In this work, we apply requirements analysis to the domain of cybersecurity in healthcare. As experience has shown, healthcare is a significant domain in this regard: the impact on the NHS of the WannaCry attack vividly demonstrated the consequences of failing to capture and enforce adequate security requirements. Our analysis is carried out as part the ProTego project, an ongoing European H2020 project that aims at assisting healthcare organizations in addressing cybersecurity risk. In the course of our examination, we identify relevant project stakeholders and study how the ProTego software solution could support them in their activities and objectives. We report our findings in the form of a Storyboard, a visual aid for the explorative analysis of a particular business domain. We then systematize the depicted interactions as a set of business rules. In accordance with the Specification by example practice, business rules are written in terms of carefully-selected examples that clearly illustrate stakeholders’ expectations. When implementing the ProTego specification suite, we propagate the business language of the examples down to the code responsible for the automated execution of the suite. We do so by turning the business language into an interpreted computer language. We thus reduce the problem of automating the verification of the ProTego requirements to that of writing an interpreter for our business language.
Questo lavoro di tesi si concentra sull’attività di analisi dei requisiti applicata al dominio della sicurezza informatica in ambito ospedaliero. Come immaginabile, l’ambito ospedaliero rappresenta un’area particolarmente esposta ai rischi di natura informatica: il recente attacco WannaCry al sistema sanitario nazionale nel Regno Unito ha fornito una chiara dimostrazione di ciò che può accadere in mancanza di adeguati requisiti di sicurezza. L’analisi svolta si colloca nel contesto del progetto ProTego, un progetto europeo H2020 che mira alla realizzazione di strumenti per migliorare la capacità delle organizzazioni operanti nell’ambito sanitario di reagire ai rischi di natura informatica. In particolare, l’attività di analisi si è da prima focalizzata sull’individuazione degli stakeholder del progetto, identificandone così profili, attività e obiettivi. Il risultato di questo studio è stato organizzato sotto forma di Storyboard, uno strumento di rappresentazione visuale specificamente pensato per l’esplorazione preliminare di domini applicativi. Tale storyboard ha fornito le basi per la costruzione di un sistema di regole di business utili a descrivere i requisiti della soluzione software del progetto ProTego. Ogni regola di business è stata formulata facendo uso di esempi concreti che chiarissero le aspettative degli stakeholder coinvolti, in linea con la metodologia di analisi denominata Specification by example. Si è perciò passati alla scrittura di un sistema di verifica automatica dei requisiti. Tale sistema fa uso di un linguaggio di specifica espressamente pensato per replicare in codice la terminologia adoperata per descrivere gli esempi alla base dei requisiti. La verifica automatica è stata perciò ottenuta come risultato della scrittura di un interprete per tale linguaggio.
Analysis and design of secure applications : the ProTego approach
CATALLO, KEVIN
2018/2019
Abstract
In this work, we apply requirements analysis to the domain of cybersecurity in healthcare. As experience has shown, healthcare is a significant domain in this regard: the impact on the NHS of the WannaCry attack vividly demonstrated the consequences of failing to capture and enforce adequate security requirements. Our analysis is carried out as part the ProTego project, an ongoing European H2020 project that aims at assisting healthcare organizations in addressing cybersecurity risk. In the course of our examination, we identify relevant project stakeholders and study how the ProTego software solution could support them in their activities and objectives. We report our findings in the form of a Storyboard, a visual aid for the explorative analysis of a particular business domain. We then systematize the depicted interactions as a set of business rules. In accordance with the Specification by example practice, business rules are written in terms of carefully-selected examples that clearly illustrate stakeholders’ expectations. When implementing the ProTego specification suite, we propagate the business language of the examples down to the code responsible for the automated execution of the suite. We do so by turning the business language into an interpreted computer language. We thus reduce the problem of automating the verification of the ProTego requirements to that of writing an interpreter for our business language.File | Dimensione | Formato | |
---|---|---|---|
Analysis and design of secure applications the ProTego approach.pdf
non accessibile
Descrizione: Testo della tesi
Dimensione
6.18 MB
Formato
Adobe PDF
|
6.18 MB | Adobe PDF | Visualizza/Apri |
I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
https://hdl.handle.net/10589/154574