¿Qué hace principalmente un arquitecto de seguridad?

Anil Oberai dio una visión general bastante típica de cómo la mayoría de las empresas ven el papel. Más allá de la propaganda al final de su publicación, no estoy seguro de cuán extensa es su experiencia en arquitectura directa, así que permítanme responder como un arquitecto de seguridad en ejercicio que tiene la certificación SABSA Charted Architect.

En el contexto de un programa de seguridad maduro, el arquitecto de seguridad es efectivamente el puente entre “el negocio” o los clientes de seguridad y los equipos técnicos que son expertos detallados en la mayoría de las cosas que normalmente se ven en “seguridad “Publicaciones: controles de seguridad (antivirus / malware, cortafuegos, listas blancas de aplicaciones, etc.),” ​​piratería “, pruebas de penetración, análisis de amenazas, especialistas en cumplimiento y ese tipo de cosas.

En este rol, el arquitecto de seguridad realmente necesita “saber lo suficiente como para ser peligroso” en al menos las siguientes áreas:

  • Comunicaciones, incluyendo hablar en público, escuchar activamente y técnicas de entrevista.
  • La psicología de la influencia y la persuasión.
  • Análisis de Negocios y Estrategia de Negocios
  • Análisis de procesos y descomposición
  • Análisis de requerimientos
  • Evaluación de riesgos y modelado de amenazas
  • Arquitectura empresarial y sistemas comunes y patrones de integración empresarial
  • Arquitectura de software y prácticas de desarrollo
  • Componentes de hardware e infraestructura física.
  • Tecnologías de red, protocolos e infraestructura.
  • Las principales tecnologías y proveedores utilizados por la organización.
  • La oferta actual de tecnología, servicio y soluciones de proveedores.
  • El pasado, las tendencias actuales y emergentes en los negocios, la tecnología y la seguridad.

Hay más, pero estos son los que fácilmente me vienen a la mente. Dependiendo de la amplitud y profundidad de su conocimiento en estas áreas, puede desempeñar uno o más roles de arquitecto de seguridad especializado:

  • Arquitecto de seguridad de aplicaciones : he visto este título, pero en realidad es más un rol de especialista porque el enfoque está realmente en el nivel de la aplicación y no mucho más. Sin embargo, es lo que comúnmente se conoce como un “arquitecto de dominio” porque se centra solo en un dominio específico dentro del entorno empresarial general.
  • Arquitecto de seguridad de red : un arquitecto de dominio que se centra más en redes seguras, pero básicamente cualquier arquitecto de red también debe tener la capacidad de diseñar redes seguras.
  • Arquitecto de seguridad de infraestructura : un arquitecto de dominio que se centra en las consideraciones de hardware y seguridad física asociadas con centros de datos, sitios remotos, conmutación por error, continuidad comercial y recuperación ante desastres (BC / DR) a nivel de infraestructura.
  • “Variedad de jardín” o Arquitecto de seguridad de soluciones : es una especie de arquitecto genérico que se esperaría que comprenda más sobre la integración de sistemas y los requisitos de seguridad de soluciones en al menos los dominios de aplicaciones, redes e infraestructura, pero no se espera que tenga un profundo comprensión de cualquier cosa más allá de un solo programa, solución o iniciativa importante. Los arquitectos en este nivel generalmente se encuentran en consultorías más grandes que ofrecen implementaciones de soluciones importantes, por ejemplo, programas de $ 10M +, pero los programas de $ 100M + también podrían tener solo arquitectos de seguridad de soluciones senior.
  • Arquitecto de seguridad empresarial : este es, en mi experiencia, el alcance más amplio de todos, y se espera que sepan, comprendan y puedan demostrar de manera confiable que mantienen a toda la organización a salvo de todas las amenazas de seguridad relevantes en todos los dominios. También se espera que estos arquitectos se sientan cómodos interactuando y presentando información útil y procesable a los equipos de gestión ejecutiva y a la junta directiva de la organización, según sea necesario, para que tengan la confianza de que se están haciendo las cosas correctas de una manera que permita a la empresa entregar su estrategia

En la mayoría de los casos, hay una progresión natural de los arquitectos a nivel de dominio a áreas de responsabilidad cada vez más amplias y, dependiendo de la organización, cuanto más amplio sea el alcance del arquitecto de seguridad, más superposición y potencial habrá una integración entre “estándar ”Solution and Enterprise Architects y“ security ”Solution and Enterprise Architects porque las habilidades necesarias para tener éxito son realmente las mismas.

Una verdad desafortunada es que muchas organizaciones realmente no entienden o no están de acuerdo con esas definiciones, y tienen una visión muy limitada tanto de la “seguridad” como de lo que se supone que debe hacer un “arquitecto de seguridad”. En muchas organizaciones, esto se reduce a pensar que si tengo lo que llamo un Arquitecto de Seguridad de Red, han marcado la casilla y tienen todo lo que necesitan para estar “seguros” y mantenerse al margen de los documentos.

Como vemos casi a diario ahora, esta es una suposición peligrosa de hacer.

Si se pregunta por qué sigo poniendo “seguridad” y “seguro” entre comillas, es porque no hay una única definición de seguridad. La seguridad siempre es una propiedad de otra cosa, y es lo que tienes si las personas a las que se supone que debes apoyar tienen la confianza de que lograrán lo que se propusieron hacer.

Si está interesado en una versión más amplia de esta definición de seguridad, he escrito sobre esto un par de veces en el blog de Archistry.

Otra forma de describir lo que hace un arquitecto de seguridad es decir que toma las decisiones que serán difíciles de cambiar más adelante con respecto a la forma en que se brindará la seguridad para respaldar la aplicación, la solución o la empresa en particular en su conjunto.

Definen los conceptos centrales, identifican los tipos de riesgos que son más importantes y agrupan las cosas en la organización que están sujetas a esos riesgos, además de definir las interacciones principales (lo que llamamos “arquitectónicamente significativas”) entre esos grupos. También definen la estrategia general y la hoja de ruta para la evolución del programa de seguridad en función de la prioridad de esos riesgos para el negocio.

Otras partes importantes de lo que hacen los arquitectos de seguridad es descubrir cómo comunicar de manera efectiva la forma en que se implementa la seguridad tanto para “el negocio” como para los equipos técnicos, y también definen la forma en que se medirá y se informará a la eficacia de las soluciones de seguridad equipos de gestión.

Como puede ver, es un trabajo bastante grande que requiere mucho entrenamiento (formal o de otro tipo) y mucha experiencia para hacerlo bien. He tenido algún tipo de rol de arquitectura “más grande que la aplicación” durante más de 20 años, trabajando en proyectos masivos que valen muchos decenas de millones y más tecnologías y componentes de los que recuerdo, y consideraría que todavía estoy aprendiendo.

Dado que esta pregunta también está etiquetada como un consejo profesional, también diría que a menudo es un trabajo poco apreciado, con poco personal, frustrante pero gratificante y, a veces, solitario, en el que debe tener la confianza para tomar una decisión que considera correcta y llevarlo a cabo a pesar de mucha presión y resistencia, mientras que al mismo tiempo siempre estar abierto a la realidad de que podría haber entendido todo mal y no haber cumplido un requisito crítico o una suposición solo porque no logró hablar con la persona correcta personas o estaban al tanto de un detalle crítico de implementación.

(También debe sentirse cómodo pensando en oraciones grandes que a veces se vuelven largas y complicadas solo para tocar todo lo que necesita explicar …)

Debe ser adaptable y seguro, ciertamente no arrogante, y debe ser capaz y estar dispuesto a lograr un equilibrio entre la teoría y la práctica para que uno siempre alimente e influya en el otro.

Sin duda, es uno de los roles más interesantes y gratificantes que he tenido en mi carrera, y mi experiencia como arquitecto me ha permitido comprender mejor lo que se necesita para comenzar y dirigir empresas de tecnología y servicios.

Realmente no conozco ninguna otra disciplina que brinde un mejor equilibrio para liderar las organizaciones del mañana que la experiencia que obtienes como Arquitecto de Seguridad Empresarial.

Si ya es un arquitecto de seguridad en ejercicio y desea trabajar más rápido, ofrecer resultados mejores y medibles y demostrar de manera confiable a los líderes empresariales que está haciendo las cosas correctas para mantener segura a su organización, puedo ayudar, GRATIS como parte de nuestro programa -Valor, programa de arquitectura de seguridad de alta velocidad. También puedes conectarte conmigo en Archistry, Twitter y LinkedIn.

