Anil Oberai dio una visión general bastante típica de cómo la mayoría de las empresas ven el papel. Más allá de la propaganda al final de su publicación, no estoy seguro de cuán extensa es su experiencia en arquitectura directa, así que permítanme responder como un arquitecto de seguridad en ejercicio que tiene la certificación SABSA Charted Architect.
En el contexto de un programa de seguridad maduro, el arquitecto de seguridad es efectivamente el puente entre “el negocio” o los clientes de seguridad y los equipos técnicos que son expertos detallados en la mayoría de las cosas que normalmente se ven en “seguridad “Publicaciones: controles de seguridad (antivirus / malware, cortafuegos, listas blancas de aplicaciones, etc.),” piratería “, pruebas de penetración, análisis de amenazas, especialistas en cumplimiento y ese tipo de cosas.
En este rol, el arquitecto de seguridad realmente necesita “saber lo suficiente como para ser peligroso” en al menos las siguientes áreas:
- ¿Por qué WordPress no se protege de la violación y piratería?
- ¿Cuáles son los mayores defectos de seguridad en nuestras vidas digitales?
- ¿Hay alguna manera de hackear Link 16?
- ¿Qué puede influir en la seguridad percibida?
- ¿Cuál es el método de cifrado más seguro disponible?
- Comunicaciones, incluyendo hablar en público, escuchar activamente y técnicas de entrevista.
- La psicología de la influencia y la persuasión.
- Análisis de Negocios y Estrategia de Negocios
- Análisis de procesos y descomposición
- Análisis de requerimientos
- Evaluación de riesgos y modelado de amenazas
- Arquitectura empresarial y sistemas comunes y patrones de integración empresarial
- Arquitectura de software y prácticas de desarrollo
- Componentes de hardware e infraestructura física.
- Tecnologías de red, protocolos e infraestructura.
- Las principales tecnologías y proveedores utilizados por la organización.
- La oferta actual de tecnología, servicio y soluciones de proveedores.
- El pasado, las tendencias actuales y emergentes en los negocios, la tecnología y la seguridad.
Hay más, pero estos son los que fácilmente me vienen a la mente. Dependiendo de la amplitud y profundidad de su conocimiento en estas áreas, puede desempeñar uno o más roles de arquitecto de seguridad especializado:
- Arquitecto de seguridad de aplicaciones : he visto este título, pero en realidad es más un rol de especialista porque el enfoque está realmente en el nivel de la aplicación y no mucho más. Sin embargo, es lo que comúnmente se conoce como un “arquitecto de dominio” porque se centra solo en un dominio específico dentro del entorno empresarial general.
- Arquitecto de seguridad de red : un arquitecto de dominio que se centra más en redes seguras, pero básicamente cualquier arquitecto de red también debe tener la capacidad de diseñar redes seguras.
- Arquitecto de seguridad de infraestructura : un arquitecto de dominio que se centra en las consideraciones de hardware y seguridad física asociadas con centros de datos, sitios remotos, conmutación por error, continuidad comercial y recuperación ante desastres (BC / DR) a nivel de infraestructura.
- “Variedad de jardín” o Arquitecto de seguridad de soluciones : es una especie de arquitecto genérico que se esperaría que comprenda más sobre la integración de sistemas y los requisitos de seguridad de soluciones en al menos los dominios de aplicaciones, redes e infraestructura, pero no se espera que tenga un profundo comprensión de cualquier cosa más allá de un solo programa, solución o iniciativa importante. Los arquitectos en este nivel generalmente se encuentran en consultorías más grandes que ofrecen implementaciones de soluciones importantes, por ejemplo, programas de $ 10M +, pero los programas de $ 100M + también podrían tener solo arquitectos de seguridad de soluciones senior.
- Arquitecto de seguridad empresarial : este es, en mi experiencia, el alcance más amplio de todos, y se espera que sepan, comprendan y puedan demostrar de manera confiable que mantienen a toda la organización a salvo de todas las amenazas de seguridad relevantes en todos los dominios. También se espera que estos arquitectos se sientan cómodos interactuando y presentando información útil y procesable a los equipos de gestión ejecutiva y a la junta directiva de la organización, según sea necesario, para que tengan la confianza de que se están haciendo las cosas correctas de una manera que permita a la empresa entregar su estrategia
En la mayoría de los casos, hay una progresión natural de los arquitectos a nivel de dominio a áreas de responsabilidad cada vez más amplias y, dependiendo de la organización, cuanto más amplio sea el alcance del arquitecto de seguridad, más superposición y potencial habrá una integración entre “estándar ”Solution and Enterprise Architects y“ security ”Solution and Enterprise Architects porque las habilidades necesarias para tener éxito son realmente las mismas.
