advertisement

Social Network Analysis

50 %
50 %
advertisement
Information about Social Network Analysis

Published on July 23, 2008

Author: peppespe

Source: slideshare.net

Description

valido strumento alternativo per la modellazione di architetture di Sistemi Informatici Cooperativi e la successiva valutazione dei rispettivi Piani per la Sicurezza attraverso la Social Network Analysis.
advertisement

Valutazione del Piano di Sicurezza del Sistema Informativo CDS Giuseppe Specchio Corso di Laurea Specialistica in Informatica Esame di Sicurezza Informatica e Cooperazione

Giuseppe Specchio

Corso di Laurea Specialistica in Informatica

Esame di Sicurezza Informatica e Cooperazione

Il Dato e l'Informazione Questi due concetti di base sono così importanti che l'organizzazione internazionale OECD ( Organization for Economic Co-Operation and Development ) nel documento “ Giudelines for the Security of Information Systems " ha fornito le seguenti definizioni: il dato è la rappresentazione oggettiva di un fatto o evento che consenta la sua trasmissione oppure interpretazione da parte di un soggetto umano o di uno strumento informatico. L' informazione è l'interpretazione e il significato assegnato a uno o più dati.

Questi due concetti di base sono così importanti che l'organizzazione internazionale OECD ( Organization for Economic Co-Operation and Development ) nel documento “ Giudelines for the Security of Information Systems " ha fornito le seguenti definizioni:

il dato è la rappresentazione oggettiva di un fatto o evento che consenta la sua trasmissione oppure interpretazione da parte di un soggetto umano o di uno strumento informatico.

L' informazione è l'interpretazione e il significato assegnato a uno o più dati.

Sistema Informativo Informatizzato Sistema Informatico Informativo s'intende invece l' insieme delle tecnologie a supporto della parte automatizzata del sistema informativo. comprende le attività di elaborazione manuale e automatizzata dei dati, i processi informativi, le relative risorse umane e tecnologiche e l'infrastruttura fisica di riferimento. sistema informativo automatizzato

Definizione di SIC Un Sistema Informatico Cooperativo (SIC) è un insieme temporaneo di Enti (o Attori ) eterogenei, connessi su una qualunque infrastruttura informatica, i quali cooperano al fine offrire un servizio, comunicando tra loro mediante un determinato set di Linguaggi (o Protocolli ). Un SIC non presenta una struttura gerarchica intesa come discriminazione tra enti “ master ” ed enti “ slave ”

Un Sistema Informatico Cooperativo (SIC) è un insieme temporaneo di Enti (o Attori ) eterogenei, connessi su una qualunque infrastruttura informatica, i quali cooperano al fine offrire un servizio, comunicando tra loro mediante un determinato set di Linguaggi (o Protocolli ).

Un SIC non presenta una struttura gerarchica intesa come discriminazione tra enti “ master ” ed enti “ slave ”

Requisiti di Sicurezza per un SIC (1/2) Riconoscimento : è il processo che verifica l’identità di un’entità coinvolta nella transazione. Può essere implementato come una semplice username+password o con un più complicato riconoscimento biometrico identificazione : è l'atto con cui un attore dichiara chi è . autenticazione : è il processo di verifica dell'identità dichiarata dall'attore, ed è correlato all'identificazione; autorizzazione : è la concessione dei diritti di accesso all'attore, dopo che questi sia stato identificato ed autentificato; tracciabilità : è l'azione continua di registrazione delle azioni svolte dall'attore precedentemente identificato in modo univoco. Il termine inglese corrispondente, accountability , esprime il concetto che la responsabilità delle azioni tracciate può essere imputata a chi le ha compiute, ovviamente se questo è individuato in modo univoco e oltre ogni ragionevole dubbio.

Riconoscimento : è il processo che verifica l’identità di un’entità coinvolta nella transazione. Può essere implementato come una semplice username+password o con un più complicato riconoscimento biometrico

identificazione : è l'atto con cui un attore dichiara chi è .

autenticazione : è il processo di verifica dell'identità dichiarata dall'attore, ed è correlato all'identificazione;

autorizzazione : è la concessione dei diritti di accesso all'attore, dopo che questi sia stato identificato ed autentificato;

tracciabilità : è l'azione continua di registrazione delle azioni svolte dall'attore precedentemente identificato in modo univoco. Il termine inglese corrispondente, accountability , esprime il concetto che la responsabilità delle azioni tracciate può essere imputata a chi le ha compiute, ovviamente se questo è individuato in modo univoco e oltre ogni ragionevole dubbio.

Requisiti di Sicurezza per un SIC (2/2) Disponibilità : una volta determinata l’autenticità di un’entità, bisogna verificarne i permessi , vedere quali attività è abilitata a svolgere e a quali risorse può accedere. Integrità : è il processo che assicura che i messaggi non possono essere intercettati e alterati durante lo scambio fra entità. Riservatezza : dati non solo non devono essere alterati,ma devono essere letti solo da chi ha il permesso di accedervi.

Disponibilità : una volta determinata l’autenticità di un’entità, bisogna verificarne i permessi , vedere quali attività è abilitata a svolgere e a quali risorse può accedere.

Integrità : è il processo che assicura che i messaggi non possono essere intercettati e alterati durante lo scambio fra entità.

Riservatezza : dati non solo non devono essere alterati,ma devono essere letti solo da chi ha il permesso di accedervi.

Pianificazione di un SIC L'insieme dei : Vincoli : temporali, spaziali e di sicurezza; Risorse : umane, materiali e finanziarie; Relazioni : gerarchiche e funzionali; Responsabilità : definite sulla base dei ruoli ricoperti da ciascun Attore all'interno di un processo organizzativo, caratterizzano l'obiettivo di business del SIC e vengono definiti attraverso la realizzazione di un apposito Business Model .

L'insieme dei :

Vincoli : temporali, spaziali e di sicurezza;

Risorse : umane, materiali e finanziarie;

Relazioni : gerarchiche e funzionali;

Responsabilità : definite sulla base dei ruoli ricoperti da ciascun Attore all'interno di un processo organizzativo,

caratterizzano l'obiettivo di business del SIC e vengono definiti attraverso la realizzazione di un apposito Business Model .

Definizione informale di un Business Model Un Business Model è un'insieme di attività (o azioni o Task) correlate e finalizzate al raggiungimento di prefissati obiettivi di business, attraverso l'impiego di risorse umane, finanziarie, materiali e tecnologiche e nel rispetto di prefissati vincoli di tempo, costi e qualità del servizio.

Un Business Model è un'insieme di attività (o azioni o Task) correlate e finalizzate al raggiungimento di prefissati obiettivi di business, attraverso l'impiego di risorse umane, finanziarie, materiali e tecnologiche e nel rispetto di prefissati vincoli di tempo, costi e qualità del servizio.

Analisi di Business Model Approccio Top Down (o deduttivo ): la conoscenza a priori della struttura organizzativa permette di definire le responsabilità ed i compiti degli attori. In tal contesto, le tecniche di sicurezza vengono stilate sulla base di un contesto preesistente. Approccio Bottom Up (o induttivo ): gli attori non sono noti a priori possono cambiare dinamicamente nel tempo. In tal contesto, le tecniche di sicurezza vengono stilate a monte della progettazione del sistema di cooperazione mediante un documento di agreement.

Approccio Top Down (o deduttivo ): la conoscenza a priori della struttura organizzativa permette di definire le responsabilità ed i compiti degli attori. In tal contesto, le tecniche di sicurezza vengono stilate sulla base di un contesto preesistente.

Approccio Bottom Up (o induttivo ): gli attori non sono noti a priori possono cambiare dinamicamente nel tempo. In tal contesto, le tecniche di sicurezza vengono stilate a monte della progettazione del sistema di cooperazione mediante un documento di agreement.

Definizione di Attori e Ruoli La descrizione degli attori (o entità) e delle responsabilità all'interno di un processo organizzativo è di fondamentale importanza. Al fine di garantire e certificare i processi organizzativi, risulta necessario definire i ruoli da attribuire agli attori Un ruolo è da intendersi come l'insieme delle azioni (o attività) osservabili svolte da un attore in un contesto di business specifico.

La descrizione degli attori (o entità) e delle responsabilità all'interno di un processo organizzativo è di fondamentale importanza.

Al fine di garantire e certificare i processi organizzativi, risulta necessario definire i ruoli da attribuire agli attori

Un ruolo è da intendersi come l'insieme delle azioni (o attività) osservabili svolte da un attore in un contesto di business specifico.

Definizione Formale di un Business Model E : è l'insieme delle Entità (o Attori ) del Business Model, ovvero i partecipanti all'attività cooperativa finalizzata al raggiungimento degli obiettivi di business R : è l'insieme delle Risorse , ovvero una qualsiasi informazione (nel senso più generale del termine) in possesso di una determinata Entità (o Attore ), la quale viene utilizzata durante l'attività cooperativa. Le risorse possono essere sostanzialmente di 2 tipi: private e condivise . A : è l'insieme delle Attività (o operazioni “ elementari ”) che un' Entità (o Attore ) può portare a termine mediante l'utilizzo di un certo insieme di risorse, siano esse di sua proprietà o di terze parti. BM = < E, R, A >

E : è l'insieme delle Entità (o Attori ) del Business Model, ovvero i partecipanti all'attività cooperativa finalizzata al raggiungimento degli obiettivi di business

R : è l'insieme delle Risorse , ovvero una qualsiasi informazione (nel senso più generale del termine) in possesso di una determinata Entità (o Attore ), la quale viene utilizzata durante l'attività cooperativa. Le risorse possono essere sostanzialmente di 2 tipi: private e condivise .

A : è l'insieme delle Attività (o operazioni “ elementari ”) che un' Entità (o Attore ) può portare a termine mediante l'utilizzo di un certo insieme di risorse, siano esse di sua proprietà o di terze parti.

Descrizione formale di un Business Model La descrizione formale del Business Model viene espressa attraverso i WorkFlow ( WF )

La descrizione formale del Business Model viene espressa attraverso i WorkFlow ( WF )

Definizione Formale del WorkFlow E : è l'insieme delle Entità (o Attori ) del Business Model, ovvero i partecipanti all'attività cooperativa finalizzata al raggiungimento degli obiettivi di business T : è l'insieme dei Task (o Attività ) che un' Entità (o Attore ) può portare a termine mediante l'utilizzo di un certo insieme di risorse, siano esse di sua proprietà o di terze parti. WF = < E , T , M, C >

E : è l'insieme delle Entità (o Attori ) del Business Model, ovvero i partecipanti all'attività cooperativa finalizzata al raggiungimento degli obiettivi di business

T : è l'insieme dei Task (o Attività ) che un' Entità (o Attore ) può portare a termine mediante l'utilizzo di un certo insieme di risorse, siano esse di sua proprietà o di terze parti.

Definizione Formale del WorkFlow M : è la Matrice di Incidenza , ovvero la funzione M:E*T-->{0,1} la quale associa ad ogni coppia (E, T) il valore 1 se l'Entità E è autorizzata ad eseguire l'operazione T, 0 altrimenti. C : è l'insieme dei Vincoli (o Compliance ) , come tempo, costi e qualità del servizio, che una data Entità (o Attore ) deve osservare al fine di poter utilizzare un certo insieme di risorse, siano esse di sua proprietà o di terze parti, per il raggiungimento di un determinato obiettivo di business. Tali vincoli vengono definiti in sede di Cooperation Agreement WF = < E , T , M , C >

M : è la Matrice di Incidenza , ovvero la funzione M:E*T-->{0,1} la quale associa ad ogni coppia (E, T) il valore 1 se l'Entità E è autorizzata ad eseguire l'operazione T, 0 altrimenti.

C : è l'insieme dei Vincoli (o Compliance ) , come tempo, costi e qualità del servizio, che una data Entità (o Attore ) deve osservare al fine di poter utilizzare un certo insieme di risorse, siano esse di sua proprietà o di terze parti, per il raggiungimento di un determinato obiettivo di business.

Tali vincoli vengono definiti in sede di Cooperation Agreement

Il Cooperation Agreement L'atto formale che stabilisce le regole per compiere le azioni (o attività) di cooperazione è detto Cooperation Agreement . La collaborazione tra componenti di una VO possono essere eterogenee, poiché una VO si fonda su accordi antecedenti. Nell'ambito di questi accordi temporanei le entità possono utilizzare, efficientemente ed in modo coordinato, le proprie risorse e competenze per raggiungere il proprio obiettivo. Cooperazioni di questo tipo massimizzano l'utilizzo delle risorse di una VO: suddividendo, infatti, un task generico in sotto-task e scegliendo le componenti in grado di soddisfare tali sotto-task.

L'atto formale che stabilisce le regole per compiere le azioni (o attività) di cooperazione è detto Cooperation Agreement .

La collaborazione tra componenti di una VO possono essere eterogenee, poiché una VO si fonda su accordi antecedenti.

Nell'ambito di questi accordi temporanei le entità possono utilizzare, efficientemente ed in modo coordinato, le proprie risorse e competenze per raggiungere il proprio obiettivo.

Cooperazioni di questo tipo massimizzano l'utilizzo delle risorse di una VO: suddividendo, infatti, un task generico in sotto-task e scegliendo le componenti in grado di soddisfare tali sotto-task.

Definizione del DPS

Il DPS – Aspetti Legislativi Il Documento Programmatico sulla Sicurezza è un obbligo previsto dagli artt.33 e 34 let.g Dlgs 196 del 30 giugno 2003 , noto come Codice in materia di protezione dei dati personali , pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003 - Supplemento Ordinario n. 123, quale obbligo per tutti i soggetti, fisici o giuridici che trattano dati c.d. sensibili con strumenti elettronici. Il documento va predisposto ed aggiornato annualmente entro il 31 Marzo affinché se ne possa dare comunicazione nella relazione allegata al Bilancio d'esercizio. Viene redatto sulla base dello standard ISO 27001:2005, il quale nell'ottobre 2005 ha sostituito lo standard britannico BS7799.

Il Documento Programmatico sulla Sicurezza è un obbligo previsto dagli artt.33 e 34 let.g Dlgs 196 del 30 giugno 2003 , noto come Codice in materia di protezione dei dati personali , pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003 - Supplemento Ordinario n. 123, quale obbligo per tutti i soggetti, fisici o giuridici che trattano dati c.d. sensibili con strumenti elettronici.

Il documento va predisposto ed aggiornato annualmente entro il 31 Marzo affinché se ne possa dare comunicazione nella relazione allegata al Bilancio d'esercizio.

Viene redatto sulla base dello standard ISO 27001:2005, il quale nell'ottobre 2005 ha sostituito lo standard britannico BS7799.

Attuazione del DPS Il processo di attuazione del DPS prevede, in modo strettamente sequenziale, le seguenti quattro fasi: Plan : definizione piano di sicurezza versione alpha Do : prima implementazione ed attuazione del piano versione alfa Check : monitoraggio e validazione Act : manutenzione ed evoluzione, rilascio versione beta del piano.

Il processo di attuazione del DPS prevede, in modo strettamente sequenziale, le seguenti quattro fasi:

Plan : definizione piano di sicurezza versione alpha

Do : prima implementazione ed attuazione del piano versione alfa

Check : monitoraggio e validazione

Act : manutenzione ed evoluzione, rilascio versione beta del piano.

