1. NOTAÇÃO PARA MODELAGEM DE REQUISITOS DE
SEGURANÇA (NMRSEG)
Evandro Costa
Leonardo Lemes Fagundes
Universidade do Vale do Rio dos Sinos (UNISINOS)
07/12/2012
3. 3
Contextualização:
Uso da Business Process Management (BPM) para direcionar os recursos e
viabilizar e mensurar a execução das estratégias organzacionais estabelecidas.
Os sistemas de notação: Business Process Modeling Notation (BPMN) e o Unified
Modeling Language (UML), são utilizados para implementação de BPM.
BPMN: Viabiliza a modelagem de processos de negócios de forma a facilitar a
compreensão por parte dos usuários, analistas, desenvolvedores e
responsáveis por gerenciar e monitorar estes processos.
UML: Propõe notações, sintaxe e semântica para modelagem de
desenvolvimento de sistemas.
Introdução
4. 4
Motivadores:
Os processos de negócios e os controles de segurança da informação são
desenvolvidos separadamente e, muitas vezes, não seguem a mesma
estratégia;
Perdas originadas por retrabalho e ocorrência de incidentes de segurança;
As notações existentes (BPMNSec e UMLSec), apesar de contemplar alguns
requisitos de segurança da informação, ainda necessitam de complementação;
Inexistência de um padrão para orientar e formalizar o mapeamento dos
requisitos de segurança da informação em processos de negócio.
Introdução
5. 5
Definir uma notação para mapeamento de requisitos de segurança da informação
em processos de negócio, compatível com a BPMN e que contemple requisitos e
melhores práticas de segurança da ABNT NBR ISO/IEC 27002.
Objetivo da Pesquisa
7. 7
Características Gerais:
Abordagem intuitiva.
Abstrai os aspectos técnicos de Segurança da Informação.
Fundamentada na ABNT NBR ISO/IEC 27002 – Código de Prática para Gestão
de Segurança da Informação.
NMRSEG
9. 9
Contribuições:
Padrão (estrutura) para representar requisitos de Segurança da Informação.
Notação (símbolos).
Estêncil para o Microsoft Visio (aplicação prática).
NMRSEG
11. 11
Foi utilizada a técnica de Amostra por Conveniência.
Etapas do Estudo de Caso:
Definição da amostra;
Apresentação das atividades;
Coleta dos feedbacks;
Consolidação dos dados.
Participaram 13 alunos, com idade de 20 a 36 anos e experiência de 0 a 5 anos
em Segurança da Informação e Modelagem de Processos de Negócio.
Estudo de Caso
12. 12
Análise dos dados:
Apenas 20% dos alunos abordaram requisitos diferentes de apenas
confidencialidade, integridade e disponibilidade, relacionados à segurança das
informações.
Sob uma perspectiva quantitativa, é possível visualizar a opinião dos alunos
com relação à experiência em utilizar a NMRSEG.
Estudo de Caso
13. 13
Considerações:
A NMRSEG conseguiu auxiliar de forma intuitiva e ágil;
Apresenta um método mais envolvente para aplicar a segurança da
informação;
Considerar a segurança da informação no momento da modelagem dos
processos de negócio, foi um consenso entre os participantes do estudo de
caso;
Dificuldade em entender uma minoria dos símbolos.
.
Estudo de Caso
14. 14
A NMRSEG contribui com a disseminação da segurança da informação;
Apresenta seus requisitos de forma intuitiva e acessível;
Facilita a tarefa de identificar e formalizar os requisitos;
Abstrai os aspectos técnicos da segurança da informação;
Estabelece um método para expansão da representação de requisitos de
segurança da informação.
Conclusões
15. 15
Trabalhos Futuros:
Modelo de gestão de requisitos de segurança da informação;
Notação textual de requisitos de segurança da informação;
Expansão da NMRSEG;
Expansão do estudo de caso.
Conclusões
16. 16
Este trabalho será submetido para o VII Workshop Brasileiro em Gestão de
Processos de Negócio que ocorrerá no SBSI.
Conclusões