método riguroso y comprensivo para describir una estructura actual y/o futura y el
comportamiento de los procesos de seguridad de una organización, sistemas de seguridad de
información y subunidades de personal y organizativas, para que se alineen con las metas
comunes de la organización y la dirección estratégica. Aunque a menudo se asocie
estrictamente con tecnologías para la seguridad de la información, se relaciona en términos
más generales con la práctica de seguridad de optimización del negocio, donde dirige la
arquitectura de seguridad del negocio, la realización de gestiones y también la arquitectura de
procesos de seguridad.
La Arquitectura de Seguridad de Información en la Empresa está convirtiéndose en una
práctica habitual dentro de las instituciones financieras alrededor del mundo. El propósito
fundamental de crear una arquitectura de seguridad de información en la empresa es para
asegurar que la estrategia de negocio y la seguridad de las tecnologías de la información (TI)
están alineadas. Como tal, la arquitectura de seguridad de la información en la empresa
permite la trazabilidad desde la estrategia de negocio hasta la tecnología subyacente.
Situación de la EISA[editar]
Metas de la EISA[editar]
Proporcionar estructura, coherencia y cohesión
Debe permitir un alineamiento del negocio hacia la seguridad
Principios inicio-fin definidos con estrategias de negocio
Asegurar que todos los modelos e implementaciones pueden ser trazados hacia atrás
hasta la estrategia de negocio, específicamente requerimientos de negocio y principios
clave
Proveer abstracción para que factores complicados puedan ser eliminados y reinstalados
en niveles de detalle diferente sólo cuando sean requeridos
Establecer un lenguaje común para la seguridad de la información dentro de la
organización
Metodología de la EISA[editar]
La práctica de la Arquitectura de Seguridad de Información en la Empresa conlleva desarrollar
un marco de arquitectura de seguridad para describir una serie de arquitecturas de
referencia corrientes, intermedias y objetivos y dedicarlas a alinear los programas de cambio.
Estos marcos detallan las organizaciones, roles, entidades y relaciones que existen o deberían
existir para llevar a cabo un conjunto de procesos de negocio. Este marco proporcionará
una taxonomía rigurosa y la ontología que claramente identifique qué procesos llevará a cabo
un negocio e información detallada sobre cómo esos procesos son ejecutados y asegurados.
El producto final es un conjunto de artefactos que describen en varios grados de detalle
exactamente qué y cómo un negocio opera y qué controles de seguridad son requeridos.
Estos artefactos son habitualmente gráficos.
Dadas estas descripciones, cuyos niveles de detalle variarán de acuerdo a la asequibilidad y
otras consideraciones prácticas, aquéllos que toman las decisiones están provistos de medios
para tomar decisiones informadas sobre dónde invertir recursos, hacia dónde reorientar las
metas organizacionales y procesos, y qué políticas y procedimientos soportarán cometidos
centrales o funciones de negocio.