Responsabilità e Giurisprudenza (1/2) L'adozione della metodologia PDCA per la realizzazione di un D.P.S. è dovuta principalmente per due motivi: l'aggiornamento tecnologico ed infrastrutturale di una o più componenti del sistema informativo; l'aggiornamento dei ruoli dei vari Attori a cui sono associate delle responsabilità (amministrative, civili e penali) per ciascun specifico obiettivo di business del sistema informativo. Legge n. 48 del 27 febbraio 2008 , pubblicata sulla Gazzetta Ufficiale Serie Generale, n. 80 del 4 aprile 2008 in ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla Criminalità Informatica , fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno in merito alle seguenti condotte di carattere penale.

L'adozione della metodologia PDCA per la realizzazione di un D.P.S. è dovuta principalmente per due motivi:

l'aggiornamento tecnologico ed infrastrutturale di una o più componenti del sistema informativo;

l'aggiornamento dei ruoli dei vari Attori a cui sono associate delle responsabilità (amministrative, civili e penali) per ciascun specifico obiettivo di business del sistema informativo.

Legge n. 48 del 27 febbraio 2008 , pubblicata sulla Gazzetta Ufficiale Serie Generale, n. 80 del 4 aprile 2008 in ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla Criminalità Informatica , fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno in merito alle seguenti condotte di carattere penale.

Responsabilità e Giurisprudenza (1/2) frodi dovute all'impersonificazione del mittente : art.495-bis C.P. - Falsa dichiarazione o attestazione al certificatore di firma elettronica sull'identità o su qualità personali proprie o di altri; intercettazione della comunicazione : art.266-BIS C.P.P – Intercettazione Telematiche nonché D.Lgs. 30.6.2003 n. 196 c.d. “Codice in materia di protezione dei dati personali”; modifiche del contenuto dei messaggi : art.635-bis C.P. - Danneggiamento di informazioni, dati e programmi informatici.

frodi dovute all'impersonificazione del mittente : art.495-bis C.P. - Falsa dichiarazione o attestazione al certificatore di firma elettronica sull'identità o su qualità personali proprie o di altri;

intercettazione della comunicazione : art.266-BIS C.P.P – Intercettazione Telematiche nonché D.Lgs. 30.6.2003 n. 196 c.d. “Codice in materia di protezione dei dati personali”;

modifiche del contenuto dei messaggi : art.635-bis C.P. - Danneggiamento di informazioni, dati e programmi informatici.

Definizione informale dell'Organizzazione della CDS L'organizzazione che ci apprestiamo a presentare è un'organizzazione di tipo formale composta da diversi attori i quali hanno come obiettivo il rilascio e l'uso in sicurezza della Carta dello Studente di Tor Vergata (CDS), quale smart card rilasciata agli studenti regolarmente iscritti presso una Facoltà dell'Università di Tor Vergata, mediante la quale quest'ultimi potranno usufruire di diversi sistemi telematici, tra cui anche quello dell'acquisto on-line di libri, presso il sito della propria Facoltà.

L'organizzazione che ci apprestiamo a presentare è un'organizzazione di tipo formale composta da diversi attori i quali hanno come obiettivo il rilascio e l'uso in sicurezza della Carta dello Studente di Tor Vergata (CDS), quale smart card rilasciata agli studenti regolarmente iscritti presso una Facoltà dell'Università di Tor Vergata, mediante la quale quest'ultimi potranno usufruire di diversi sistemi telematici, tra cui anche quello dell'acquisto on-line di libri, presso il sito della propria Facoltà.

Definizione formale dell'Organizzazione della CDS A : è l'insieme degli Attori (o Entità ) che costituiscono l’organizzazione, le quali possono essere persone fisiche o giuridiche, responsabili dell'uso di determinati agenti software; Studenti; Facoltà; CUSD (Centro Universitario Servizi Demografici); SSCDS : Il sistema di sicurezza del circuito di emissione delle CDS; BDSP (Banca Dati degli Studenti e del Personale dell'Università di Roma – Tor Vergata) Biblioteca Organizzazione = < A , R, S >

A : è l'insieme degli Attori (o Entità ) che costituiscono l’organizzazione, le quali possono essere persone fisiche o giuridiche, responsabili dell'uso di determinati agenti software;

Studenti;

Facoltà;

CUSD (Centro Universitario Servizi Demografici);

SSCDS : Il sistema di sicurezza del circuito di emissione delle CDS;

BDSP (Banca Dati degli Studenti e del Personale dell'Università di Roma – Tor Vergata)

Biblioteca

Definizione formale dell'Organizzazione della CDS R : è l'insieme delle Relazioni che definiscono i rapporti tra le entità, regolate da opportuni livelli di trust ; queste possono essere intenzionali o meno e dipendono dagli obiettivi che gli attori coinvolti devono raggiungere S : è la struttura (o topologia ) dell'organizzazione, la quale viene definita sulla base delle Relazioni presenti tra gli Attori . Nella fattispecie, con questo parametro si definisce la topologia della Virtual Organization Organizzazione = < A , R , S >

R : è l'insieme delle Relazioni che definiscono i rapporti tra le entità, regolate da opportuni livelli di trust ; queste possono essere intenzionali o meno e dipendono dagli obiettivi che gli attori coinvolti devono raggiungere

S : è la struttura (o topologia ) dell'organizzazione, la quale viene definita sulla base delle Relazioni presenti tra gli Attori . Nella fattispecie, con questo parametro si definisce la topologia della Virtual Organization

La VO della CDS La VO della CDS risulta essere di tipo non gerarchica ovvero caratterizzata dalla tipologia di rete open system . Tale organizzazione prevede l’interazione di diverse entità eterogenee tra di loro, spesso organizzate gerarchicamente al loro interno, le quali interagiscono su una medesima scala sociale formando alleanze dinamiche e flessibili al fine di perseguire un obiettivo comune di business aziendale, ovvero l'emissione e l'uso della CDS.

La VO della CDS risulta essere di tipo non gerarchica ovvero caratterizzata dalla tipologia di rete open system .

Tale organizzazione prevede l’interazione di diverse entità eterogenee tra di loro, spesso organizzate gerarchicamente al loro interno, le quali interagiscono su una medesima scala sociale formando alleanze dinamiche e flessibili al fine di perseguire un obiettivo comune di business aziendale, ovvero l'emissione e l'uso della CDS.

Valutazione del DPS del sistema CDS Per la valutazione del Piano per la Sicurezza della CDS è stato necessario applicare i seguenti concetti: Definizione del Contesto : C = <E, P, O, CA> Grafo di Contesto : modellato attraverso l'uso delle Social Network, mediante le quali si definiscono i rapporti tra i vari attori coinvolti nel sistema cooperativo in esame. Su tale grafo è possibile effettuare una S.N. Analysis, al fine di identificare ed eventualmente mitigare i bottleneck tra i vari attori coinvolti. Grafo delle Transazioni : modellato attraverso l'uso della Awareness Network, mediante le quali si definiscono le regole d'uso delle singole risorse richieste durante tutte le possibili sequenze di transizioni che gli attori del sistema cooperativo debbano compiere nel raggiungimento di un dato obiettivo di business. Workflow : quale intersezione logica tra i grafi di contesto e transazioni , in modo tale da permettere l'individuazione dei workflow safe (sicuri) e di quelli unsafe (non sicuri).

Per la valutazione del Piano per la Sicurezza della CDS è stato necessario applicare i seguenti concetti:

Definizione del Contesto : C = <E, P, O, CA>

Grafo di Contesto : modellato attraverso l'uso delle Social Network, mediante le quali si definiscono i rapporti tra i vari attori coinvolti nel sistema cooperativo in esame. Su tale grafo è possibile effettuare una S.N. Analysis, al fine di identificare ed eventualmente mitigare i bottleneck tra i vari attori coinvolti.

