servicios de auditoria usando el linaje electrónico de la...
TRANSCRIPT
SERVICIOS DE AUDITORIA USANDO EL LINAJE ELECTRÓNICO DE LA INFORMACIÓN (LEI)
Rocío Aldeco-Pérez ([email protected])
Contenido
MotivaciónProblema – SoluciónCaso de EstudioLinaje ElectrónicoEjemploAuditoria ElectrónicaLibrería de Auditoria ElectrónicaDiscusiónTrabajo Futuro y Conclusiones
Motivación
+ =
Motivación
Seguridad: Confidencialidad, Autenticación, Integridad, No Repudio, Control de Acceso
Correcto procesamiento
Problema - Solución
DPA, US Safe
Harbor, HIPAA
Estándares Internacionales
Aud
itoria
s
Caso de Estudio (DPA)
5. Re
ques
t (tas
k, pe
rsona
l data
)3. Send (personal data)
Data Controller
Data Subject
Data Processor
1. Request (purpose, required data)
7. Se
nd (r
esult
)
2. Verification (purpose)
4. Storage (personal data)
6. Task (personal data)
Data RequestData Process
Caso de Estudio (DPA)
Verificación del propósito
Verificación de la información usada en el procesamiento
Verificación de la aplicación de servicios de seguridad
Requ
erim
ient
os
Linaje Electrónico (Provenance)
Ciclo de vida
Grabar documentación acerca de la ejecución
Administrar el repositorio y su
contenido
Consultas y análisis sobre la información de
linaje electrónico
ProvenanceStore
Aplicación
Usuario Resultados
Arquitectura
10
Auditor
Data Request Task Request
Stor
e D
ata
Record
QueryRequirementscompliance
Aplicación con LEI
Requ
est (
task,
perso
nal d
ata)
Send (personal data)Data
ControllerData
Subject
Data Processor
Request (purpose, required data)
Send
(res
ult)
element of
Ejemplo
Nombre, Edad, Nacionalidad, Escuela
Edad
es
Promedio de edad
Auditoria Electrónica
Auditoria Electrónica
Encrypted Data-Plain Data -
Librería para Auditoria Electrónica
Java + EJB + JAXB
Provenance Store
Adaptor
Auditing Library
High Level Applications
Diseño
16
DS
DP
DC
isElementOf
isJustifiedBy
inResponseTo
inResponseTo
inResponseTo
inResponseTo
isOperationOf
isBasedOn
receiveData/request
receiveTaskResult/request
receiveData/response
receiveTaskResult/response
dataRequest/request
dataRequest/response
taskRequest/request
taskRequest/response
High level actor
High level actor
fillResult/response fil
lRes
ult/r
eque
st
fillData/request
fillData/response
High level actor
genericData.xsdRegister.xsd
genericResult.xsdresultData.xsd
genericData.xsdappData.xsd
Discusión
SeguridadBD del linaje (Provenance Store)Envío y recepción de mensajesAnálisis del linaje de un datoResultados de una auditoria
LEI como un servicio de seguridadCorrecto procesamiento y uso de la información Deslinde de responsabilidades (Accountability)
Trabajo Futuro
Trabajo FinalizadoAnálisis automático de consultas en la PS.Metodología para el uso de nuestra librería.Formalización del análisis de las consultas. (confianza en los resultados)
Trabajo FuturoEvaluación de la arquitecturaEvaluación de desempeño de la librería (grabado y análisis)
Conclusiones
Las tecnologías LEI pueden ser usadas exitosamente en la creación de herramientas de auditoria electrónica de forma reusable y fácil.Los servicios que nos proporcionan estas herramientas pueden ser vistos como servicios extras de seguridad que cubren las necesidades creadas por las nuevas tendencias de uso en Internet.
Preguntas
Referencias
Rocio Aldeco-Perez and Luc Moreau. Provenance-based Auditing of Private Data Use. In BCS International Academic Research Conference, Visions of Computer Science (In Press), September 2008.Luc Moreau, Paul Groth, Simon Miles, Javier Vazquez, John Ibbotson, ShengJiang, Steve Munroe, Omer Rana, Andreas Schreiber, Victor Tan, and LaszloVarga. The Provenance of Electronic Data. Communications of the ACM, 51(4):52-58, April 2008.Paul Groth, Sheng Jiang, Simon Miles, Steve Munroe, Victor Tan, SofiaTsasakou, and Luc Moreau. An Architecture for Provenance Systems -Executive Summary. Technical report, University of Southampton, February2006.Daniel J. Weitzner: Beyond Secrecy: New Privacy Protection Strategies for the World Wide Web. PEAS 2007Daniel J. Weitzner, Harold Abelson, Tim Berners-Lee, Joan Feigenbaum, James A. Hendler, Gerald J. Sussman: Information accountability. Commun. ACM 51(6): 82-87 (2008)