Related Content

¿Podría una persona pagarle a un hacker extranjero para sacar a Quora de la red?

¿Puedo averiguar si alguien está espiando la pantalla de mi computadora?

¿Ringcentral es seguro contra la piratería?

¿Alguna vez ha pirateado accidentalmente un software de seguridad porque era impaciente?

¿Cómo se asegura Slack / Hipchat de que los mensajes del usuario son secretos, incluso de sus empleados que tienen acceso a la base de datos?

¿Qué hace principalmente un arquitecto de seguridad?

El Arquitecto de seguridad de la información desempeña un papel clave, como parte del equipo existente de Seguridad de la información, para respaldar varios programas nuevos (y de transformación) de la compañía.

Es responsable de liderar el diseño de la solución de seguridad para varios proyectos, mientras traduce los principios de la arquitectura de dominio en pasos prácticos mientras evalúa los diseños arquitectónicos contra la política de seguridad, asegurando que se anticipan los riesgos y se implementan planes de mitigación y sugiere los cambios necesarios.

Para hacer esto, es esencial mantenerse al día con los nuevos desafíos y amenazas para la industria de la seguridad. Además, se espera que aplique el conocimiento de las soluciones de seguridad actuales de la industria y alinee estas tendencias con los programas, el negocio y los problemas de TI.

Al informar al Jefe de TI (depende del tamaño y la estructura de la Organización), un arquitecto de Seguridad será el responsable de encabezar la arquitectura de seguridad general desde la estrategia hasta la entrega y tal vez incluso liderar un pequeño equipo.

Otras responsabilidades clave para este rol podrían incluir lo siguiente, dependiendo del tamaño de la organización y sus requisitos

  • Gestión de amenazas e investigación de respuesta a incidentes.
  • Diseño, implementación, revisión y mantenimiento de controles técnicos de seguridad.
  • Administre el desarrollo y el crecimiento de todos los controles técnicos de seguridad en redes y aplicaciones.
  • Comprender y rastrear las amenazas y tecnologías emergentes y su amenaza potencial para la organización
  • Liderar la función de arquitectura de la solución y los equipos de proyecto que trabajan en iniciativas de seguridad cibernética.
  • Interfaz con departamentos de seguridad internos y enlace con expertos en seguridad externos.
  • Comunique claramente los problemas de seguridad y riesgo a las partes interesadas tanto técnicas como no técnicas.

En general, se espera que mejore la hoja de ruta de seguridad de los sistemas existentes que requieren transformación, así como los nuevos proyectos.

Soy un consultor de TI que brinda ayuda en áreas de seguridad de la información, gestión de proyectos y excelencia de procesos. Para obtener más información, póngase en contacto conmigo a través de mi sitio web Anil Oberai, CEO de Oberai IT Consultancy

Andrew Townley

More Interesting

¿Podemos evitar por completo las amenazas de seguridad?

¿Cuál es el mejor producto de firewall de próxima generación? ¿Cuál es la diferencia con la próxima generación de IPS? ¿Quién probablemente ganará? Sourcefire? Cisco? ¿Control? ¿Palo Alto?

¿Qué son los certificados de seguridad digital?

Como hacer un buen juego

¿Era la criptografía mucho más emocionante de lo que es hoy en día, ya que la criptografía moderna depende en gran medida de la programación de computadoras?

¿La seguridad cibernética incluye piratería?

¿Por qué no puedo encontrar un trabajo en el campo de la seguridad cibernética a pesar de la escasez?

Quiero hacer proyecto en seguridad de la información. ¿Cuáles son algunos buenos temas?

¿Cuáles son algunos sitios web que comúnmente dan a los popups 'su computadora tiene un virus'?

Si te piratean, ¿lo sabrás?

Cómo desbloquear mi cuenta de Facebook de hackers

¿Cuál es el mejor antivirus para Android en Play Store que 'vale' y funciona de verdad?

¿Cuál es la diferencia entre la seguridad de CompTIA y la seguridad de CCNA?

En términos simples, ¿cuál es la diferencia entre malware y virus informáticos?

¿Realmente no hay un programa de computadora que pueda entender un CAPTCHA? Si no, ¿cuánto tiempo pasará antes de que este sistema sea obsoleto?