Grafo delle Transazioni : modellato attraverso l'uso della Awareness Network, mediante le quali si definiscono le regole d'uso delle singole risorse richieste durante tutte le possibili sequenze di transizioni che gli attori del sistema cooperativo debbano compiere nel raggiungimento di un dato obiettivo di business.

Workflow : quale intersezione logica tra i grafi di contesto e transazioni , in modo tale da permettere l'individuazione dei workflow safe (sicuri) e di quelli unsafe (non sicuri).

Definizione del Contesto E : è l'insieme delle entità (persone, aziende, sistemi software e hardware, agenti informatici, ecc..) che condividono un obiettivo O che può dar luogo ad un processo cooperativo P . Nel nostro caso di studio più generale, quest'insieme sarà costituito dai seguenti elementi: {Studente, Facoltà, CUSD , SSCDS, BDSP, Biblioteca, Magazzino} C = < E , P, O, CA >

E : è l'insieme delle entità (persone, aziende, sistemi software e hardware, agenti informatici, ecc..) che condividono un obiettivo O che può dar luogo ad un processo cooperativo P . Nel nostro caso di studio più generale, quest'insieme sarà costituito dai seguenti elementi:

{Studente, Facoltà, CUSD , SSCDS, BDSP, Biblioteca, Magazzino}

Definizione del Contesto P : è l'insieme dei potenziali processi che consentono il raggiungimento dell'obiettivo O . Nel nostro caso di studio quest'insieme sarà costituito dai seguenti elementi: {acquisizione, inizializzazione e consegna della smartcard, caricamento della BDSP, emissione della CDS, uso della CDS, attività di vendita on-line, attività di spedizione, consegna o ritiro CDS, ricarica credito CDS} C = < E , P , O, CA >

P : è l'insieme dei potenziali processi che consentono il raggiungimento dell'obiettivo O . Nel nostro caso di studio quest'insieme sarà costituito dai seguenti elementi:

{acquisizione, inizializzazione e consegna della smartcard, caricamento della BDSP, emissione della CDS, uso della CDS, attività di vendita on-line, attività di spedizione, consegna o ritiro CDS, ricarica credito CDS}

Definizione del Contesto O : è l' obiettivo di business da raggiungere. Nel nostro caso di studio quest'insieme sarà sinteticamente costituito dai seguenti elementi: { rilascio ed uso la CDS allo studente} C = < E , P , O , CA >

O : è l' obiettivo di business da raggiungere. Nel nostro caso di studio quest'insieme sarà sinteticamente costituito dai seguenti elementi:

{ rilascio ed uso la CDS allo studente}

Definizione del Contesto CA : è il cooperation agreement , ovvero il contratto che le entità stipulano per raggiungere l'obiettivo di business O . Nel nostro caso di studio quest'insieme sarà costituito sinteticamente dai seguenti elementi: {insieme delle operazioni che permettono il rilascio e l'uso della CDS} C = < E , P , O , CA >

CA : è il cooperation agreement , ovvero il contratto che le entità stipulano per raggiungere l'obiettivo di business O . Nel nostro caso di studio quest'insieme sarà costituito sinteticamente dai seguenti elementi:

{insieme delle operazioni che permettono il rilascio e l'uso della CDS}

Contesto e livelli di trust La precisa definizione del Contesto operativo è una fase topica in sede di valutazione di un Piano di Sicurezza in quanto permette di definire i livelli di trust tra le varie entità alle quali è possibile associare un insieme di risorse da condividere durante il processo cooperativo. Trust : letteralmente significa fiducia , non è da intendersi come una proprietà del sistema, ma bensì il risultato di una valutazione nei confronti di un'organizzazione.

La precisa definizione del Contesto operativo è una fase topica in sede di valutazione di un Piano di Sicurezza in quanto permette di definire i livelli di trust tra le varie entità alle quali è possibile associare un insieme di risorse da condividere durante il processo cooperativo.

Trust : letteralmente significa fiducia , non è da intendersi come una proprietà del sistema, ma bensì il risultato di una valutazione nei confronti di un'organizzazione.

Livelli di trust U : è l'insieme universo delle entità. C : è il contesto determinato dall'obiettivo O = { rilascio ed uso la CDS allo studente} , e dal processo cooperativo P = { acquisizione, inizializzazione e consegna della smartcard caricamento della BDSP emissione della CDS uso della CDS, attività di vendita on-line, attività di spedizione, consegna o ritiro CDS, ricarica credito CDS} . LT = < U , C , E, R, r, t, r t >

U : è l'insieme universo delle entità.

C : è il contesto determinato dall'obiettivo O = { rilascio ed uso la CDS allo studente} , e dal processo cooperativo P = { acquisizione, inizializzazione e consegna della smartcard caricamento della BDSP emissione della CDS uso della CDS, attività di vendita on-line, attività di spedizione, consegna o ritiro CDS, ricarica credito CDS} .

Livelli di trust E = { tale che e è potenzialmente partecipante al processo cooperativo P con obiettivo O }. R = {r 1 ,r 2 ,...,r m }, è l'insieme delle risorse impiegate. LT = < U , C , E , R , r, t, r t >

E = { tale che e è potenzialmente partecipante al processo cooperativo P con obiettivo O }.

R = {r 1 ,r 2 ,...,r m }, è l'insieme delle risorse impiegate.

Livelli di trust è una funzione che associa ad ogni entità un insieme di risorse. è una funzione che esprime il livello di fiducia che un'entità e i (il trustor ) ha nei confronti dell'entità e j (il trustee ). è una funzione parziale che associa ad ogni risorsa di un'entità un intero positivo che indica il livello di trust necessario affinché tale risorsa possa essere condivisa. LT = < U , C , E , R , r , t , r t >

è una funzione che associa ad ogni entità un insieme di risorse.

è una funzione che esprime il livello di fiducia che un'entità e i (il trustor ) ha nei confronti dell'entità e j (il trustee ).

è una funzione parziale che associa ad ogni risorsa di un'entità un intero positivo che indica il livello di trust necessario affinché tale risorsa possa essere condivisa.

Livelli di trust Pertanto l'assegnazione dei livelli di trust viene definita sulla base del seguente lemma: “ Un entità u può affidare una risorsa r ad un'altra entità v se e solo se alla risorsa r è associato un livello di fiducia minore od uguale al grado di fiducia riportato sull'arco che unisce u con v .”

Pertanto l'assegnazione dei livelli di trust viene definita sulla base del seguente lemma:

“ Un entità u può affidare una risorsa r ad un'altra entità v se e solo se alla risorsa r è associato un livello di fiducia minore od uguale al grado di fiducia riportato sull'arco che unisce u con v .”

Livelli di trust Una possibile scala di valori da assegnare potrebbe essere la seguente:

Una possibile scala di valori da assegnare potrebbe essere la seguente:

Certificazione del SIC della CDS Verifica della correttezza delle precondizioni , definite sulla base dei vincoli C, e delle postcondizioni attese associati a ciascun task Verifica della QoS (Quality of Service) ovvero l'insieme di requisiti funzionali che caratterizzano il comportamento complessivo del SIC Verifica dei requisiti di sicurezza in termini di Autenticazione delle Entità, Riservatezza, Integrità e Disponibilità delle Risorse associati a ciascun task

Verifica della correttezza delle precondizioni , definite sulla base dei vincoli C, e delle postcondizioni attese associati a ciascun task

Verifica della QoS (Quality of Service) ovvero l'insieme di requisiti funzionali che caratterizzano il comportamento complessivo del SIC

Verifica dei requisiti di sicurezza in termini di Autenticazione delle Entità, Riservatezza, Integrità e Disponibilità delle Risorse associati a ciascun task

Workflow Safe e Unsafe il livello di trust necessario alla condivisione delle risorse richieste deve essere definito in maniera minimale su ogni transizione del processo; per ogni transizione e ogni risorsa condivisa bisogna rispettare il livello di trust definito dal grafo di contesto, il quale ed essere il più omogeneo possibile; tutte le transazioni che avvengono devono sfruttare le risorse in maniera più atomica possibile, ed essere comunque previste dal Cooperation Agreement.

il livello di trust necessario alla condivisione delle risorse richieste deve essere definito in maniera minimale su ogni transizione del processo;

per ogni transizione e ogni risorsa condivisa bisogna rispettare il livello di trust definito dal grafo di contesto, il quale ed essere il più omogeneo possibile;

tutte le transazioni che avvengono devono sfruttare le risorse in maniera più atomica possibile, ed essere comunque previste dal Cooperation Agreement.

