Departamento de Tecnologas y Sistemas de Informacin Universidad
- Slides: 33
Departamento de Tecnologías y Sistemas de Información Universidad de Castilla-La Mancha Trabajo de Investigación Especificación y Diseño de Procesos de Negocio Seguros Ciudad Real, Mayo de 2006 Alumno: Alfonso Rodríguez Ríos Directores: Dr. Eduardo Fernández-Medina Dr. Mario Piattini
Índice de la Presentación 1. Introducción » » » Marco de trabajo de la investigación Hipótesis y objetivos Organización del trabajo 2. Estado del Arte » » » Procesos de Negocio Técnicas de modelado Modelado de la seguridad en Procesos de Negocio 3. Especificación y Diseño de Procesos de Negocios Seguros » » » Micro proceso Se. Re. S 4 BP Requisitos de Seguridad Extensión de BPMN Extensión de UML 2. 0 Ejemplo 4. Conclusiones » Alfonso Rodríguez Ríos » » Análisis de consecución de objetivos Publicaciones Líneas abiertas de investigación Especificación y Diseño de Procesos de Negocio Seguros 2
Marco de Trabajo de la Investigación DIMENSIONS (PBC-05 -012 -1): Diseño y Medición de Sistemas de Información Seguros. RETISTIC (TIC 2002 -12487 -E): Red Temática de Investigación en el Campo de la Seguridad de las Tecnologías de Información y las Comunicaciones. Alfonso Rodríguez Ríos COMPETISOFT (CYTED: 3789). Mejora de procesos para fomentar la competitividad de la pequeña y mediana industria del software de Iberoamérica. Especificación y Diseño de Procesos de Negocio Seguros 3
Hipótesis y Objetivos El objetivo fundamental de nuestra investigación queda expresado como Alfonso Rodríguez Ríos Definir un método que permita incorporar la especificación de requisitos de seguridad al modelado de procesos de negocio. 1. Analizar las propuestas 2. Estudiar los lenguajes más consolidados en el modelado de procesos de negocio 3. Definir una extensión para especificar requisitos de seguridad. 4. Definir un método para especificar procesos de negocio seguros. Considerando un enfoque MDA en que se pueda ir desde CIM hasta niveles más bajos en la arquitectura de forma semiautomática. 5. Desarrollar una herramienta que dé soporte automatizado al modelado de procesos de negocio seguros. 6. Validar la propuesta mediante su aplicación a casos de estudio. Por lo tanto, la principal hipótesis de trabajo es la siguiente: Es factible incorporar requisitos de seguridad en el modelado de Procesos de Negocio Especificación y Diseño de Procesos de Negocio Seguros 4
Método de Trabajo Investigación Acción: » Investigador → el doctorando » Objeto investigado → incorporación de requisitos de seguridad en el modelado de procesos de negocio » Grupo crítico de referencia → los participantes de los proyectos Dimensions, Retistic y Competisoft » Beneficiario → organizaciones que utilizan en el desarrollo habitual de sus tareas la identificación, caracterización y especificación de procesos de negocio Revisiones Sistemáticas de la Literatura Alfonso Rodríguez Ríos » Es inherente al proceso de investigación y se enmarca en los distintos ciclos que se han seguido para el progreso de esta investigación. El resultado de está investigación mejorará la calidad de los procesos de negocio ya que será posible incorporar tempranamente aspectos de seguridad en la definición de los mismos. Especificación y Diseño de Procesos de Negocio Seguros 5
Procesos de Negocio Definiciones: » Un proceso se define como un sistema estructurado de actividades diseñadas para producir una salida específica dirigido a un cliente o un mercado en particular (Davenport, 1993) » Un proceso de negocio corresponde a conjunto de actividades o procedimientos que cumplen un objetivo específico o metas de más largo alcance, en el contexto de una estructura organizacional, definiendo roles funcionales y relaciones (Wf. MC, 1999) Alfonso Rodríguez Ríos Lo esencial de un proceso de negocio es que está vinculado con las empresas y que en conjunto definen la forma en ellas alcanzan sus objetivos (Aguilar-Savén, 2004) Especificación y Diseño de Procesos de Negocio Seguros 6
Procesos de Negocio (Términos Relacionados) Business Process Re-Engineering (BPR) Corresponde al rediseño de los procesos de negocio, de los sistemas asociados y de las estructuras organizacionales (Stoica et al. , 2004). Business Process Management (BPM) Soporte de procesos de negocio usando métodos, técnicas y software para diseñar, representar, controlar y analizar los procesos operacionales que involucran organizaciones, aplicaciones, documentos y otras fuentes de información (W. M. P. van der Aalst, 2004) Business Process Support (BPS) Considera modelado de procesos de negocio, reingeniería de procesos de negocio (opcional), iniciación de mejoras en los procesos de negocio, desarrollo de mejoras en los procesos de negocio y operación y mantenimiento (Alexander, 2003). Alfonso Rodríguez Ríos Business Process Intelligence (BPI) Se orienta a analizar y optimizar los procesos de negocio, mediante el uso de extensas bases de datos y minería de datos (Grigori et al. , 2004) Especificación y Diseño de Procesos de Negocio Seguros 7
Arquitectura Dirigida por Modelos Model Driven Architecture (MDA) Es un marco de trabajo para el desarrollo de software cuya idea central es permitir la creación de modelos totalmente independientes de la implementación tecnológica. La propuesta considera un enfoque en que sea posible (Object Management Group, 2003) • • Alfonso Rodríguez Ríos • • hacer una especificación de un sistema independiente de la plataforma que lo va a soportar especificar plataformas seleccionar una determinada plataforma para el sistema y transformar la especificación del sistema en una especificación para una plataforma en particular. Especificación y Diseño de Procesos de Negocio Seguros 8
Metamodelo para la Definición de Procesos de Negocio Business Process Definition Metamodel (BPDM) es una propuesta de OMG en que se hace una descripción semántica de la lógica de las relaciones entre varios elementos de cualquier posible descripción de procesos de negocio (Harmon, 2004) Alfonso Rodríguez Ríos Se encuentra en desarrollo y los principales aspectos de su descripción están contenidos en el documento BPDM Request for Proposals Está en el contexto de la iniciativa MDA (Iyengar, 2004), el cual provee los elementos esenciales para cualquier modelado estándar (Lonjon, 2004) Especificación y Diseño de Procesos de Negocio Seguros 9
Técnicas de Modelado Un modelo es una vista simplificada de una realidad compleja Facilita el intercambio de puntos de vista entre diversos interesados en el negocio (Eriksson y Penker, 2001) Alfonso Rodríguez Ríos Una notación adecuada debe permitir incorporar diversas perspectivas, lo que puede dar origen a diversos diagramas, en queden reflejadas reglas, metas, objetivos del negocio y tanto relaciones como interacciones (Castela et al. , 2001) Las empresas han estado modelando procesos por muchos años, aunque no siempre les han llamado modelos de procesos de negocio. Las técnicas que utilizaban describían cómo la empresa hacía su trabajo Especificación y Diseño de Procesos de Negocio Seguros 10
Técnicas de Modelado Diagramas de flujo Familia de técnicas IDEF Diagramas de flujo de datos (DFD) Simulación Diagramas Entidad Relación (ER) Diagramas de Transición de Estados Alfonso Rodríguez Ríos Gráficas Gantt/PERT Diagramas de actividad de roles (RAD, Rol Activity Diagrams) Especificación y Diseño de Procesos de Negocio Seguros Técnicas basadas en el conocimiento Redes de Petri Técnica de modelado de flujo trabajo (Workflows) UML 2. 0 : Unified Modeling Language BPMN: Business Process Modeling Notation 11
Seguridad (i) Alfonso Rodríguez Ríos Para abordar el problema de la seguridad existen un conjunto de fuentes: » BS 7799/ISO 17799 » Cobi. T » El estándar ISF » NIST 800 -14 » Common Criteria » Magerit Versión 2 (Zuccato, 2004) Especificación y Diseño de Procesos de Negocio Seguros 12
Seguridad (ii) Requisitos funcionales de seguridad varían entre aplicaciones de diverso tipo y de diferentes dominios. » Requisitos funcionales de seguridad de un software empotrado para una aplicación de control de vuelo y los requisitos funcionales de seguridad de sitio web para comercio electrónico Requisitos de seguridad no varían ya que cualquier aplicación, en un alto nivel de abstracción, tendrá la misma clase de valoración y potencialmente vulnerabilidad de sus activos. Alfonso Rodríguez Ríos » Todas las aplicaciones necesitan especificar niveles de identificación, autenticación, autorización, integridad, privacidad, etc. Firesmith (2004) Especificación y Diseño de Procesos de Negocio Seguros 13
Trabajos relacionados con especificaciones de seguridad Procesos de Negocio La seguridad en procesos de negocio desde diferentes perspectivas (Herrmann y Pernul, 1998; Röhm et al. , 1998) Seguridad en la ingeniería de procesos de negocio (Backes et al. , 2003) Marco de trabajo dirigido por Procesos de Negocio para la Ingeniería de Seguridad con UML (Maña et al. , 2003; Vivas et al. , 2003) Alfonso Rodríguez Ríos Lenguaje para el modelado de transacciones de negocio seguras (Röhm et al. , 1999) Sistemas de Información Lenguaje para la expresión de requisitos de seguridad usando UML (Abie et al. , 2004). Desarrollo de sistemas seguros usando un lenguaje basado en UML (Jürjens, 2001; Jürjens, 2002) Lenguaje basado en UML para el modelado de la seguridad orientado por modelos (Lodderstedt et al. , 2002; Basin et al. , 2003) Seguridad en el Proceso de Ingeniería del Software (Artelsmair y Wagner, 2003) Modelado de Sistemas de Información Seguros (Mouratidis et al. , 2003; Mouratidis et al. , 2005) Análisis de Enfoques Orientados a Desarrollar Seguridad en Sistemas de Información (Siponen, 2005) Hacia la Unificación de la Ingeniería de Software y la Ingeniería de Seguridad (Zulkernine y Ahamed, 2006) Especificación y Diseño de Procesos de Negocio Seguros 14
Conclusión del Estado del Arte Ninguna de las propuesta analizadas aborda la especificación de requisitos de seguridad por parte del analista de negocios. Por lo tanto, es pertinente y oportuno abordar el problema de la seguridad en procesos de negocio considerando la perspectiva del analista de negocios Alfonso Rodríguez Ríos Esta perspectiva añade valor a las especificaciones de seguridad pues permite a los expertos en seguridad incorporar nuevos elementos en su análisis Especificación y Diseño de Procesos de Negocio Seguros 15
Elementos Básicos de la Propuesta Se. Re. S 4 BP Analista de Negocios Requisitos Alfonso Rodríguez Ríos BPMN Expertos en seguridad Extensiones para considerar Seguridad en Procesos de Negocio UML 2 Requisitos de Seguridad Otros Modelado de Procesos de Negocio Especificación y Diseño de Procesos de Negocio Seguros 16
Micro Proceso Se. Re. S 4 BP (Security Requirement Specification for Business Process) Etapa Trabajador Construcción Incorporación de requisitos de seguridad Alfonso Rodríguez Ríos Refinamiento Herramienta Incorporación Requisitos de seguridad Diagrama de Actividad (UML 2. 0) o Diagrama de Procesos de Negocio (BPMN) Analista de negocios Analista de Negocios Refinamiento Extensiones de UML 2. 0 o BPMN para especificar requisitos de seguridad Experto en Seguridad Analista de Negocios Diagrama de Actividad (UML 2. 0) o Diagrama de Procesos de Negocio (BPMN) (Extendidos) Especificación y Diseño de Procesos de Negocio Seguros Artefacto Proceso de Negocio con especificaciones de Seguridad Modelo de Proceso de Negocio con requisitos de seguridad (versión preliminar) Modelo de Proceso de Negocio con requisitos de seguridad (versión final) Repositorio de procesos de negocio con requisitos de seguridad (actualizado) 17
Alfonso Rodríguez Ríos Requisitos de Seguridad (i) Firesmith (2004) Especificación y Diseño de Procesos de Negocio Seguros 18
Alfonso Rodríguez Ríos Requisitos de Seguridad (ii) Especificación y Diseño de Procesos de Negocio Seguros 19
