Elicitación de Requisitos de Seguridad en Procesos de Negocio
13.08.2013 Views
Share Embed Flag

Elicitación de Requisitos de Seguridad en Procesos de Negocio

Elicitación de Requisitos de Seguridad en Procesos de Negocio

Elicitación de Requisitos de Seguridad en Procesos de Negocio

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
alarcos.inf.cr.uclm.es

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

START NOW

I Taller sobre <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong> e Ing<strong>en</strong>iería <strong>de</strong>l Software<br />

Zaragoza, 11 <strong>de</strong> septiembre <strong>de</strong> 2007<br />

<strong>Elicitación</strong> Elicitaci n <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong><br />

<strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

Alfonso Rodríguez Rodr guez<br />

Universidad <strong>de</strong>l Bio Bio, Bio<br />

Chillán, Chill n, Chile<br />

alfonso@ubiobio.cl<br />

Eduardo Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina Medina y Mario Piattini<br />

Universidad <strong>de</strong> Castilla-La Castilla La Mancha, Mancha,<br />

Ciudad Real, España Espa<br />

{Eduardo.F<strong>de</strong>zMedina<br />

Eduardo.F<strong>de</strong>zMedina, , Mario.Piattini}@uclm.es<br />

Mario.Piattini @uclm.es

1. Motivación<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

Cont<strong>en</strong>ido <strong>de</strong> la pres<strong>en</strong>tación<br />

2. <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

3. El método M-BPSec<br />

4. Un caso <strong>de</strong> estudio<br />

5. Conclusiones<br />

2<br />

17

• La importancia <strong>de</strong> la seguridad<br />

– Objeto protegido es la misión <strong>de</strong> las mismas<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

Introducción (1/3)<br />

<strong>Seguridad</strong><br />

• Se consi<strong>de</strong>ran dim<strong>en</strong>siones tales como disponibilidad,<br />

integridad, confi<strong>de</strong>ncialidad y aut<strong>en</strong>ticidad<br />

• Comercio electrónico con el uso int<strong>en</strong>sivo <strong>de</strong> TICs<br />

– Esc<strong>en</strong>arios <strong>en</strong> que las empresas aum<strong>en</strong>tan su vulnerabilidad<br />

– Dado el alto número <strong>de</strong> ataques es altam<strong>en</strong>te probable que<br />

algún intruso t<strong>en</strong>ga éxito<br />

• Por lo tanto las empresas <strong>de</strong>b<strong>en</strong> proteger sus activos con<br />

un razonable alto nivel <strong>de</strong> seguridad <strong>en</strong> relación sus<br />

limitaciones<br />

3<br />

17

• Importancia <strong>de</strong> los <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

– Business Process Re-Engineering y Business Process<br />

Managem<strong>en</strong>t<br />

– El <strong>en</strong>foque al proceso<br />

– Competitividad <strong>de</strong> la empresa<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

Introducción (2/3)<br />

<strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

• Proceso <strong>de</strong> <strong>Negocio</strong> es conjunto <strong>de</strong> procedimi<strong>en</strong>tos o<br />

activida<strong>de</strong>s que llevan a cabo, colectivam<strong>en</strong>te, los<br />

objetivos o políticas <strong>de</strong>l negocio<br />

• Múltiples notaciones para repres<strong>en</strong>tarlos <strong>en</strong> que las más<br />

importantes son Business Process Mo<strong>de</strong>ling Notation<br />

(BPMN) y Unified Mo<strong>de</strong>l Language (UML)<br />

4<br />

17

C<br />

I<br />

M<br />

P<br />

I<br />

M<br />

P<br />

S<br />

M<br />

Arquitectura Dirigida<br />

por Mo<strong>de</strong>los<br />

Mo<strong>de</strong>lo<br />

In<strong>de</strong>p<strong>en</strong>di<strong>en</strong>te <strong>de</strong><br />