I Macroprocessi Acquisizione, inizializzazione e consegna della smartcard; Caricamento della BDSP; Emissione della CDS; Attività di vendita on-line. Attività di spedizione. Ricarica credito CDS. Dismissione della CDS.

Acquisizione, inizializzazione e consegna della smartcard;

Caricamento della BDSP;

Emissione della CDS;

Attività di vendita on-line.

Attività di spedizione.

Ricarica credito CDS.

Dismissione della CDS.

Macroprocesso di acquisizione, inizializzazione e consegna della smartcard L'Università di Roma – Tor Vergata effettua una serie di sondaggi online (presenti sul portale di ateneo) allo scopo di verificare quali servizi gli studenti ritengano più utili da attivare in seguito al rilascio delle CDS. Il sondaggio richiede la matricola dello studente. Una volta raccolto un numero sufficiente di dati, il rettorato ne fa richiesta e li ottiene dal centro di calcolo. Viene indetto un bando per la selezione della società cui verrà commissionata la produzione effettiva e l'inizializzazione delle smart card. A tale società verranno comunicati sia i dettagli tecnici della carta che il numero delle stesse da produrre. La società di outsourcing esegue le fasi di produzione ed inizializzazione e consegna il lotto di CDS vergini al rettorato, il quale provvederà a riporle nel caveau del magazzino centrale in attesa di smistarle tra le facoltà.

L'Università di Roma – Tor Vergata effettua una serie di sondaggi online (presenti sul portale di ateneo) allo scopo di verificare quali servizi gli studenti ritengano più utili da attivare in seguito al rilascio delle CDS. Il sondaggio richiede la matricola dello studente. Una volta raccolto un numero sufficiente di dati, il rettorato ne fa richiesta e li ottiene dal centro di calcolo.

Viene indetto un bando per la selezione della società cui verrà commissionata la produzione effettiva e l'inizializzazione delle smart card. A tale società verranno comunicati sia i dettagli tecnici della carta che il numero delle stesse da produrre.

La società di outsourcing esegue le fasi di produzione ed inizializzazione e consegna il lotto di CDS vergini al rettorato, il quale provvederà a riporle nel caveau del magazzino centrale in attesa di smistarle tra le facoltà.

Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Contesto - C = < E , P, O, CA > E = {client studente, BDSP, rettorato, CDC, società in outsourcing, magazzino} Per ciascuna entità coinvolta nel contesto in analisi vi è un persona fisica o giuridica responsabile per quanto riguarda l'utilizzo degli stessi: client studente: contraente del contratto di accesso internet società in outsourcing : direttore generale; CDC: responsabile CDC; BDSP: responsabile gestione BDSP magazzino: responsabile gestione magazzino; rettorato: segreteria del rettorato

E = {client studente, BDSP, rettorato, CDC, società in outsourcing, magazzino}

Per ciascuna entità coinvolta nel contesto in analisi vi è un persona fisica o giuridica responsabile per quanto riguarda l'utilizzo degli stessi:

client studente: contraente del contratto di accesso internet

società in outsourcing : direttore generale;

CDC: responsabile CDC;

BDSP: responsabile gestione BDSP

magazzino: responsabile gestione magazzino;

rettorato: segreteria del rettorato

Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Contesto - P = {approvvigionamento CDS}, le cui rispettive attività elementari sono: P1 = { raccolta dati di sondaggio e verifica identità studente, spedizione dei dati al rettorato}. P2 = {stima del numero di carte da produrre, selezione società in outsourcing e ordinazione delle CDS secondo i parametri scelti} P3 = {ricezione, da parte del rettorato, delle CDS fornite dalla società in outsourcing e successivo spostamento delle stesse nel caveau del magazzino centrale

  • O = {approvvigionamento delle CDS} CA = {insieme di regole che permettono la cooperazione tra le entità del sistema per la realizzazione dei processi organizzativi} C = < E , P , O , CA >

    P = {approvvigionamento CDS}, le cui rispettive attività elementari sono:

    P1 = { raccolta dati di sondaggio e verifica identità studente, spedizione dei dati al rettorato}.

    P2 = {stima del numero di carte da produrre, selezione società in outsourcing e ordinazione delle CDS secondo i parametri scelti}

    P3 = {ricezione, da parte del rettorato, delle CDS fornite dalla società in outsourcing e successivo spostamento delle stesse nel caveau del magazzino centrale
  • O = {approvvigionamento delle CDS}

    CA = {insieme di regole che permettono la cooperazione tra le entità del sistema per la realizzazione dei processi organizzativi}

    Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Grafo di contesto -

    Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Social Network Analysis 1/2-

    Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Social Network Analysis 2/2-

    Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Grafo delle transazioni del processo P1-

    Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Grafo delle transazioni del processo P2-

    Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Grafo delle transazioni del processo P3-

    Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Workflow safe- Dal momento che un workflow è safe se Il livello di trust è definito su ogni transizione del processo Per ogni transizione, ogni risorsa condivisa rispetta il livello di trust definito dal grafo di contesto Tutte le transazioni che avvengono sono previste dal Cooperation Agreement se ne deduce immediatamente che i workflow proposti in sede di discussione dei grafi delle transazioni rappresentano tutti e 3 dei workflow safe.

    Dal momento che un workflow è safe se

    Il livello di trust è definito su ogni transizione del processo

    Per ogni transizione, ogni risorsa condivisa rispetta il livello di trust definito dal grafo di contesto

    Tutte le transazioni che avvengono sono previste dal Cooperation Agreement

    se ne deduce immediatamente che i workflow proposti in sede di discussione dei grafi delle transazioni rappresentano tutti e 3 dei workflow safe.

    Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Mitigare le vulnerabilità 1/3- Ricordiamo che le regole per minimizzare le vulnerabilità sono essenzialmente 3: Utilizzare il minimo livello di trust necessario alla condivisione delle risorse richieste dalla transazione Il grado di trust associato alle risorse di un entità deve essere il più omogeneo possibile Risorse più atomiche possibili

    Ricordiamo che le regole per minimizzare le vulnerabilità sono essenzialmente 3:

    Utilizzare il minimo livello di trust necessario alla condivisione delle risorse richieste dalla transazione

    Il grado di trust associato alle risorse di un entità deve essere il più omogeneo possibile

    Risorse più atomiche possibili

    Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Mitigare le vulnerabilità 2/3-

    Macroprocesso di acquisizione, inizializzazione e consegna della smartcard - Mitigare le vulnerabilità 3/3-

    Macroprocesso di caricamento della BDSP Caricamento della BDSP Aggiornamento della BDS

    Caricamento della BDSP

    Aggiornamento della BDS

    Macroprocesso di caricamento della BDSP - Contesto C = < E , P, O, CA > E = {Facoltà, BDSP, Database Facoltà, CDC} Per ciascuna entità coinvolta nel contesto in analisi vi è un persona fisica o giuridica responsabile per quanto riguarda l'utilizzo degli stessi: Facoltà: segreteria di facoltà BDSP: responsabile gestione BDSP Database della Facoltà: responsabile per la sicurezza del database della segreteria della facoltà CDC: responsabile del CDC;

