guide -SABSA -mallin käyttöönotto yrityksessä -Näkökulmaa malliin erään suomalaisen IT-alan pk-yrityksen silmin Disclaimer: esitetyt näkemykset ovat puhujan omia, eivätkä välttämättä edusta yrityksen, sen työntekijöiden tai johdon, osakkeenomistajien, yhteistyökumppanien tai asiakkaiden mielipiteitä. ;)
SABSA Lifecycle for security architecture Strategy and concept Manage & Measure Implement Design
Assets Motivation People Location Time Logical.......... Physical.. Component Operational Ei välttämätöntä toteuttaa SABSA-matriisin avulla, mutta mahdollistaa strukturoidun ja kattavan lähestymistavan Lähestymistavassa samanhenkisyyttä tuloskorttiohjauksen kanssa
Contextual layer Critical Business Processes and Models What? Business Drivers Why? Success Factors When? Time How? Function Who? People Where? Location Assets Risks Criticality Dependency Responsibility Logistics Attributes Profile Control Objectives Time Model Trust Model Domain Model Conceptual Layer Security Strategy
Cover Your Ass -phase Strategy & Concept -vaiheen jälkeen arkkitehtuurille johdon hyväksyntä sign off buy in Jos kyseessä ei ole oma suunnitelma, huolellinen katselmointi ja validointi poikkeavien näkemysten dokumentointi
Design Phase Logical Security Architecture Development Process yksittäisten kehitysprojektien roadmap, ei toiminnallista määrittelyä Physical Security Architecture Development Process Platformit, verkot, verkkojen fyysinen kuvaus (yhteydet, koneet,..) Component Security Architecture Development Process Teknologiat, tuotteet, työkalut, sovellusprosessit, protokollat Operational Security Architecture Development Process 51 eri prosessia / toimenpidettä ja 18 aliprosessia / -toimintamallia
Implementation Phase Ei yhtä monoliittista projektia sarja erillisiä käyttöönottoprojekteja (joukossa voi olla koko organisaation kattavia infrastruktuuriprojekteja) Vaiheen lopputuloksena kasa suunnitelmia (käyttöönotto, muutostenhallinta, testaus,..) Käyttöönoton lopputuloksena dokumentit (käyttöohjeet, tuki- ja koulutusmateriaalit, muutoshistoria, testiraportit)
Manage and Measure Phase Toimintaa seurataan Vaiheen tuotoksena raportit toiminnasta, tapahtumista, gap-analyysista ja kehitysohjelman suunnitelmat
Omia näkemyksiä Pk-yritykselle melko laaja (=kallis) turvallisuusarkkitehtuuri, amerikkalaislähtöinen mukautettava omiin tarpeisiin Jos käytössä ITIL/Visible Ops prosesseja, järkevintä ehkä sulauttaa osaksi näitä Matalassa organisaatiossa arkkitehtuuria ei välttämättä tarvitse jatkuvasti myydä Käyttöönotto edellyttää jo ennestään hyviä prosesseja Käyttöönoton aikataulu todennäköisesti 12kk tai enemmän, riippuen mitkä osat mallista otetaan käyttöön / miten paljon istuu entisiin toimintamalleihin Erittäin hyvä lähtökohta turvallisuuden kehittämiselle verrattuna muihin standardeihin - oikein toteutettuna tukee yrityksen businessta esim Payment Card Industry Data Security Standard huono lähtökohta tietoturvan kehittämiselle
Yhteenveto: SABSA Lifecycle for security architecture Strategy and concept Manage & Measure Implement Design Logical Security Architecture Physical Security Architecture Component Security Architecture Operational Security Architecture
Chapter 8: Managing the security architecture programme
Turvallisuuden myyminen yrityksen johdolle yleispätevää turvallisuusmyymisen käsittelyä, ei pelkästään SABSA-malliin sidottu Ratkaise business-ongelmia Maksimoi ROI (return on investment) Standardisoinnista ja mittakaavasta saatavat taloudelliset hyödyt Parempi corporate governance (vankilauhkalla pelottelu USA:ssa..)
Turvallisuuden myyminen yrityksen johdolle Parempi riskienhallinta Parempi varautumisaste muodolliselle auditoinnille (jos viranomaisvaatimukset sitovat Gartner -raporttien hyödyntäminen Valmius organisaatiouudistukselle ja uusille liiketoimintamahdollisuuksille Pienemmät käyttökustannukset Tuottavuuden kasvu paremman käyttäjätuen myötä Alempi TCO Yhtenäinen käyttäjäkokemus
Arkkitehtuurille saatava sponsorointi ja budjetti tuotava hyödyt esille vaikutettava myös sisäisiin myyjiin, ei pelkästään päättäjiin pohjautuu pitkälti taloushyötyjen esille tuontiin esim potentiaaliset vahingot menetetty tuottavuus
Teambuilding & Fast Track(tm) Workshops Belbinin määritelmä teamin jäsenistä Keksijä, tiedustelija, takoja, tekijä, viimeistelijä, arvioija, diplomaatti, kokooja eri vaiheet tiimityöskentelyssä Muodostuminen, kuohunta, normiutuminen, hyvä suoritus Fast Track (tm) workshopeilla hankkeen pikakäynnistys 10-16 hlöä ma-pe jakaudutaan pienempiin ryhmiin ja käsitellään pienempiä kokonaisuuksia tiedonkeruu suunnitelmat Konsultit apuna on-site ohjelman eri vaiheissa (ennen, jälkeen ja aikana)
Hankkeen ja projektinhallinta tiedonkeräys liiketoiminnasta business manageria haastattelut aiemmat materiaalit (auditointi raportit, strategiset dokumentit, konsulttien raportit, lehdistötiedotteet..) Teknisen tiedon kerääminen Teknisten managerien haastattelu Olemassaolevan teknisen dokumentaatio läpikäynti
Arkkitehtuurin hallinta Architecture Board varmistaa arkkitehtuurin liittyvien projektien vaatimustenmukaisuuden Design Authority raportoi Architecture Boardille, vastuussa arkkitehtuurin suunnittelusta kokonaisuutena Governance & compliance
Johdon pitkän aikavälin luottamus pikavoittojen esittely hyvien uutisten esittely säännöllisesti, 2kk välein tai tiheämmin tunnistettavien businesshyötyjen esittely vs rahaa palaa, mitään ei tapahdu
Omia näkemyksiä Kappaleessa ei juurikaan erityisesti SABSAan liittyvää sisältöä Pikakurssi johdolle myymiseen Matalassa organisaatiossa ei välttämättä tarvita jatkuvaa tuen varmistamista ja arkkitehtuurin uudelleenmyymistä johto mukana projektissa tai vähintään selvillä tilanteesta Edelleen, sulautettavissa yrityksin muihin prosesseihin Kehittyneet tietohallintoprosessit sisältävät todennäköisesti samoja asioita Business-näkökulman huomiointi koko suunnittelu- ja käyttöönottoprosessin ajan merkittävä (ts ei tehdä vain tekemisen ilosta)
Kommentteja, omia kokemuksia, vastanäkemyksiä, yleistä keskustelua..?