Artikel

Integratie van TOGAF en SABSA een stap dichterbij

Geruime tijd wordt al nagedacht over een verbetering van de security paragraaf in TOGAF. Met de binnenkort te publiceren white paper over de integratie van SABSA in TOGAF wordt een eerste concrete stap gezet. Een opvallende nieuwe invalshoek is het sterke verband dat wordt gelegd tussen enterprise architectuur en operationeel risicomanagement.

Twee grote namen op het gebied van enterprise architectuur standaarden (The Open Group en het SABSA Instituut) slaan de handen ineen met een gezamenlijke publicatie van een white paper die in oktober 2011 zal verschijnen. Deze white paper geeft een aanzet tot de integratie van SABSA in TOGAF. De integratie van SABSA in TOGAF is een enorme stap voorwaarts voor het architectuur en security vakgebied. Het levert een aantal belangrijke voordelen op, zowel voor de architecten als voor de organisaties waarin zij werken.

Misschien wel de belangrijkste winst is het feit dat erkend wordt dat security architectuur een vanzelfsprekend onderdeel uitmaakt van de enterprise architectuur. Een van de meest in het oog springende aanbevelingen van de white paper is dat het team dat zich bezighoudt met security architectuur, volledig geïntegreerd dient te worden met het enterprise architectuurteam. Vanuit de historie werd security altijd gezien als een vreemde eend in de bijt. Deze white paper ademt volledig uit dat security geen los aanhangsel is dat als apart onderdeel behandeld kan worden (en dan nog vaak pas in een laat stadium van de architectuurontwikkeling). Security dient een integraal onderdeel uit te maken van de enterprise architectuur.

De white paper legt de nadruk op het idee dat enterprise architectuur feitelijk draait om het creëren van de operationele capaciteiten van een organisatie, en als zodanig dus nauw verbonden is met operationeel risicomanagement. In de white paper staat letterlijk vertaald ”de enige rol van de enterprise architect is het tot stand brengen van een operationele omgeving waarin operationeel risico kan worden geoptimaliseerd, teneinde de kans op succes te maximaliseren en de kans op verlies of schade voor de organisatie te minimaliseren”.

SABSA biedt een meetbare benadering voor het managen van operationeel risico, wat zorgt voor afstemming tussen de doelstellingen van de organisatie en de architectuur. Met name de Business Attribute Profile van SABSA zal worden geïntegreerd in TOGAF als implementatie van requirements management in TOGAF ADM.

De white paper meldt ook het voornemen om het huidige hoofdstuk 21 van TOGAF 9 (Security architecture) volledig te herzien. Dit zal worden opgenomen in de volgende, herziene versie van TOGAF in 2014. Het leidende thema van de white paper, en de daarop volgende revisie van TOGAF is dat eisen aan de architectuur direct voortkomen uit het managen van organisatierisico’s.

In een volgende bijdrage (na de geplande publicatie van de white paper begin oktober) zal in een uitgebreider artikel meer inhoudelijk worden ingegaan op de TOGAF-SABSA integratie.

Categorie:   
Auteur(s)
afbeelding van JohnSherwood
John Sherwood
IRM Company - Principal Consultant

John Sherwood heeft 20 jaar ervaring op het gebied operationeel risicomanagement. Hij is meer dan 35 jaar werkzaam als professional op het gebied van informatiesystemen. Hij is de geestelijk vader van het SABSA-model, en een autoriteit op het gebied van risk management en security architectuur. Momenteel is hij werkzaam als principal consultant van IRM Company.

afbeelding van MarcelWesterhoud
Marcel Westerhoud
QED Integrity Services - managing director

Marcel Westerhoud is bedrijfseconoom en forensisch expert. Hij is managing director van QED Integrity Services, een adviesbureau op het gebied van risicomanagement, (information) security en integriteitsvraagstukken.

 
Reacties
Wim van Bakel op vrijdag 30 september 2011 14:15

Mijn kleinzoon van 2 zag toevallig de puzzelstukjes bovenaan dit artikel en zei: opa dat is wel hele makkelijke puzzel.

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.
Indien het niet lukt om een reactie te plaatsen, stuur dan uw reactie naar redactie@xr-magazine.nl.
Alle inzendingen dienen correct, professioneel en beschaafd te zijn. IP-adressen worden gelogd, maar niet gepubliceerd. De redactie van XR Magazine behoudt zich het recht voor om anonieme reacties (niet op naam) of zonder geldig e-mailadres, te verwijderen zonder kennisgeving. Ook reacties waarin commerciële uitingen worden gedaan en/of commerciële producten en diensten worden aangeboden worden door de redactie verwijderd of ontdaan van commerciële uitingen zonder kennisgeving.