    C = < E , P, O, CA >

    E = {Facoltà, BDSP, Database Facoltà, CDC}

    Per ciascuna entità coinvolta nel contesto in analisi vi è un persona fisica o giuridica responsabile per quanto riguarda l'utilizzo degli stessi:

    Facoltà: segreteria di facoltà

    BDSP: responsabile gestione BDSP

    Database della Facoltà: responsabile per la sicurezza del database della segreteria della facoltà

    CDC: responsabile del CDC;

    Macroprocesso di caricamento della BDSP - Contesto P = {caricamento della BDSP, Aggiornamento continuo della BDSP}, le cui rispettive attività elementari sono: P 1 = {Richiesta da parte della Facoltà del certificato digitale del CDC, Spedizione del certificato digitale del CDC alla Facoltà, Richiesta da parte del CDC del certificato digitale della Facoltà, Spedizione del certificato digitale della Facoltà al CDC, richiesta da parte della Facoltà dei dati relativi agli utenti presenti nel database, invio dei dati relativi agli utenti della CDS al CDC, il CDC inserisce i dati relativi agli utenti nella BDSP} P 2 = {Acquisizione degli aggiornamenti relativi ai nuovi utenti della CDS da parte della Facoltà, invio al CDC dei dati relativi ai nuovi utenti della CDS da parte della Facoltà, aggiornamento del DBSP da parte del CDC} C = < E , P , O , CA >

    P = {caricamento della BDSP, Aggiornamento continuo della BDSP}, le cui rispettive attività elementari sono:

    P 1 = {Richiesta da parte della Facoltà del certificato digitale del CDC, Spedizione del certificato digitale del CDC alla Facoltà, Richiesta da parte del CDC del certificato digitale della Facoltà, Spedizione del certificato digitale della Facoltà al CDC, richiesta da parte della Facoltà dei dati relativi agli utenti presenti nel database, invio dei dati relativi agli utenti della CDS al CDC, il CDC inserisce i dati relativi agli utenti nella BDSP}

    P 2 = {Acquisizione degli aggiornamenti relativi ai nuovi utenti della CDS da parte della Facoltà, invio al CDC dei dati relativi ai nuovi utenti della CDS da parte della Facoltà, aggiornamento del DBSP da parte del CDC}

    Macroprocesso di caricamento della BDSP - Contesto O = {Inserimento ed aggiornamento dei dati relativi agli utenti proprietari della CDS nella BDSP} CA = {insieme di regole che permettono la cooperazione tra le entità del sistema per la realizzazione dei processi organizzativi, quali il rilascio della CDS} C = < E , P , O , CA >

    O = {Inserimento ed aggiornamento dei dati relativi agli utenti proprietari della CDS nella BDSP}

    CA = {insieme di regole che permettono la cooperazione tra le entità del sistema per la realizzazione dei processi organizzativi, quali il rilascio della CDS}

    Macroprocesso di caricamento della BDSP - Grafo di Contesto Formalizzato il contesto operativo, su cui si agisce è possibile passare alla fase di definizione del rispettivo grafo di contesto G c , nel quale verranno rappresenta tutte le potenziali interazioni tra le entità coinvolte nel contesto C .

    Formalizzato il contesto operativo, su cui si agisce è possibile passare alla fase di definizione del rispettivo grafo di contesto G c , nel quale verranno rappresenta tutte le potenziali interazioni tra le entità coinvolte nel contesto C .

    Macroprocesso di caricamento della BDSP - Social Network Analysis In-degree : tutti i nodi hanno lo stesso numero di out-degree , pertanto è possibile osservare che qualunque nodo prendiamo detiene il massimo out-degree nel grafo di contesto, ovvero la stessa influenza nei confronti dei nodi con i quali comunicano. Out-degree : Analogamente tutti i nodi hanno lo stesso numero di in-degree , e quindi ognuno di questi ha il massimo in-degree , cioè ha lo stesso prestigio che possiedono gli altri nodi, ricevendo lo stesso numero di informazioni. Grado di Centralizzazione : il numero di nodi N è pari a 4 ed ogni nodo ha il massimo grado di archi associati, ovvero g max = 2, quindi il grado di centralizzazione sarà determinato attraverso la seguente formula:

    In-degree : tutti i nodi hanno lo stesso numero di out-degree , pertanto è possibile osservare che qualunque nodo prendiamo detiene il massimo out-degree nel grafo di contesto, ovvero la stessa influenza nei confronti dei nodi con i quali comunicano.

    Out-degree : Analogamente tutti i nodi hanno lo stesso numero di in-degree , e quindi ognuno di questi ha il massimo in-degree , cioè ha lo stesso prestigio che possiedono gli altri nodi, ricevendo lo stesso numero di informazioni.

    Grado di Centralizzazione : il numero di nodi N è pari a 4 ed ogni nodo ha il massimo grado di archi associati, ovvero g max = 2, quindi il grado di centralizzazione sarà determinato attraverso la seguente formula:

    Grado di Gerarchia : il numero di collegamenti reciproci V è pari a 1, similmente ai numeri di links totali del grafo Max(V) = 1, pertanto il grado di gerarchia sarà così determinato: Livelli di Gerarchia : in questo grafo composto da N = 4 nodi notiamo la presenza di diversi cicli da condensare, i quali si riducono ad un grafo composto da un sol nodo, pertanto il rispettivo livello gerarchico sarà così determinato: Macroprocesso di caricamento della BDSP - Social Network Analysis

    Grado di Gerarchia : il numero di collegamenti reciproci V è pari a 1, similmente ai numeri di links totali del grafo Max(V) = 1, pertanto il grado di gerarchia sarà così determinato:

    Livelli di Gerarchia : in questo grafo composto da N = 4 nodi notiamo la presenza di diversi cicli da condensare, i quali si riducono ad un grafo composto da un sol nodo, pertanto il rispettivo livello gerarchico sarà così determinato:

    In un grafo delle transazioni, ogni singolo arco rappresenta una transazione significativa per il contesto di analisi in corso, ovvero una richiesta di condivisione di un insieme di risorse tra due entità, mentre tutte le altre fasi che caratterizzano il contesto sono da considerarsi atomiche. P = { Caricamento della BDSP, Aggiornamento continuo della BDSP } P 1 = {Richiesta da parte della Facoltà del certificato digitale del CDC, Spedizione del certificato digitale del CDC alla Facoltà, Richiesta da parte del CDC del certificato digitale della Facoltà, Spedizione del certificato digitale della Facoltà al CDC, richiesta da parte della Facoltà dei dati relativi agli utenti presenti nel database, invio dei dati relativi agli utenti della CDS al CDC, il CDC inserisce i dati relativi agli utenti nella BDSP} Macroprocesso di caricamento della BDSP – Grafo delle transazioni

    In un grafo delle transazioni, ogni singolo arco rappresenta una transazione significativa per il contesto di analisi in corso, ovvero una richiesta di condivisione di un insieme di risorse tra due entità, mentre tutte le altre fasi che caratterizzano il contesto sono da considerarsi atomiche.

