Security & Risk

Wat houdt Enterprise Security Architectuur in?

Enterprise Security Architectuur (ESA) gaat over het begrijpen van de strategische richting en zakelijke doelstellingen van de onderneming, en het nemen van maatregelen om risico's te beperken. ESA-praktijken bieden een uitgebreide en rigoureuze methode om de huidige en toekomstige staat van de beveiligingsecosysteem van een organisatie te beschrijven, te modelleren en te structureren.

Geïmplementeerd via projecten en programma's zal de beveiligingsstrategie concrete resultaten opleveren en zijn doelen bereiken ter ondersteuning van de bedrijfsstrategie. Dit verbetert de kans om die bedrijfsdoelen op een effectieve en efficiënte manier te bereiken door gebruik te maken van een consistente, systematische en gestructureerde aanpak.

 

Het is een essentieel onderdeel van de relatief snelle evolutie van de digitale economie en heeft betrekking op alle aspecten en lagen van een onderneming: variërend van technologische vooruitgang, procesinnovaties, bewustwording en training gericht op het beschermen van bedrijfsmiddelen tegen cyberaanvallen.

Een ESA die wordt gebouwd als gevolg van een gedefinieerde strategie vereenvoudigt het proces van het selecteren van de juiste mogelijkheden, waarbij zowel aan nalevings- als audit-vereisten wordt voldaan. 
Om deze reden moeten ook mogelijke misbruiken van systemen worden overwogen vanaf de basis van een ontwerp (of dit nu software is, een nieuwe infrastructuur, een proces, een transformatie- of overgangsprogramma, of een project).

Top-down benadering

Een top-down ESA-benadering kan worden gebruikt om een beveiligingsarchitectuur op te bouwen die wordt gestuurd door risicooptimalisatie en tegelijkertijd de maximale bedrijfswaarde nastreeft. Het is het beste om dit te combineren met een bottom-up benadering. Dit maakt het mogelijk om prioriteit te geven aan beveiligingsprojecten die als onderdeel van de architectuuranalyse zijn geïdentificeerd.

Nadat het raamwerk en de mogelijkheden voor de beveiligingsarchitectuur zijn ontwikkeld en de hiaten zijn geïdentificeerd, kan een implementatieplan (programma) worden opgesteld en uitgevoerd, waarbij prioriteiten worden gespecificeerd. Dit is meestal een langetermijninspanning, afhankelijk van de omvang, het budget en de volwassenheid van de organisatie. Het vereist ook voortdurende evaluatie en aanpassing gezien de snelle ontwikkelingen in de digitale economie.

In een context waar technologie cruciaal is om transformatie-initiatieven mogelijk te maken en te ondersteunen, en waar het een uitdaging is om de complexiteit en snelle veranderingen ervan te beheersen, is het primaire doel van een ESA:

  • Ervoor zorgen dat de bedrijfsstrategie en IT-beveiliging op een samenhangende en continue manier zijn afgestemd, op een agile manier.
  • In staat stellen om op informatie gebaseerde, op risico's gebaseerde besluitvorming te doen.
  • De context vaststellen voor het definiëren van beveiligingsdoelstellingen en de selectie van investeringen.
  • Een gemeenschappelijke taal bieden aan de organisatie en dienen als basis voor de cybersecurity-maatregelen van de organisatie, voor een holistisch end-to-end perspectief dat de bedrijfs- (product, juridisch, etc.) en technologieaspecten verbindt.

Wat beïnvloedt de ESA-praktijk en bepaalt het succes ervan?

Hoewel het wenselijk is om te standaardiseren en goede praktijken van andere organisaties toe te passen, heeft elke onderneming haar eigen kenmerken die tot uiting komen in haar ESA-praktijk. Bijvoorbeeld, iets belangrijks in een bepaalde omgeving kan minder belangrijk zijn in een andere omgeving.
Het is daarom belangrijk om de context te analyseren waarin de ESA-functie opereert, om de omgevingsfactoren te identificeren die in overweging moeten worden genomen, en te begrijpen hoe zij de ESA-functie zullen vormgeven. Dit helpt om de doelstellingen voor de beveiligingsarchitectuur te bepalen.

De ESA hoeft niet altijd vanaf het begin volledig te worden geïmplementeerd, maar kan geleidelijk in de loop van de tijd worden ontwikkeld. Dit stelt de organisatie in staat om een weloverwogen keuze te maken voor een beveiligingsarchitectuur die aansluit bij haar behoeften. Bepaalde omgevingsfactoren vormen onvermijdelijk de context waarin de beveiligingsarchitectuur-praktijk plaatsvindt.
En hoewel de grootte van een organisatie vaak de omvang en volwassenheid van haar beveiligingsarchitectuur-praktijk weerspiegelt, spelen ook andere factoren een belangrijke rol.

Lees er alles over in ons artikel '7 belangrijke punten die de Enterprise Security Architecture beïnvloeden en het succes ervan bepalen'.

Lees het artikel