Arquitectura de seguridad empresarial aplicada de Sherwood

SABSA (Arquitectura de Seguridad Empresarial Aplicada Sherwood) es un modelo y una metodología para desarrollar una arquitectura de seguridad de la información empresarial basada en riesgos y la gestión de servicios, para respaldar los procesos críticos de negocio. Se desarrolló independientemente del Marco de Zachman, pero tiene una estructura similar. La característica principal del modelo SABSA es que todo debe derivarse de un análisis de los requisitos de seguridad del negocio, especialmente aquellos en los que la seguridad cumple una función facilitadora mediante la cual se pueden desarrollar y explotar nuevas oportunidades de negocio.

El proceso analiza los requisitos del negocio desde el principio y crea una cadena de trazabilidad a lo largo de las fases de estrategia y concepto, diseño, implementación y gestión y medición continuas del ciclo de vida para garantizar que se respete el mandato del negocio. Las herramientas del marco, creadas a partir de la experiencia práctica, respaldan aún más toda la metodología.El modelo está estructurado en capas, siendo la capa superior la que define los requisitos de negocio. En cada capa inferior se desarrolla un nuevo nivel de abstracción y detalle, pasando por la definición de la arquitectura conceptual, la arquitectura de servicios lógicos, la arquitectura de la infraestructura física y, finalmente, en la capa inferior, la selección de tecnologías y productos (arquitectura de componentes).El modelo SABSA en sí es genérico y puede ser el punto de partida para cualquier organización, pero al pasar por el proceso de análisis y toma de decisiones que implica su estructura, se vuelve específico para la empresa y, finalmente, se personaliza en gran medida para un modelo de negocio único. Se convierte en la arquitectura de seguridad empresarial y es fundamental para el éxito de un programa estratégico de gestión de la seguridad de la información dentro de la organización.SABSA es un ejemplo particular de una metodología que puede utilizarse tanto en entornos de TI (tecnologías de la información) como de TO (tecnologías operativas).

	Activos (Qué)	Motivación (por qué)	Proceso (Cómo)	Personas (quién)	Ubicación (Dónde)	Tiempo (cuando)
Contextual	El negocio	Modelo de riesgo empresarial	Modelo de proceso empresarial	Organización y relaciones empresariales	Geografía empresarial	Dependencias de tiempo de negocios
Conceptual	Perfil de atributos empresariales	Objetivos de control	Estrategias de seguridad y revestimiento arquitectónico	Modelo de entidad de seguridad y marco fiduciario	Modelo de dominio de seguridad	Duración y plazos relacionados con la seguridad
Lógica	Modelo de información empresarial	Políticas de seguridad	Servicios de seguridad	Esquema de la Entidad y perfiles de privilegios	Definiciones y asociaciones de dominio de seguridad	Ciclo de procesamiento de la seguridad
Física	Modelo de datos empresariales	Normas, prácticas y procedimientos de seguridad	Mecanismos de seguridad	Usuarios, aplicaciones e interfaz de usuario	Infraestructura de la plataforma y la red	Ejecución de la estructura de control
Componente	Estructuras de datos detalladas	Normas de seguridad	Productos y herramientas de seguridad	Identidades, funciones, acciones y LCA	Procesos, nodos, direcciones y protocolos	Marco de seguridad y secuenciación
Operaciones	Garantía de la continuidad operacional	Gestión del riesgo operacional	Gestión y apoyo de los servicios de seguridad	Gestión y soporte de aplicaciones y usuarios	Seguridad de sitios y plataformas	Calendario de las operaciones de seguridad

Nota: La Matriz SABSA original, vigente hasta la fecha, se ha ampliado con una matriz integral de gestión de servicios y se ha actualizado en algunos detalles y aspectos terminológicos. En palabras de David Lynas, autor de SABSA: «La Matriz SABSA y la Matriz de Gestión de Servicios de SABSA no se han actualizado desde finales de los años 90. Las hemos rediseñado para ofrecer las mejoras solicitadas por sus comentarios a lo largo de los años. No hemos modificado fundamentalmente la estructura ni los principios de las matrices (muy pocos elementos han cambiado de posición), sino que nos hemos centrado en la actualización y la coherencia terminológica». Las nuevas versiones pueden descargarse (junto con la revisión de 2009 del Libro Blanco de SABSA y otros documentos importantes como la Hoja de Ruta de Certificación de SABSA) en el sitio web para miembros de SABSA.

• El método SABSA
• John Sherwood, Andrew Clark, David Lynas (2004)Seguridad empresarial Architecture: A Business-Driven Approach” ISBN 9781578203185 (ISBN 157820318X)

• SABSA website
• The SABSA Institute
• Recomendaciones del Instituto SABSA para el Marco de Seguridad Cibernética NIST versión 2.0