    P = { Caricamento della BDSP, Aggiornamento continuo della BDSP }

    P 1 = {Richiesta da parte della Facoltà del certificato digitale del CDC, Spedizione del certificato digitale del CDC alla Facoltà, Richiesta da parte del CDC del certificato digitale della Facoltà, Spedizione del certificato digitale della Facoltà al CDC, richiesta da parte della Facoltà dei dati relativi agli utenti presenti nel database, invio dei dati relativi agli utenti della CDS al CDC, il CDC inserisce i dati relativi agli utenti nella BDSP}

    Macroprocesso di caricamento della BDSP – Grafo delle transazioni

    Macroprocesso di caricamento della BDSP – Grafo delle transazioni P 2 = {Acquisizione degli aggiornamenti relativi ai nuovi utenti della CDS da parte della Facoltà, invio al CDC dei dati relativi ai nuovi utenti della CDS da parte della Facoltà, aggiornamento del DBSP da parte del CDC}

    P 2 = {Acquisizione degli aggiornamenti relativi ai nuovi utenti della CDS da parte della Facoltà, invio al CDC dei dati relativi ai nuovi utenti della CDS da parte della Facoltà, aggiornamento del DBSP da parte del CDC}

    Dal momento che un workflow è safe se Il livello di trust è definito su ogni transizione del processo Per ogni transizione, ogni risorsa condivisa rispetta il livello di trust definito dal grafo di contesto Tutte le transazioni che avvengono sono previste dal Cooperation Agreement se ne deduce immediatamente che i workflow proposti in sede di discussione dei grafi delle transazioni rappresentano entrambi dei workflow safe. Macroprocesso di caricamento della BDSP – Workflow safe

    Dal momento che un workflow è safe se

    Il livello di trust è definito su ogni transizione del processo

    Per ogni transizione, ogni risorsa condivisa rispetta il livello di trust definito dal grafo di contesto

    Tutte le transazioni che avvengono sono previste dal Cooperation Agreement

    se ne deduce immediatamente che i workflow proposti in sede di discussione dei grafi delle transazioni rappresentano entrambi dei workflow safe.

    Macroprocesso di emissione della CDS Richiesta emissione CDS al Web Server del CDC. Il Web Server del CDC verifica corrispondenza dei dati forniti, con quanto memorizzato nella BDSP. In caso di risposta positiva, il web server del CDC, funge da RA chiedendo il rilascio del certificato di sicurezza alla CA dell'Università. Ottenuto il certificato di sicurezza, il web server del CDC formula una richiesta di registrazione della nuova CDS all'ente CDS. Ultimata la fase di registrazione, il web server del CDC invia il certificato di sicurezza da inserire nella CDS da stampare e consegnare allo studente.

    Richiesta emissione CDS al Web Server del CDC.

    Il Web Server del CDC verifica corrispondenza dei dati forniti, con quanto memorizzato nella BDSP.

    In caso di risposta positiva, il web server del CDC, funge da RA chiedendo il rilascio del certificato di sicurezza alla CA dell'Università.

    Ottenuto il certificato di sicurezza, il web server del CDC formula una richiesta di registrazione della nuova CDS all'ente CDS.

    Ultimata la fase di registrazione, il web server del CDC invia il certificato di sicurezza da inserire nella CDS da stampare e consegnare allo studente.

    Macroprocesso attività di emissione - Contesto E = {segreteria, web server, certification autority, database accessi, database CDS rilasciate}. Per ciascuna entità coinvolta nel contesto in analisi vi è un persona fisica o giuridica responsabile per quanto riguarda l'utilizzo degli stessi: segreteria : addetto alla segreteria (Front Office e Back Office); web server : responsabile per la sicurezza del CDC; certification autority : responsabile per la CA dell'Università; database accessi : responsabile per la sicurezza del BDSP; database CDS : responsabile per la sicurezza delle CDS rilasciate; C = < E , P, O, CA >

    E = {segreteria, web server, certification autority, database accessi, database CDS rilasciate}.

    Per ciascuna entità coinvolta nel contesto in analisi vi è un persona fisica o giuridica responsabile per quanto riguarda l'utilizzo degli stessi:

    segreteria : addetto alla segreteria (Front Office e Back Office);

    web server : responsabile per la sicurezza del CDC;

    certification autority : responsabile per la CA dell'Università;

    database accessi : responsabile per la sicurezza del BDSP;

    database CDS : responsabile per la sicurezza delle CDS rilasciate;

    Macroprocesso attività di emissione - Contesto P = {emissione CDS}, le cui rispettive attività elementari sono: P1 = { compilazione form di registrazione CDS e invio dei dati, verifica corrispondenza dati sulla BDSP, richiesta rilascio del certificato di sicurezza da inserire nella CDS, registrazione della nuova CDS, invio certificato di sicurezza}. O = {rilascio della CDS} CA = {insieme di regole che permettono la cooperazione tra le entità del sistema per la realizzazione dei processi organizzativi, quali il rilascio della CDS} C = < E , P , O , CA >

    P = {emissione CDS}, le cui rispettive attività elementari sono:

    P1 = { compilazione form di registrazione CDS e invio dei dati, verifica corrispondenza dati sulla BDSP, richiesta rilascio del certificato di sicurezza da inserire nella CDS, registrazione della nuova CDS, invio certificato di sicurezza}.

    O = {rilascio della CDS}

    CA = {insieme di regole che permettono la cooperazione tra le entità del sistema per la realizzazione dei processi organizzativi, quali il rilascio della CDS}

    Macroprocesso attività di emissione Grafo di Contesto Formalizzato il contesto operativo, su cui si agisce è possibile passare alla fase di definizione del rispettivo grafo di contesto G c , nel quale verranno rappresenta tutte le potenziali interazioni tra le entità coinvolte nel contesto C .

    Formalizzato il contesto operativo, su cui si agisce è possibile passare alla fase di definizione del rispettivo grafo di contesto G c , nel quale verranno rappresenta tutte le potenziali interazioni tra le entità coinvolte nel contesto C .

    Macroprocesso attività di emissione Social Network Analysis Il nodo CDC ha il massimo out-degree , ovvero h a un'elevata influenza nei confronti di altre entità. Il nodo CDC ha il massimo in-degree , ovvero ha molto prestigio e molto potere nell'organizzazione in quanto riceve molte informazioni. Grado di Centralizzazione : punta a cogliere il grado di coesione di un grafo.

    Il nodo CDC ha il massimo out-degree , ovvero h a un'elevata influenza nei confronti di altre entità.

    Il nodo CDC ha il massimo in-degree , ovvero ha molto prestigio e molto potere nell'organizzazione in quanto riceve molte informazioni.

    Grado di Centralizzazione : punta a cogliere il grado di coesione di un grafo.

    Macroprocesso attività di emissione Social Network Analysis Grado di Gerarchia : fornisce l'estensione con la quale le relazioni fra individui nell'organizzazione sono “ordinate”. Un grafo completamente gerarchico ( DH = 1 ) non avrà collegamenti simmetrici o reciproci.

    Grado di Gerarchia : fornisce l'estensione con la quale le relazioni fra individui nell'organizzazione sono “ordinate”.

    Un grafo completamente gerarchico ( DH = 1 ) non avrà collegamenti simmetrici o reciproci.

    Macroprocesso attività di emissione Social Network Analysis Livelli di Gerarchia : è una misura che prende in considerazione l'intera struttura del grafo.

    Livelli di Gerarchia : è una misura che prende in considerazione l'intera struttura del grafo.

    Macroprocesso attività di emissione Social Network Analysis Betweenness : se un entità (CDC) ha il ruolo di intermediario tra due nodi allora acquista molto potere, in quanto conosce le informazioni scambiate tra i due soggetti e i due soggetti sono obbligati ad utilizzarlo.

    Betweenness : se un entità (CDC) ha il ruolo di intermediario tra due nodi allora acquista molto potere, in quanto conosce le informazioni scambiate tra i due soggetti e i due soggetti sono obbligati ad utilizzarlo.