Alfonso Rodríguez Ríos Metamodelo del Diagrama de Actividad de UML 2. 0 Especificación y Diseño de Procesos de Negocio Seguros 20
Alfonso Rodríguez Ríos Extensión de UML 2. 0, BPSec Profile Especificación y Diseño de Procesos de Negocio Seguros 21
Alfonso Rodríguez Ríos Relación entre los estereotipos de BPSec y los elementos del diagrama de actividad de UML 2. 0 Especificación y Diseño de Procesos de Negocio Seguros 22
Alfonso Rodríguez Ríos Metamodelo del BPD de BPMN extendido con requisitos de seguridad Especificación y Diseño de Procesos de Negocio Seguros 23
Alfonso Rodríguez Ríos Relación entre los requisitos de seguridad y los elementos del BPD de BPMN Especificación y Diseño de Procesos de Negocio Seguros 24
Alfonso Rodríguez Ríos Proceso de Negocio para la Admisión de Pacientes en una Institución de Salud Especificación y Diseño de Procesos de Negocio Seguros 25
Alfonso Rodríguez Ríos Diagrama de Actividad de UML 2, con y sin requisitos de seguridad Especificación y Diseño de Procesos de Negocio Seguros 26
Alfonso Rodríguez Ríos Diagrama de Proceso de Negocio de BPMN con y sin requisitos de seguridad Especificación y Diseño de Procesos de Negocio Seguros 27
Análisis de consecución de objetivos 1. Analizar las propuestas 2. Estudiar los lenguajes más consolidados en el modelado de procesos de negocio 3. Definir una extensión para especificar requisitos de seguridad. 4. Definir un método para especificar procesos de negocio seguros. Considerando un enfoque MDA en que se pueda ir desde CIM hasta niveles más bajos en la arquitectura de forma semiautomática. Alfonso Rodríguez Ríos 5. Desarrollar una herramienta que dé soporte automatizado al modelado de procesos de negocio seguros. 6. Validar la propuesta mediante su aplicación a casos de estudio. Especificación y Diseño de Procesos de Negocio Seguros 28
Alfonso Rodríguez Ríos Publicaciones (Nacionales) 1. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Problemas de Seguridad en los Procesos de negocio, Actas Primer Taller de Seguridad en Ingeniería del Software y Bases de Datos, (SISBD). Málaga, España. (2004). Pp. 45 -54. 2. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Requisitos de Seguridad en Procesos de negocio, III Jornadas de Trabajo del Proyecto Dynamica (Dynamic and Aspect-Oriented Modeling for Integrated Component-based Architectures). Almagro, Ciudad Real, España. (2005). Pp. 39 -53. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Diseño de Procesos de negocio Seguros basados en Modelos, Actas Segundo Taller de Seguridad en Ingeniería del Software y Bases de Datos, (SISBD). Deusto (Bilbao), España. (2005). pp: 35 -46. 4. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Especificaciones de requisitos de seguridad en procesos de negocio usando metamodelo, Actas Tercer Taller de Seguridad en Ingeniería del Software y Bases de Datos, (SISBD). Granada, España. (2005). Pp. 1 -12. 5. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Extensión de Diagramas de Actividad de UML 2. 0 para el Modelado de RBAC, IX Reunión Española sobre Criptología y Seguridad de la Información. Aceptado. Barcelona, España. (2006). Ratio 90, 27 %, (72 artículos recibidos, 65 aceptados) Especificación y Diseño de Procesos de Negocio Seguros 29
Alfonso Rodríguez Ríos Publicaciones (Iberoamericanas) 6. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Representación de Requisitos de Seguridad en el Modelado de Procesos de Negocio, 8º Workshop Iberoamericano de Ingeniería de Requisitos y Ambientes de Software (IDEAS). Valparaíso, Chile. (2005). Pp. 255 -266. Ratio 42, 18 %, (64 artículos recibidos, 27 aceptados) 7. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Hacia la definición de Procesos de Negocio Seguros basados en una Arquitectura Dirigida por Modelos, Tercer Congreso Iberoamericano de Seguridad Informática (CIBSI). Valparaíso, Chile. (2005). Pp. 443 -456. Ratio: 58, 33% (60 artículos recibidos, 35 aceptados) 8. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Extensión de UML 2. 0 para especificar Requisitos de Seguridad en Procesos de Negocio, 9º Workshop Iberoamericano de Ingeniería de Requisitos y Ambientes de Software (IDEAS). La Plata, Argentina. (2006). Pp. 375 -386. Ratio 33%, (100 artículos recibidos, 33 aceptados) Especificación y Diseño de Procesos de Negocio Seguros 30
