Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Business processes are collections of activities that are performed in a defined sequence to achieve business goals. Companies rely on business processes to optimize their internal workflow and increase their efficiency. Problems arises when business processes do not handle information securely, such as when an information is read or modified by unauthorised actors. Currently there is no modelling language or appropriate methods to effectively analyze possible security issues. This thesis faces this problem by proposing a systematic approach by modelling information structure and using it to verify security requirements.In particular, this thesis proposes an extension of Business Process Model and Notation (BPMN), the most popular modelling language for specifying business processes, with semantic partition trees, used to represent information. Each node in the data structure represents a single piece of information relevant for the organizational domain, the nodes are linked together by branches with associated semantics. Specific security analyses are proposed to support experts in identifying possible flaws inside business processes. These analyses are implemented by algorithms that exploit the newly designed modelling language together with BPMN security extensions, allowing to understand how the information is manipulated and the satisfiability of certain security requirements. Empirical tests were carried out to observe the relationships between the analyses execution time and specific business process features.

I processi aziendali sono un insieme di attività svolte in un determinato ordine all'interno delle aziende al fine di raggiungere un preciso obiettivo. Le aziende utilizzato i processi aziendali per ottimizzare il flusso di lavoro e aumentare la propria produttività. Nel momento in cui i processi aziendali non gestiscono le informazioni interne in maniera sicura allora sorgono determinati problemi, ne è un'esempio la lettura e scrittura di informazioni da parte di individui non autorizzati. Attualmente non esiste un linguaggio di modellazione con metodi appropriati per analizzare efficacemente possibili falle di sicurezza; questa tesi propone un approccio sistematico alla strutturazione delle informazioni con l'obiettivo di testare i requisiti di sicurezza. Il Business Process Model and Notation (BPMN) con i suoi collaboration diagram è il linguaggio di modellizzazione più diffuso per la creazione di business process: il presente lavoro di tesi si propone di estendere il suddetto linguaggio introducendo un meccanismo per la rappresentazione delle informazioni attraverso la struttura dati semantic partition tree. Ogni nodo nella struttura rappresenta un'unica informazione e i nodi sono collegati tra loro da rami con semantica associata. Vengono infine proposte delle analisi che hanno l'obiettivo di supportare gli esperti nell'identificazione di possibili falle all'interno dei processi aziendali. Questi algoritmi sfruttano il nuovo linguaggio di modellazione delle informazioni unito ad estensioni di sicurezza per il linguaggio BPMN, consentendo di comprendere sia come le informazioni vengano manipolate sia la soddisfacibilità di determinati requisiti di sicurezza. Per validare il presente lavoro dal punto di vista della scalabilità sono stati effettuati test empirici per osservare le relazioni tra il tempo di esecuzione delle analisi e le caratteristiche specifiche dei processi aziendali.

Security analyses of information management in business processes

Migliosi, Federico
2021/2022

Abstract

Business processes are collections of activities that are performed in a defined sequence to achieve business goals. Companies rely on business processes to optimize their internal workflow and increase their efficiency. Problems arises when business processes do not handle information securely, such as when an information is read or modified by unauthorised actors. Currently there is no modelling language or appropriate methods to effectively analyze possible security issues. This thesis faces this problem by proposing a systematic approach by modelling information structure and using it to verify security requirements.In particular, this thesis proposes an extension of Business Process Model and Notation (BPMN), the most popular modelling language for specifying business processes, with semantic partition trees, used to represent information. Each node in the data structure represents a single piece of information relevant for the organizational domain, the nodes are linked together by branches with associated semantics. Specific security analyses are proposed to support experts in identifying possible flaws inside business processes. These analyses are implemented by algorithms that exploit the newly designed modelling language together with BPMN security extensions, allowing to understand how the information is manipulated and the satisfiability of certain security requirements. Empirical tests were carried out to observe the relationships between the analyses execution time and specific business process features.
Salnitri, Mattia
TANCA, LETIZIA
ING - Scuola di Ingegneria Industriale e dell'Informazione
6-ott-2022
2021/2022
I processi aziendali sono un insieme di attività svolte in un determinato ordine all'interno delle aziende al fine di raggiungere un preciso obiettivo. Le aziende utilizzato i processi aziendali per ottimizzare il flusso di lavoro e aumentare la propria produttività. Nel momento in cui i processi aziendali non gestiscono le informazioni interne in maniera sicura allora sorgono determinati problemi, ne è un'esempio la lettura e scrittura di informazioni da parte di individui non autorizzati. Attualmente non esiste un linguaggio di modellazione con metodi appropriati per analizzare efficacemente possibili falle di sicurezza; questa tesi propone un approccio sistematico alla strutturazione delle informazioni con l'obiettivo di testare i requisiti di sicurezza. Il Business Process Model and Notation (BPMN) con i suoi collaboration diagram è il linguaggio di modellizzazione più diffuso per la creazione di business process: il presente lavoro di tesi si propone di estendere il suddetto linguaggio introducendo un meccanismo per la rappresentazione delle informazioni attraverso la struttura dati semantic partition tree. Ogni nodo nella struttura rappresenta un'unica informazione e i nodi sono collegati tra loro da rami con semantica associata. Vengono infine proposte delle analisi che hanno l'obiettivo di supportare gli esperti nell'identificazione di possibili falle all'interno dei processi aziendali. Questi algoritmi sfruttano il nuovo linguaggio di modellazione delle informazioni unito ad estensioni di sicurezza per il linguaggio BPMN, consentendo di comprendere sia come le informazioni vengano manipolate sia la soddisfacibilità di determinati requisiti di sicurezza. Per validare il presente lavoro dal punto di vista della scalabilità sono stati effettuati test empirici per osservare le relazioni tra il tempo di esecuzione delle analisi e le caratteristiche specifiche dei processi aziendali.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
Thesis-Federico_Migliosi.pdf

accessibile in internet solo dagli utenti autorizzati

Descrizione: Thesis
Dimensione 5.92 MB
Formato Adobe PDF
  Visualizza/Apri
5.92 MB Adobe PDF   Visualizza/Apri
Executive_Summary-Federico_Migliosi.pdf

accessibile in internet solo dagli utenti autorizzati

Descrizione: Executive summary
Dimensione 734.73 kB
Formato Adobe PDF
  Visualizza/Apri
734.73 kB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/194993