Una verdad desafortunada es que muchas organizaciones realmente no entienden o no están de acuerdo con esas definiciones, y tienen una visión muy limitada tanto de la “seguridad” como de lo que se supone que debe hacer un “arquitecto de seguridad”. En muchas organizaciones, esto se reduce a pensar que si tengo lo que llamo un Arquitecto de Seguridad de Red, han marcado la casilla y tienen todo lo que necesitan para estar “seguros” y mantenerse al margen de los documentos.
Como vemos casi a diario ahora, esta es una suposición peligrosa de hacer.
Si se pregunta por qué sigo poniendo “seguridad” y “seguro” entre comillas, es porque no hay una única definición de seguridad. La seguridad siempre es una propiedad de otra cosa, y es lo que tienes si las personas a las que se supone que debes apoyar tienen la confianza de que lograrán lo que se propusieron hacer.
Si está interesado en una versión más amplia de esta definición de seguridad, he escrito sobre esto un par de veces en el blog de Archistry.
Otra forma de describir lo que hace un arquitecto de seguridad es decir que toma las decisiones que serán difíciles de cambiar más adelante con respecto a la forma en que se brindará la seguridad para respaldar la aplicación, la solución o la empresa en particular en su conjunto.
Definen los conceptos centrales, identifican los tipos de riesgos que son más importantes y agrupan las cosas en la organización que están sujetas a esos riesgos, además de definir las interacciones principales (lo que llamamos “arquitectónicamente significativas”) entre esos grupos. También definen la estrategia general y la hoja de ruta para la evolución del programa de seguridad en función de la prioridad de esos riesgos para el negocio.
Otras partes importantes de lo que hacen los arquitectos de seguridad es descubrir cómo comunicar de manera efectiva la forma en que se implementa la seguridad tanto para “el negocio” como para los equipos técnicos, y también definen la forma en que se medirá y se informará a la eficacia de las soluciones de seguridad equipos de gestión.
Como puede ver, es un trabajo bastante grande que requiere mucho entrenamiento (formal o de otro tipo) y mucha experiencia para hacerlo bien. He tenido algún tipo de rol de arquitectura “más grande que la aplicación” durante más de 20 años, trabajando en proyectos masivos que valen muchos decenas de millones y más tecnologías y componentes de los que recuerdo, y consideraría que todavía estoy aprendiendo.
Dado que esta pregunta también está etiquetada como un consejo profesional, también diría que a menudo es un trabajo poco apreciado, con poco personal, frustrante pero gratificante y, a veces, solitario, en el que debe tener la confianza para tomar una decisión que considera correcta y llevarlo a cabo a pesar de mucha presión y resistencia, mientras que al mismo tiempo siempre estar abierto a la realidad de que podría haber entendido todo mal y no haber cumplido un requisito crítico o una suposición solo porque no logró hablar con la persona correcta personas o estaban al tanto de un detalle crítico de implementación.
(También debe sentirse cómodo pensando en oraciones grandes que a veces se vuelven largas y complicadas solo para tocar todo lo que necesita explicar …)
Debe ser adaptable y seguro, ciertamente no arrogante, y debe ser capaz y estar dispuesto a lograr un equilibrio entre la teoría y la práctica para que uno siempre alimente e influya en el otro.
Sin duda, es uno de los roles más interesantes y gratificantes que he tenido en mi carrera, y mi experiencia como arquitecto me ha permitido comprender mejor lo que se necesita para comenzar y dirigir empresas de tecnología y servicios.
Realmente no conozco ninguna otra disciplina que brinde un mejor equilibrio para liderar las organizaciones del mañana que la experiencia que obtienes como Arquitecto de Seguridad Empresarial.
Si ya es un arquitecto de seguridad en ejercicio y desea trabajar más rápido, ofrecer resultados mejores y medibles y demostrar de manera confiable a los líderes empresariales que está haciendo las cosas correctas para mantener segura a su organización, puedo ayudar, GRATIS como parte de nuestro programa -Valor, programa de arquitectura de seguridad de alta velocidad. También puedes conectarte conmigo en Archistry, Twitter y LinkedIn.