O que é Arquitetura de Segurança e o que mais você precisa saber

Mais do que nunca, as soluções de segurança precisam ser estratégicas, ao invés de práticas pontuais para resolver problemas. A arquitetura de segurança é a base da solução estratégica.

Podemos definir a arquitetura de segurança de diversas formas, mas a principal é como um conjunto de soluções que visa proteger um bem valioso.

Quando aplicamos isso às empresas, a arquitetura deve corresponder aos objetivos e à cultura organizacional do negócio. 

Hoje, os dados são os bens mais valiosos de muitas empresas, e a arquitetura de segurança age como uma proteção a longo prazo de software e hardware.

E com os constantes ataques de hackers e as novas regras, como a LGPD, tornam a segurança de dados ainda mais importante.

Apresentamos neste artigo os pontos-chave para entender o que é a arquitetura de segurança e como você pode aplicá-la à sua estratégia de segurança.

 

Conceitos da arquitetura de segurança

Embora a arquitetura de segurança seja um conjunto de princípios, políticas e padrões estabelecidos para a segurança de algo, a sua aplicação é adequada a cada empresa de maneiras diferentes.

Isso acontece porque é imprescindível que a arquitetura respeite a cultura organizacional e seja aplicada de forma objetiva na segurança. 

Portanto, cada empresa necessita organizar sua estratégia e montar sua própria arquitetura, com a ajuda de profissionais especializados, como um arquiteto de segurança.

Mesmo assim, indo além das personalizações, podemos dividir a arquitetura de segurança em três principais metodologias

 

The Open Group Architecture Framework (TOGAF)

O Open Group Architecture Framework, ou TOGAF, auxilia a encontrar quais vulnerabilidades devem ser prevenidas com a arquitetura de segurança. 

O TOGAF não oferece soluções e orientações específicas. A sua aplicação é focada na fase preliminar, sendo o primeiro passo para a construção da estratégia. 

Os resultados do TOGAF são:

  • Definição de princípios, objetivos e direcionadores de negócios;
  • Roteiro da arquitetura de segurança, com detalhamento de ações individuais, prazos e progresso da aplicação;
  • Definição do pacote de funcionalidades, projetado para atender às necessidades de negócios da organização;
  • Especificação de requisitos de arquitetura de segurança, fornecendo uma visão quantitativa da solução, com critérios mensuráveis ​​que devem ser atendidos durante a aplicação.

 

Sherwood Applied Business Security Architecture (SABSA)

Já o Sherwood Applied Business Security Architecture, ou SABSA, trata dos principais pontos a serem tratados e o quê, quem, quando e por quê aplicar a segurança.

Essa metodologia é responsável por garantir que os objetivos projetados sejam entregues como parte integrante do gerenciamento de TI da empresa.

Porém, mesmo sendo uma metodologia da arquitetura de segurança, o SABSA não apresenta orientações técnicas para a aplicação. Alguns de seus resultados são:

  • Definição do modelo de atributos de negócios, que reúne os requisitos de negócios, detalhando ações e diretrizes para uma variedade de atributos importantes para a organização;
  • Apresentação da estratégia de segurança definitiva, com mapeamento de objetivos e perfil de atributos da empresa;
  • A estrutura da política de segurança que será aplicada, considerando as políticas e domínios de segurança que a empresa deve seguir, conforme os padrões mais recentes de cibersegurança, leis e órgãos reguladores.

 

Open Security Architecture (OSA)

Por fim, o Open Security Architecture, ou OSA, é a metodologia responsável pela funcionalidade e controles técnicos da arquitetura de segurança.

Com a OSA é possível ter uma visão geral sobre as principais questões de segurança, com conceitos, componentes e princípios a serem considerados na arquitetura.

A aplicação do OSA é feita após a projeção inicial da arquitetura de segurança. Os seus resultados principais são:

  • Definição de controles técnicos de segurança, como controles de acesso, proteção do sistema, varreduras de segurança, etc.;
  • Proteção de software e integridade de dados, por meio de uma taxonomia de técnicas de proteção de integridade de software.

 

Vantagens da arquitetura de segurança 

A arquitetura de segurança tem a padronização como sua principal vantagem. É dessa forma que os dados ou qualquer outro bem valioso para a organização se protegem contra vulnerabilidades.

A prevenção de ataques, bugs e inconsistências também tem vantagem financeira, já que é mais barata do que lidar com um imprevisto grave, que pode comprometer os bens da empresa.

Com a arquitetura de segurança, a sua gestão de vulnerabilidades é otimizada, com recursos e brechas já mapeados. 

Se antecipar às adversidades é a melhor forma de lidar com os riscos operacionais de um negócio, principalmente quando falamos de gerenciamento de dados.

Portanto, o investimento em segurança e medidas preventivas supera o custo-benefício, pois evita:

  • Processos por vazamento de dados sensíveis e brechas que infringem a LGPD;
  • Perdas de geração de receita por inatividade do sistema;
  • Gastos com ações emergenciais, como ataques ransomwares e DoS (Denial of Service).

Porém, é importante frisar que os bens segurados devem ter valores de acordo com as medidas adotadas na segurança. 

Bens de valores financeiros, ou de importância, mais altos devem contar com protocolos de segurança mais robustos. Já bens de grau inferior podem não justificar protocolos que ultrapassem seu valor. 

Nesses casos, o ideal é balancear os custos e adotar medidas que sejam mais abrangentes, protegendo mais recursos com uma manutenção proporcional.

 

Como aplicar a arquitetura de segurança?

A aplicação da arquitetura de segurança precisa ser feita em consonância com a cultura organizacional da empresa e os procedimentos de gestão de vulnerabilidades.

Para criar a arquitetura que se adéque ao seu modelo de negócios, é importante ter atenção aos seguintes pontos:

  • Avaliação de riscos, considerando quais são os ativos mais importantes, vitais para a organização e quais são suas principais vulnerabilidades evitáveis;
  • Formas de implementação, definindo serviços e processos de segurança que serão implantados de acordo com o padrão de segurança da organização, além do mapeamento de como será feito o gerenciamento de vulnerabilidades no dia a dia;
  • Monitoramento de vulnerabilidades, com acompanhamento e realização de testes periódicos para assegurar que os protocolos estão ativos e permanecem eficazes na mitigação de riscos. 

A arquitetura também deve considerar outros fatores, protegendo tanto software quanto hardware envolvidos nas operações. 

Dessa forma, a arquitetura de segurança também garante a alta disponibilidade, que é uma metodologia indispensável para a segurança de qualquer empresa.

A arquitetura de segurança aplicada junto às técnicas de alta disponibilidade previne e gerencia diferentes vulnerabilidades, se antecipando aos problemas e oferecendo soluções automatizadas.

Para saber mais como essa prática funciona, com técnicas e principais vulnerabilidades que podem ser prevenidas, não deixe de ler nosso artigo sobre alta disponibilidade.



Receba novidades:







    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *