servicios de auditoria usando el linaje electrónico de la...
TRANSCRIPT
![Page 1: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/1.jpg)
SERVICIOS DE AUDITORIA USANDO EL LINAJE ELECTRÓNICO DE LA INFORMACIÓN (LEI)
Rocío Aldeco-Pérez ([email protected])
![Page 2: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/2.jpg)
Contenido
MotivaciónProblema – SoluciónCaso de EstudioLinaje ElectrónicoEjemploAuditoria ElectrónicaLibrería de Auditoria ElectrónicaDiscusiónTrabajo Futuro y Conclusiones
![Page 3: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/3.jpg)
Motivación
+ =
![Page 4: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/4.jpg)
Motivación
Seguridad: Confidencialidad, Autenticación, Integridad, No Repudio, Control de Acceso
Correcto procesamiento
![Page 5: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/5.jpg)
Problema - Solución
DPA, US Safe
Harbor, HIPAA
Estándares Internacionales
Aud
itoria
s
![Page 6: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/6.jpg)
Caso de Estudio (DPA)
5. Re
ques
t (tas
k, pe
rsona
l data
)3. Send (personal data)
Data Controller
Data Subject
Data Processor
1. Request (purpose, required data)
7. Se
nd (r
esult
)
2. Verification (purpose)
4. Storage (personal data)
6. Task (personal data)
Data RequestData Process
![Page 7: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/7.jpg)
Caso de Estudio (DPA)
Verificación del propósito
Verificación de la información usada en el procesamiento
Verificación de la aplicación de servicios de seguridad
Requ
erim
ient
os
![Page 8: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/8.jpg)
Linaje Electrónico (Provenance)
![Page 9: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/9.jpg)
Ciclo de vida
Grabar documentación acerca de la ejecución
Administrar el repositorio y su
contenido
Consultas y análisis sobre la información de
linaje electrónico
ProvenanceStore
Aplicación
Usuario Resultados
![Page 10: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/10.jpg)
Arquitectura
10
Auditor
Data Request Task Request
Stor
e D
ata
Record
QueryRequirementscompliance
![Page 11: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/11.jpg)
Aplicación con LEI
Requ
est (
task,
perso
nal d
ata)
Send (personal data)Data
ControllerData
Subject
Data Processor
Request (purpose, required data)
Send
(res
ult)
element of
![Page 12: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/12.jpg)
Ejemplo
Nombre, Edad, Nacionalidad, Escuela
Edad
es
Promedio de edad
![Page 13: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/13.jpg)
Auditoria Electrónica
![Page 14: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/14.jpg)
Auditoria Electrónica
Encrypted Data-Plain Data -
![Page 15: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/15.jpg)
Librería para Auditoria Electrónica
Java + EJB + JAXB
Provenance Store
Adaptor
Auditing Library
High Level Applications
![Page 16: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/16.jpg)
Diseño
16
DS
DP
DC
isElementOf
isJustifiedBy
inResponseTo
inResponseTo
inResponseTo
inResponseTo
isOperationOf
isBasedOn
receiveData/request
receiveTaskResult/request
receiveData/response
receiveTaskResult/response
dataRequest/request
dataRequest/response
taskRequest/request
taskRequest/response
High level actor
High level actor
fillResult/response fil
lRes
ult/r
eque
st
fillData/request
fillData/response
High level actor
genericData.xsdRegister.xsd
genericResult.xsdresultData.xsd
genericData.xsdappData.xsd
![Page 17: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/17.jpg)
Discusión
SeguridadBD del linaje (Provenance Store)Envío y recepción de mensajesAnálisis del linaje de un datoResultados de una auditoria
LEI como un servicio de seguridadCorrecto procesamiento y uso de la información Deslinde de responsabilidades (Accountability)
![Page 18: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/18.jpg)
Trabajo Futuro
Trabajo FinalizadoAnálisis automático de consultas en la PS.Metodología para el uso de nuestra librería.Formalización del análisis de las consultas. (confianza en los resultados)
Trabajo FuturoEvaluación de la arquitecturaEvaluación de desempeño de la librería (grabado y análisis)
![Page 19: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/19.jpg)
Conclusiones
Las tecnologías LEI pueden ser usadas exitosamente en la creación de herramientas de auditoria electrónica de forma reusable y fácil.Los servicios que nos proporcionan estas herramientas pueden ser vistos como servicios extras de seguridad que cubren las necesidades creadas por las nuevas tendencias de uso en Internet.
![Page 20: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/20.jpg)
Preguntas
![Page 21: Servicios de Auditoria Usando el Linaje Electrónico de la ...delta.cs.cinvestav.mx/~francisco/ssi/cinvestav.pdf · Verificación de la información usada en el procesamiento. Verificación](https://reader036.vdocuments.net/reader036/viewer/2022071218/60503b3852cab7421326672e/html5/thumbnails/21.jpg)
Referencias
Rocio Aldeco-Perez and Luc Moreau. Provenance-based Auditing of Private Data Use. In BCS International Academic Research Conference, Visions of Computer Science (In Press), September 2008.Luc Moreau, Paul Groth, Simon Miles, Javier Vazquez, John Ibbotson, ShengJiang, Steve Munroe, Omer Rana, Andreas Schreiber, Victor Tan, and LaszloVarga. The Provenance of Electronic Data. Communications of the ACM, 51(4):52-58, April 2008.Paul Groth, Sheng Jiang, Simon Miles, Steve Munroe, Victor Tan, SofiaTsasakou, and Luc Moreau. An Architecture for Provenance Systems -Executive Summary. Technical report, University of Southampton, February2006.Daniel J. Weitzner: Beyond Secrecy: New Privacy Protection Strategies for the World Wide Web. PEAS 2007Daniel J. Weitzner, Harold Abelson, Tim Berners-Lee, Joan Feigenbaum, James A. Hendler, Gerald J. Sussman: Information accountability. Commun. ACM 51(6): 82-87 (2008)