Alfonso Rodríguez Ríos Publicaciones (Internacionales) 9. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Towards an integration of Security Requirements into Business Process Modeling, Proceedings of the Third International Workshop on Security In Information Systems (WOSIS), In conjunction with ICEIS. Miami, USA. (2005). Pp. 287 -297. Ratio: 54, 23% (59 artículos recibidos, 32 aceptados) 10. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Especificación de requisitos de Seguridad en Procesos de Negocio utilizando Diagramas de Actividad de UML 2. 0, IV Congreso Internacional de Auditoría y Seguridad de la Información (CIASI). Madrid, España. (2005). Pp. 99 -108. Ratio: 51, 16% (43 artículos recibidos, 22 aceptados) 11. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Integrating Security Requirement with a UML 2. 0 Profile, International Symposium on Frontiers in Availability, Reliability and Security (FARES) in conjunction with ARES. Viena, Austria. (2006). Pp. 670 -677. Ratio ARES: 36, 47% (35 artículos invitados a FARES, Ratio FARES 40, 08%). (IEEE). 12. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Towards a UML 2. 0 Profile for RBAC Modeling in Activity Diagrams, The Fourth International Workshop on Security In Information Systems (WOSIS), In conjunction with ICEIS. Aceptado. Paphos, Cyprus. (2006). Ratio: 48, 14% (54 artículos recibidos, 26 aceptados) 13. Rodríguez, A. , Fernández-Medina, E. y Piattini, M. ; Towards a UML 2. 0 Extension for the Modeling of Security Requirements in Business Processes, 3 rd International Conference on Trust, Privacy and Security in Digital Business (Trust. Bus`06). Aceptado. Krakow-Poland. (2006). Ratio: 34%. (LNCS). Especificación y Diseño de Procesos de Negocio Seguros 31
Líneas abiertas de investigación Seguir avanzando en el estudio de las posibles aportaciones respecto a especificaciones de seguridad en procesos de negocio que puedan hacer otros autores. Revisar los temas relacionados con la transformación de modelos (Modelo CIM → Modelo PIM) » Para ello se explorará la utilización de QVT (Query/View/Transformation) Alfonso Rodríguez Ríos Complementación con el Proceso Unificado Especificación y Diseño de Procesos de Negocio Seguros 32
Departamento de Tecnologías y Sistemas de Información Universidad de Castilla-La Mancha Trabajo de Investigación Especificación y Diseño de Procesos de Negocio Seguros Ciudad Real, Mayo de 2006 Alumno: Alfonso Rodríguez Ríos Directores: Dr. Eduardo Fernández-Medina Dr. Mario Piattini
Informacin
Fuentes de informacin
Huila clima
La señora guajardo compra un departamento
Departamento ceres
Organización del departamento de enfermería
Atributos multivaluados en modelo relacional
Organigrama de departamento de contabilidad
Departamento del quiche
Departamento de farmacologia
Departamento solicitante
Departamento ceres
Departamento de economia
Departamento forestal
Preparatoria abierta gratuita
Departamento de zootecnia ufpr
Departamentos en una empresa
Organigrama departamento de marketing
El significado de departamento
Potencialidades productivas del departamento de cochabamba
Departamento de higiene de los alimentos
Seres vivos pluricelulares
Estructura de una agencia publicitaria
Objetivos del departamento de enfermería
Projeto doutorado
Organigrama del departamento de housekeeping
Objetivo general de educacion
Universidad insurgentes plantel norte
Universidad de oriente nueva esparta
Universidad austral medicina
Universidad latina campus sur
Analisis foda de una universidad
Universidad del cema
Universidad libre de colombia
