a Arquitectura de Seguridad de Información en la Empresa (EISA) es la práctica de aplicar un

método riguroso y comprensivo para describir una estructura actual y/o futura y el
comportamiento de los procesos de seguridad de una organización, sistemas de seguridad de
información y subunidades de personal y organizativas, para que se alineen con las metas
comunes de la organización y la dirección estratégica. Aunque a menudo se asocie
estrictamente con tecnologías para la seguridad de la información, se relaciona en términos
más generales con la práctica de seguridad de optimización del negocio, donde dirige la
arquitectura de seguridad del negocio, la realización de gestiones y también la arquitectura de
procesos de seguridad.
La Arquitectura de Seguridad de Información en la Empresa está convirtiéndose en una
práctica habitual dentro de las instituciones financieras alrededor del mundo. El propósito
fundamental de crear una arquitectura de seguridad de información en la empresa es para
asegurar que la estrategia de negocio y la seguridad de las tecnologías de la información (TI)
están alineadas. Como tal, la arquitectura de seguridad de la información en la empresa
permite la trazabilidad desde la estrategia de negocio hasta la tecnología subyacente.

Situación de la EISA[editar]

Arquitecturas de Servicio (BITS).

La arquitectura de seguridad de información en la empresa fue formalmente posicionada

primero por Gartner Inc. en su libro blanco llamado Incorporando Seguridad en el Proceso de
una Arquitectura Empresarial (Incorporating Security into the Enterprise Architecture Process).
Este fue publicado el 24 de enero de 2006. Desde su publicación, la arquitectura de seguridad
ha pasado de ser un silo basado en arquitectura a una solución enfocada a la empresa que
incorpora negocio, información y tecnología. La figura siguiente representa una vista
unidimensional de la arquitectura de la empresa como una arquitectura orientada a servicios.
También refleja la nueva suma a la familia de la arquitectura empresarial llamada
"Seguridad" (Security). La arquitectura de negocio (Business), de información (Information) y
de tecnología (Technology) suelen ser llamadas BIT para acortar. Ahora con la seguridad
como parte de la familia de arquitecturas, se ha convertido en BITS.

Novedades en las arquitecturas de seguridad[editar]

Las órdenes de cambio de las arquitecturas de seguridad ahora incluyen cosas como:
 Hoja de ruta de negocios
 Requerimientos legislativos y legales
 Hoja de ruta de tecnología
 Mejores prácticas
 Tendencias en la industria
 Visionarios

Metas de la EISA[editar]
 Proporcionar estructura, coherencia y cohesión
 Debe permitir un alineamiento del negocio hacia la seguridad
 Principios inicio-fin definidos con estrategias de negocio
 Asegurar que todos los modelos e implementaciones pueden ser trazados hacia atrás
hasta la estrategia de negocio, específicamente requerimientos de negocio y principios
clave
 Proveer abstracción para que factores complicados puedan ser eliminados y reinstalados
en niveles de detalle diferente sólo cuando sean requeridos
 Establecer un lenguaje común para la seguridad de la información dentro de la
organización

Metodología de la EISA[editar]
La práctica de la Arquitectura de Seguridad de Información en la Empresa conlleva desarrollar
un marco de arquitectura de seguridad para describir una serie de arquitecturas de
referencia corrientes, intermedias y objetivos y dedicarlas a alinear los programas de cambio.
Estos marcos detallan las organizaciones, roles, entidades y relaciones que existen o deberían
existir para llevar a cabo un conjunto de procesos de negocio. Este marco proporcionará
una taxonomía rigurosa y la ontología que claramente identifique qué procesos llevará a cabo
un negocio e información detallada sobre cómo esos procesos son ejecutados y asegurados.
El producto final es un conjunto de artefactos que describen en varios grados de detalle
exactamente qué y cómo un negocio opera y qué controles de seguridad son requeridos.
Estos artefactos son habitualmente gráficos.
Dadas estas descripciones, cuyos niveles de detalle variarán de acuerdo a la asequibilidad y
otras consideraciones prácticas, aquéllos que toman las decisiones están provistos de medios
para tomar decisiones informadas sobre dónde invertir recursos, hacia dónde reorientar las
metas organizacionales y procesos, y qué políticas y procedimientos soportarán cometidos
centrales o funciones de negocio.

Preguntas que responde la EISA[editar]

Un proceso de Arquitectura de Seguridad de Información en la Empresa ayuda a contestar
preguntas básicas como:

 ¿Está la arquitectura actual apoyando y añadiendo valor a la seguridad de la

organización?
 ¿Cómo podría una arquitectura de seguridad ser modificada para que añada más valor a
la organización?
 Basándonos en lo que sabemos sobre lo que la organización quiere llevar a cabo en el
futuro, ¿la arquitectura actual lo sustentará o lo entorpecerá?
 Implementar una arquitectura de seguridad de información en la empresa generalmente
empieza documentando la estrategia de la organización y otros detalles necesarios tales
como dónde y cómo opera. El proceso entonces desemboca en documentar
competencias esenciales, procesos de negocio, y cómo la organización interactúa consigo
misma y con partes tales como clientes, proveedores, y entidades gubernamentales.
 Habiendo documentado la estrategia y estructura de la organización, el proceso de
arquitectura fluye entonces hacia la información diferenciada de los componentes
tecnológicos tales como:
o Cuadros de organización, actividades, y flujo de procesos sobre cómo la TI de la
organización opera
o Ciclos, periodos y distribución en el tiempo de la organización
o Proveedores de tecnología hardware, software y servicios
o Inventarios y diagramas de aplicaciones y software
o Interfaces entre aplicaciones; esto es: eventos, mensajes y flujo de datos
o Intranet, Extranet, Internet, comercio electrónico (eCommerce), EDI links con partes
de dentro y fuera de la organización
o Clasificación de datos, bases de datos y modelos de datos soportados
o Hardware, plataformas, hosting: servidores, componentes de red y dispositivos de
seguridad y dónde se conservan
o Redes de área local y abiertas, diagramas de conectividad a internet