Computación<br />

Mo<strong>de</strong>lo<br />

In<strong>de</strong>p<strong>en</strong>di<strong>en</strong>te<br />

<strong>de</strong> Plataforma<br />

Mo<strong>de</strong>lo<br />

Especifico <strong>de</strong><br />

Plataforma<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

M-BPSec<br />

(Método para<br />

la elicitación<br />

<strong>de</strong> requisitos<br />

<strong>de</strong> seguridad<br />

<strong>en</strong> procesos<br />

<strong>de</strong> negocio)<br />

Nuestra propuesta<br />

Proceso <strong>de</strong><br />

<strong>Negocio</strong> Seguro<br />

(SBP)<br />

Clases <strong>de</strong><br />

Análisis<br />

y<br />

Casos <strong>de</strong> uso<br />

Fuera <strong>de</strong>l alcance<br />

<strong>de</strong> este trabajo<br />

Introducción (3/3)<br />

Nuestra propuesta<br />

Proceso Unificado<br />

(flujos <strong>de</strong> trabajo)<br />

Mo<strong>de</strong>lo <strong>de</strong>l<br />

<strong>Negocio</strong><br />

<strong>Requisitos</strong><br />

Análisis & Diseño<br />

Implem<strong>en</strong>tación<br />

5<br />

17

<strong>Seguridad</strong><br />

Factor <strong>de</strong><br />

Calidad<br />

Subfactor <strong>de</strong><br />

Calidad<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

<strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong> Seguros<br />

Taxonomía <strong>de</strong> requisitos <strong>de</strong> seguridad<br />

Control <strong>de</strong><br />

Acceso<br />

Detección<br />

Ataques /Am<strong>en</strong>azas<br />

No<br />

Repudio<br />

Integridad<br />

Auditoria <strong>de</strong><br />

<strong>Seguridad</strong><br />

Protección<br />

Física<br />

Privacidad<br />

Recuperación<br />

Prosecución<br />

I<strong>de</strong>ntificación<br />

Aut<strong>en</strong>ticación<br />

Autorización<br />

Datos<br />

Hardware<br />

Personal<br />

Software<br />

Anonimato<br />

Confi<strong>de</strong>ncialidad<br />

Inmunidad<br />

6<br />

17

NR NR<br />

Px<br />

Px<br />

AC<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

AC<br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

<strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong> Seguros<br />

BPSec-Profile y los elem<strong>en</strong>tos <strong>de</strong> UML 2.0-AD<br />

Ix<br />

AD<br />

7<br />

17

Etapas<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

M-BPSec<br />

Método para elicitar requisitos <strong>de</strong> seguridad <strong>en</strong> procesos <strong>de</strong> negocio<br />

Construcción<br />

<strong>de</strong>l proceso <strong>de</strong><br />

negocio<br />

Incorporación<br />

<strong>de</strong> <strong>Requisitos</strong><br />

<strong>de</strong> <strong>Seguridad</strong><br />

Refinami<strong>en</strong>to<br />

Roles<br />

Analista<br />

<strong>de</strong> <strong>Negocio</strong><br />

Analista<br />

<strong>de</strong> <strong>Negocio</strong><br />

Analista<br />

<strong>de</strong><br />

<strong>Negocio</strong><br />

Transformaciones<br />

Experto<br />

<strong>en</strong><br />

<strong>Seguridad</strong><br />

Prototipo<br />

BPSec-Tool<br />

Herrami<strong>en</strong>tas<br />

Mo<strong>de</strong>los<br />

UML 2.0-AD<br />

BPMN-BPD<br />

UML 2.0-AD<br />

BPMN-BPD<br />

BPSec-Profile<br />

UML 2.0-AD<br />

BPMN-BPD<br />

BPSec-Profile<br />

Diagrama<br />

<strong>de</strong> Clases<br />

Diagrama <strong>de</strong><br />

Casos <strong>de</strong> uso<br />

Proceso <strong>de</strong> <strong>Negocio</strong><br />

Proceso <strong>de</strong><br />

<strong>Negocio</strong> Seguro<br />

(SBP)<br />

(Versión preliminar)<br />

Proceso <strong>de</strong><br />

<strong>Negocio</strong> Seguro<br />

(SBP)<br />

(versión final)<br />

Clases <strong>de</strong><br />

Análisis<br />

Casos <strong>de</strong> Uso<br />

Artefactos<br />

Repositorio <strong>de</strong> Proceso <strong>de</strong> <strong>Negocio</strong> Seguro<br />

