SABSA – In 3 Minuten

SABSA is een framework voor het ontwikkelen van risico-gedreven enterprise informatiebeveiliging en informatie assurance architecturen en voor het leveren van security infrastructuur oplossingen die kritieke bedrijfsinitiatieven ondersteunen. Het is een open standaard, bestaande uit een aantal raamwerken, modellen, methoden en processen, vrij te gebruiken door iedereen, zonder dat er licenties nodig zijn voor eindgebruikersorganisaties die gebruik maken van de standaard bij het ontwikkelen en implementeren van architecturen en oplossingen.

Hoewel SABSA is ontstaan in het informatierisico / assurance / beveiligingsdomein, wordt het nu algemeen erkend als de toonaangevende methodologie voor het ontwikkelen van op bedrijfsrisico’s gebaseerde architecturen in het algemeen. SABSA is nu het voorkeursraamwerk van de Open Group voor integratie met TOGAF® om niet alleen te voldoen aan de behoefte aan een methodologie voor de ontwikkeling van beveiligingsarchitectuur, maar nog belangrijker, om SABSA’s methode voor het profileren van bedrijfsattributen toe te passen in het hele enterprise architectuurdomein als middel om in gesprek te komen met belanghebbenden en bedrijfsvereisten te beheren. Het voegt waarde toe aan de TOGAF ADM door een robuust, herhaalbaar, consistent proces te bieden voor het afstemmen van bedrijfsvereisten op de ontwikkeling van operationele capaciteiten in de vorm van mensen, processen en technologische oplossingen. Het voegt een gedefinieerde methode voor ‘requirements management’ toe aan TOGAF, iets dat ontbrak in eerdere versies van TOGAF tot en met TOGAF versie 9.

SABSA vervangt of concurreert niet met andere risicogebaseerde standaarden en methoden – het biedt eerder een overkoepelend raamwerk dat het mogelijk maakt om alle andere bestaande standaarden te integreren in het enkele SABSA raamwerk, waardoor samenhangende, end-to-end architecturale oplossingen mogelijk worden. ISO 2700x, CobiT®, ISF SoGP®, ITIL®, enz. en industriële standaarden zoals ETSI standaarden, Basel III en Solvency II kunnen allemaal worden samengebracht in een op SABSA gebaseerd geïntegreerd compliance framework.

In termen van risicofilosofie sluit SABSA volledig aan bij ISO 31000, COSO® en M_o_R®, die allemaal het risicoconcept presenteren als een concept van onzekerheid over de uitkomst, waarbij risico’s zowel (positieve) kansen als (negatieve) bedreigingen omvatten.

Zaken doen is risico’s nemen door de risico/opbrengstbalans te evalueren en de risicobereidheid in te stellen op een niveau dat comfortabel is voor de risiconemer. Met deze filosofie in gedachten zijn alle zakelijke beslissingen beslissingen op het gebied van risicobeheer, en het is vanuit dit standpunt dat SABSA de wereld bekijkt. Risico is goed voor het bedrijf, zolang het binnen de risicobereidheid van de organisatie blijft. SABSA is de eerste architectuurontwikkelingsmethodologie die een betrouwbare methode introduceert voor het meten van risicobereidheid en het monitoren van operationele prestaties ten opzichte van die risicobereidheid. Dit wordt bereikt door toepassing van de Business Attributes Profiling techniek, die als output een aangepaste balanced scorecard produceert.

Andere belangrijke kenmerken van SABSA zijn:

• SABSA IPR is eigendom van, wordt beheerd en beschermd door The SABSA Institute.
• Het SABSA-raamwerk is niet gerelateerd aan een leverancier van IT-oplossingen of een ander type leverancier en is volledig leveranciersonafhankelijk.
• Het SABSA-raamwerk is schaalbaar, dat wil zeggen dat het kan worden geïntroduceerd in een klein gebied en vervolgens kan worden uitgerold naar volgende gebieden en systemen, en dus stapsgewijs kan worden geïmplementeerd.
• Het SABSA-raamwerk kan worden gebruikt in elke industriële sector en in elke organisatie die particulier of publiek eigendom is, inclusief commerciële, industriële, overheids-, militaire of liefdadigheidsorganisaties.
• Het SABSA raamwerk kan worden gebruikt voor de ontwikkeling van architecturen en oplossingen op elk niveau van granulariteit van scope, van een project met beperkte scope tot een raamwerk voor de gehele onderneming.
• Het SABSA raamwerk wordt voortdurend onderhouden en ontwikkeld en van tijd tot tijd worden actuele versies gepubliceerd.

Voor elke horizontale laag is er ook een verticale analyse gebaseerd op de zes vragen: Wat (assets)? Waarom (motivatie)? Hoe (proces en technologie)? Wie (mensen)? Waar (locatie)? Wanneer (tijd)? Dit leidt tot een matrix van zes bij zes cellen, de SABSA Master Matrix.

De zesde laag, de servicemanagementlaag, wordt over de andere vijf lagen gelegd en verder verticaal geanalyseerd om de SABSA Service Management-matrix met vijf bij zes cellen te verkrijgen.

CIO, CRO, IT-strategisten en -planners, IT-architecten, IT-ontwikkelingsmanagers en projectleiders, softwarebeheerders en -architecten, netwerkbeheerders en -architecten, informatiebeveiligingsmanagers, adviseurs, consultants en praktijkmensen, auditors.

SABSA is een generiek architectuurontwikkelingsraamwerk dat kan worden gebruikt voor de op operationele risico’s gebaseerde ontwikkeling en het onderhoud van operationele capaciteiten in elk type bedrijfsorganisatie.

Sterke punten

Het SABSA-model is generiek en kan het uitgangspunt zijn voor elke organisatie, maar door het proces van analyse en besluitvorming te doorlopen dat de structuur met zich meebrengt, wordt het specifiek voor de onderneming en wordt het uiteindelijk in hoge mate aangepast aan een uniek bedrijfsmodel. Het wordt de operationele risicobeheerarchitectuur van de onderneming. SABSA is geen kookboek vol kant-en-klare recepten – het is eerder een leidraad voor degenen die de chef de cuisine zijn, zodat ze hun eigen recepten kunnen bedenken om de eetlust van hun klanten te bevredigen.

Beperkingen

Om de voordelen van SABSA ten volle te benutten, moet een organisatie van een klein proof-of-concept project overstappen naar een bedrijfsbrede invoering van SABSA. Dit vereist natuurlijk buy-in en steun op de hoogste leidinggevende niveaus, wat een uitdaging kan zijn voor degenen die de invoering van het raamwerk voorstaan.