The Jungle of Information Security Architecture

Kalo pakai analogi arsitektur rumah, maka Security Architecture itu seperti blueprint bagaimana sebuah perushaaan atau organisasi mengelola security-nya. Tak dapat mengelola kalau tak punya desain/blueprintnya, desain teknologinya, desain tata kelolanya sampai desain proses-proses penunjang yang harus dimiliki untuk memastikan semuanya bisa jalan. Bahkan beberapa framework/model secara eksplisit menuliskan pentingnya Security Awareness & Education. Jadi tak cuma masalah bagaimana desain teknologinya.

Berikut ini adalah beberapa arsitektur eksisting dan literatur yang pernah saya jadikan referensi, untuk satu klien saya.

  • Gartner – Structure and Content of an Enterprise Information Security Architecture

secarch-gartner.jpg

  • Deloitte – dapat dari salah satu presentasi konsultannya, via googling

secarch-deloitte.jpg

  • EY – dapat dari presentasinya orang Lucent, via googling juga

secarch-ey.jpg

  • ITU-T X.805 – Security Architecture for Systems Providing End-to-End Communications (ISO/IEC 18028)

secarch-x805.jpg

  • NAC – Tahun ini diakuisisi sama OpenGroup:

Security Architecture - NAC (OpenGroup)

  • Plus beberapa lieteratur berikut:
    • HP Security Handbook
    • Enterprise Security Architecture using IBM Tivoli Security Solutions
    • Guide to Security Architecture in TOGAF ADM
    • ISO/IEC 15408 – Security Common Criteria
    • ISO/IEC 27000 series
    • OWASP Guide – A Guide to Build Secure Web Application and Web Services – versi 2.1 (draft 3)
    • Beberapa literatur tambahan terkati SOA/Web Services Security, karena kebetulan saya harus menyesuaikan dengan arsitektur aplikasi di tempat klien saya yang telah ditetapkan mengadopsi konsep SOA.

Gartner, EY & Deloitte menawarkan cara pandang yang point-of-viewnya lebar, sehingga dari awal kita disadarkan apa saja yang mesti diperhatikan.

NAC lebih detail membahas di arsitektur teknikalnya, walaupun point-of-view-nya sama persis dengan Gartner, EY & Deloitte. Saya melihat hasil NAC paling futuristik, walaupun masih ada prerequisites yang belum solve untuk saat ini: bagaimana melakukan otomasi security policy lintas teknologi vendor? Intinya, belum semua requirement yang disebutkan NAC bisa diakomodir untuk teknologi saat ini. Itulah mengapa, requirement NAC itu menjadi salah satu masukan buat perusahaan2 security appliance kayak CISCO dsj untuk mendevelop produk-produk terbaru mereka.

Sementara X.805 sangat deep membahas di sisi networknya. Pembagian security dimensions, security layering & security plane paling menarik di sini.

Intinya, Security Architecture satu perusahaan akan beda dengan perusahaan lain, karena hal berikut ini:

  1. Konteks bisnis yang berbeda, dimana posisi security akan berbeda pula dalam mendukung bisnis perusahaan. Semakin kritikal security, semakin ketat requirement arsitekturnya.
  2. Setidaknya arsitektur security harus mencakup hal-hal berikut ini:
    • Analisa kebutuhan bisnis
    • Risk management untuk memilih tipe governance dan teknologi yang diinginkan
    • Security strategy & governance
    • Security operations, sebagai turunan teknis dari security governance
    • Technical architecture untuk memastikan konsistensi keberjalalan governance dan operations. Minimal harus mencakup arsitektur untuk domain:
      • System software & network
      • Business applications

Berikut ini yg masih penasaran:

  1. Bagaimana melakukan mapping dari X.805 ke security services-nya NAC? Kalau ini dapat, sungguh ok-lah tinjauan arsitektur System Software & Network Architecture-nya.
  2. Bagaimana mendapatkan satu deskripsi visual untuk berbagai macam arsitektur aplikasi? SOA/non-SOA? Web/non Web? Jangan Microsoft-oriented pula…. (Microsoft punya metodologi khusus untuk security ini, yg integrated sama SDLC mereka. But, off course, tak bisa langsung ceplok karena si Java sebagai contoh beda pula cara pandangnya) Terus terang bagian ini paling membuat pusing…

Selamat mengelaborasi juga…

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: