La seguridad es un proceso transversal. Debe ser gestionada en cada fase del ciclo.
Fase B: Arquitectura de Negocio (Estrategia y Riesgo)
+
Modelo de Riesgo de Negocio: Se genera el registro de riesgos tras una evaluación (cualitativa/cuantitativa).
Arquitectura de Políticas: Define la estrategia de seguridad y asigna responsabilidades.
Marco de Confianza (Trust Framework): Describe las relaciones de confianza con terceros.
Cumplimiento Normativo: Registros de leyes aplicables (ej. ISO 27001, COBIT).
Fase C: Arquitectura de Sistemas (Datos y Aplicaciones)
+
Catálogo de Servicios de Seguridad: Define servicios funcionales (Identidad, Acceso, Continuidad, etc.).
Clasificación de Seguridad: Etiqueta los activos de datos para determinar requisitos de seguridad aplicables.
Calidad de los Datos: Abordada como requisito integral de seguridad (precisión, disponibilidad, consistencia).
Fase D: Arquitectura de Tecnología (Controles)
+
Integración de Controles: Asegurar que los controles requeridos por B y C se incluyan de manera efectiva y eficiente en la infraestructura.
Fase E: Oportunidades y Soluciones (Mitigación)
+
Plan de Mitigación de Riesgos: Se define para abordar los riesgos de la transición.
Valor de Seguridad: Los paquetes de trabajo deben incorporar medidas relacionadas con el valor de la seguridad.
Fase F: Planificación de la Migración (Regresión)
+
Análisis de Impacto de Seguridad: Se asegura que el proceso de migración sea seguro.
Planes de Regresión: Se definen para revertir una migración fallida (un aspecto de la seguridad de la disponibilidad).
Fase G: Gobernanza de la Implementación (Verificación)
+
Auditorías de Seguridad: Se realizan para asegurar la adhesión al diseño de la Arquitectura de Seguridad.
Capacitación y Concienciación: Actividad crítica para garantizar que los usuarios comprendan y apliquen los controles.
La Gestión de Requisitos (L2 08) es el proceso que garantiza que los requisitos de seguridad sean trazables y se mantengan consistentes a través de todas estas fases.