8<br />

17

<strong>Requisitos</strong><br />

Empresa<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

Etapas <strong>de</strong> M-BPsec<br />

Construcción <strong>de</strong>l proceso <strong>de</strong> negocio<br />

Analista <strong>de</strong><br />

<strong>Negocio</strong><br />

Construcción<br />

<strong>de</strong>l Proceso <strong>de</strong><br />

<strong>Negocio</strong><br />

UML 2.0-AD<br />

BPMN-BPD<br />

Proceso<br />

<strong>de</strong> <strong>Negocio</strong><br />

9<br />

17

<strong>Requisitos</strong> <strong>de</strong><br />

seguridad Empresa<br />

Proceso <strong>de</strong> <strong>Negocio</strong><br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

Etapas <strong>de</strong> M-BPsec<br />

Incorporación <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong><br />

Analista <strong>de</strong><br />

<strong>Negocio</strong>s BPSec-Tool<br />

UML 2.0-AD<br />

Incorporación<br />

<strong>de</strong> <strong>Requisitos</strong><br />

<strong>de</strong> <strong>Seguridad</strong><br />

BPSec-Profile<br />

BPMN-BPD<br />

Proceso <strong>de</strong> <strong>Negocio</strong> con<br />

<strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong><br />

Repositorio SBP<br />

10<br />

17

Proceso <strong>de</strong> <strong>Negocio</strong> con<br />

<strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong><br />

Repositorio SBP<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

Analista <strong>de</strong><br />

<strong>Negocio</strong>s<br />

BPSec-Tool<br />

Refinami<strong>en</strong>to<br />

UML 2.0-AD BPMN-BPD<br />

BPSec-Profile<br />

Experto <strong>en</strong><br />

<strong>Seguridad</strong><br />

Etapas <strong>de</strong> M-BPsec<br />

Refinami<strong>en</strong>to<br />

Proceso <strong>de</strong> <strong>Negocio</strong><br />

Seguro (SBP)<br />

Repositorio SBP<br />

11<br />

17

Proceso <strong>de</strong><br />

<strong>Negocio</strong> Seguro<br />

Repositorio SBP<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

BPSec-Tool<br />

Transformaciones<br />

Etapas <strong>de</strong> M-BPsec<br />

Transformaciones<br />

Clases <strong>de</strong> Análisis<br />

Casos <strong>de</strong> Uso<br />

Repositorio SBP<br />

12<br />

17

• Cli<strong>en</strong>tes <strong>de</strong> la cooperativa <strong>de</strong>slocalizados<br />

geográficam<strong>en</strong>te implica:<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

Caso <strong>de</strong> Estudio<br />

Coopelan Ltda.<br />

– la distribución <strong>de</strong>l recibo o boleta <strong>en</strong> que se <strong>de</strong>talla el<br />

consumo <strong>de</strong> <strong>en</strong>ergía eléctrica<br />

– el cobro <strong>de</strong> dicha <strong>de</strong>uda.<br />

• Se han incorporando un aviso electrónico <strong>de</strong> las<br />

<strong>de</strong>udas y el pago electrónico<br />

• El proceso <strong>de</strong> negocio Pagos <strong>de</strong> consumos <strong>de</strong> <strong>en</strong>ergía<br />

eléctrica consi<strong>de</strong>ra las tareas <strong>de</strong> facturación, <strong>en</strong>vío <strong>de</strong><br />

facturas a cli<strong>en</strong>tes y recepción <strong>de</strong> pagos por concepto<br />

<strong>de</strong> <strong>de</strong>uda por consumo <strong>de</strong> <strong>en</strong>ergía eléctrica.<br />

13<br />

17

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

Caso <strong>de</strong> Estudio<br />

Proceso <strong>de</strong> negocio <strong>de</strong>scrito con UML 2.0-AD<br />

14<br />

17

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

Caso <strong>de</strong> Estudio<br />

Clases <strong>de</strong> Análisis<br />

15<br />

17

Institución<br />

Externa<br />

Facturación<br />

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

No Repudio sobre m<strong>en</strong>saje <strong>en</strong>tre<br />

Institución Externa y Facturación<br />

Roles <strong>de</strong> <strong>Seguridad</strong> (Orig<strong>en</strong> y Destino)<br />

Roles Válidos<br />

Ingresar<br />

I<strong>de</strong>ntificación<br />

Enviar "e-Pagos"<br />

I<strong>de</strong>ntificar Rol <br />

Aut<strong>en</strong>ticar Rol<br />

Autorizar Rol<br />

<br />

Ingresar I<strong>de</strong>ntificación<br />

<br />

Asignar Rol<br />

Seguro Orig<strong>en</strong><br />

Asignar Rol<br />

Seguro Destino<br />

Validar Roles<br />

Registro <strong>de</strong><br />

Auditoría<br />

Recibir "e-Pagos"<br />

Caso <strong>de</strong> Estudio<br />

Casos <strong>de</strong> uso<br />

Security<br />

Staff<br />

16<br />

17

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

Conclusiones<br />

• M-BPSec, aplicado <strong>de</strong> manera regular y sistemática permite:<br />

– Especificar requisitos <strong>de</strong> seguridad <strong>en</strong> un proceso <strong>de</strong> negocio <strong>de</strong>scrito<br />

con UML 2.0-AD o BPMN-BPD<br />

– obt<strong>en</strong>er automáticam<strong>en</strong>te clases <strong>de</strong> análisis y casos <strong>de</strong> uso que<br />

incluy<strong>en</strong> seguridad<br />

• M-BPSec satisface criterios <strong>de</strong> evaluación <strong>de</strong> los métodos <strong>de</strong>l<br />

elicitación <strong>de</strong> requisitos:<br />

– cu<strong>en</strong>ta con una herrami<strong>en</strong>ta automatizada que dé soporte al método<br />

– ti<strong>en</strong>e un alto nivel <strong>de</strong> aceptación por parte <strong>de</strong> los interesados<br />

– produce salidas gráficas<br />

– ti<strong>en</strong>e una baja curva <strong>de</strong> apr<strong>en</strong>dizaje.<br />

• Trabajo futuro:<br />

– aplicar M-BPSec sobre problemas <strong>de</strong> mayor complejidad para observar<br />

resultados que nos permitan <strong>en</strong>riquecer el método y mejorar los<br />

artefactos.<br />

17<br />

17

<strong>Elicitación</strong> <strong>de</strong> <strong>Requisitos</strong> <strong>de</strong> <strong>Seguridad</strong> <strong>en</strong> <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong><br />

© Rodríguez, Rodr guez, Fernán<strong>de</strong>z Fern n<strong>de</strong>z-Medina, Medina, Piattini<br />

Gracias por vuestra at<strong>en</strong>ción<br />

I Taller sobre <strong>Procesos</strong> <strong>de</strong> <strong>Negocio</strong> e Ing<strong>en</strong>iería <strong>de</strong>l Software<br />

Alfonso Rodríguez<br />

Universidad <strong>de</strong>l Bio-Bio<br />

Chillán, Chile<br />

alfonso@ubiobio.cl<br />

Eduardo Fernán<strong>de</strong>z-Medina y Mario Piattini<br />

{Eduardo.F<strong>de</strong>zMedina, Mario.Piattini}@uclm.es<br />

Grupo ALARCOS<br />

Universidad <strong>de</strong> Castilla-La Mancha<br />

Ciudad Real, España<br />

Zaragoza, 11 <strong>de</strong> septiembre <strong>de</strong> 2007

logo

productos

Resources

Compañías

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!