    Macroprocesso attività di emissione Social Network Analysis nella fase di verifica dei dati dello studente registrato è richiesto un livello di trust pari a T(SEG,BDSP) = min {6 , 10 , 20} = 6

    nella fase di verifica dei dati dello studente registrato è richiesto un livello di trust pari a T(SEG,BDSP) = min {6 , 10 , 20} = 6

    Macroprocesso attività di emissione Grafo delle Transazioni In un grafo delle transazioni, ogni singolo arco rappresenta una transazione significativa per il contesto di analisi in corso, ovvero una richiesta di condivisione di un insieme di risorse tra due entità, mentre tutte le altre fasi che caratterizzano il contesto sono da considerarsi atomiche. P = { emissione CDS } P1 = { compilazione form di registrazione CDS e invio dei dati, verifica corrispondenza dati sulla BDSP, richiesta rilascio del certificato di sicurezza da inserire nella CDS, registrazione della nuova CDS, invio certificato di sicurezza}.

    In un grafo delle transazioni, ogni singolo arco rappresenta una transazione significativa per il contesto di analisi in corso, ovvero una richiesta di condivisione di un insieme di risorse tra due entità, mentre tutte le altre fasi che caratterizzano il contesto sono da considerarsi atomiche.

    P = { emissione CDS }

    P1 = { compilazione form di registrazione CDS e invio dei dati, verifica corrispondenza dati sulla BDSP, richiesta rilascio del certificato di sicurezza da inserire nella CDS, registrazione della nuova CDS, invio certificato di sicurezza}.

    Macroprocesso attività di emissione Grafo delle Transazioni Riconoscimento Utente

    Macroprocesso di uso della CDS Abilitazione di una postazione di lavoro all’identificazione in rete della CDS; Abilitazione di un server universitario per l’identificazione in rete dello studente tramite CDS.

    Abilitazione di una postazione di lavoro all’identificazione in rete della CDS;

    Abilitazione di un server universitario per l’identificazione in rete dello studente tramite CDS.

    Macroprocesso attività di vendita Riconoscimento dello studente mediante CDS Il web server del CDC verifica le credenziali presso l'elenco delle CDS attive La CDS comunica l'esito dell'accertamento al web server CDC il quale a sua volta lo comunica allo studente riconosciuto Lo studente riconosciuto effettua un'operazione di ricerca di un prodotto Il web server comunica l'esito della ricerca effettuata sul db della Biblioteca Ultimate le operazioni di ricerca, al momento dell'ordine, il web server del CDC comunica la disponibilità anche sulla base del saldo disponibile dello studente, precedentemente consultato presso la BDSP Lo studente riconosciuto conferma l'ordine e il web server da l'ordine di detrarre il saldo dal profilo dello studente ed avviare il processo di spedizione

    Riconoscimento dello studente mediante CDS

    Il web server del CDC verifica le credenziali presso l'elenco delle CDS attive

    La CDS comunica l'esito dell'accertamento al web server CDC il quale a sua volta lo comunica allo studente riconosciuto

    Lo studente riconosciuto effettua un'operazione di ricerca di un prodotto

    Il web server comunica l'esito della ricerca effettuata sul db della Biblioteca

    Ultimate le operazioni di ricerca, al momento dell'ordine, il web server del CDC comunica la disponibilità anche sulla base del saldo disponibile dello studente, precedentemente consultato presso la BDSP

    Lo studente riconosciuto conferma l'ordine e il web server da l'ordine di detrarre il saldo dal profilo dello studente ed avviare il processo di spedizione

    Macroprocesso attività di vendita - Contesto E = {studente ( generico, registrato, attivato, riconosciuto ), web server, database accessi, database prodotti}. Per ciascuna entità coinvolta nel contesto in analisi vi è un persona fisica o giuridica responsabile per quanto riguarda l'utilizzo degli stessi: web server : responsabile per la sicurezza del CDC; database accessi : responsabile per la sicurezza del BDSP; database accessi : responsabile per la sicurezza della Biblioteca; C = < E , P, O, CA >

    E = {studente ( generico, registrato, attivato, riconosciuto ), web server, database accessi, database prodotti}.

    Per ciascuna entità coinvolta nel contesto in analisi vi è un persona fisica o giuridica responsabile per quanto riguarda l'utilizzo degli stessi:

    web server : responsabile per la sicurezza del CDC;

    database accessi : responsabile per la sicurezza del BDSP;

    database accessi : responsabile per la sicurezza della Biblioteca;

    Macroprocesso attività di vendita - Contesto P = {riconoscimento utente, ricerca prodotto, ordine prodotti} le cui rispettive attività elementari sono: P1 = { login, ricezione credenziali da parte del sistema, accesso all'archivio degli utenti registrati, verifica dei permessi, attribuzione session per lo studente riconosciuto}; P2 = { ricerca libro di interesse, ricerca dati prodotto, presentazione del prodotto scelto}; P3 = { verifica disponibilità (anche in base al saldo), visualizzazione disponibilità, conferma ordine, evasione ordine, aggiornamento saldo studente}; C = < E , P , O, CA >

    P = {riconoscimento utente, ricerca prodotto, ordine prodotti}

    le cui rispettive attività elementari sono:

    P1 = { login, ricezione credenziali da parte del sistema, accesso all'archivio degli utenti registrati, verifica dei permessi, attribuzione session per lo studente riconosciuto};

    P2 = { ricerca libro di interesse, ricerca dati prodotto, presentazione del prodotto scelto};

    P3 = { verifica disponibilità (anche in base al saldo), visualizzazione disponibilità, conferma ordine, evasione ordine, aggiornamento saldo studente};

    Macroprocesso attività di vendita - Contesto O = {acquisto di uno o più prodotti da parte di uno studente registrato} CA = {insieme di regole che permettono la cooperazione tra le entità del sistema per la realizzazione dei processi organizzativi} C = < E , P , O , CA >

    O = {acquisto di uno o più prodotti da parte di uno studente registrato}

    CA = {insieme di regole che permettono la cooperazione tra le entità del sistema per la realizzazione dei processi organizzativi}

    Macroprocesso attività di vendita Grafo di Contesto Formalizzato il contesto operativo, su cui si agisce è possibile passare alla fase di definizione del rispettivo grafo di contesto G c , nel quale verranno rappresenta tutte le potenziali interazioni tra le entità coinvolte nel contesto C .

    Formalizzato il contesto operativo, su cui si agisce è possibile passare alla fase di definizione del rispettivo grafo di contesto G c , nel quale verranno rappresenta tutte le potenziali interazioni tra le entità coinvolte nel contesto C .

    Macroprocesso attività di vendita Social Network Analysis Il nodo CDC ha il massimo out-degree , ovvero h a un'elevata influenza nei confronti di altre entità. Il nodo CDC ha il massimo in-degree , ovvero ha molto prestigio e molto potere nell'organizzazione in quanto riceve molte informazioni. Grado di Centralizzazione : punta a cogliere il grado di coesione di un grafo.

    Il nodo CDC ha il massimo out-degree , ovvero h a un'elevata influenza nei confronti di altre entità.

    Il nodo CDC ha il massimo in-degree , ovvero ha molto prestigio e molto potere nell'organizzazione in quanto riceve molte informazioni.

    Grado di Centralizzazione : punta a cogliere il grado di coesione di un grafo.

    Macroprocesso attività di vendita Social Network Analysis Grado di Gerarchia : fornisce l'estensione con la quale le relazioni fra individui nell'organizzazione sono “ordinate”. Un grafo completamente gerarchico ( DH = 1 ) non avrà coll

Add a comment

Related pages

Social network analysis - Wikipedia

Social network analysis (SNA) is the process of investigating social structures through the use of network and graph theories. It characterizes networked ...
Read more

Social Network Analysis: An Introduction by Orgnet,LLC

Social network analysis [SNA] is the mapping and measuring of relationships and flows between people, groups, organizations, computers, URLs, and other ...
Read more

Social network - Wikipedia

Social network It has been ... It has been suggested that Social graph be merged into this article. ... Network analysis; Subfields; Conflict ...
Read more

Social Network Analysis: Methods and Applications ...

Social Network Analysis: Methods and Applications (Structural Analysis in the Social Sciences, Band 8) (Englisch) Taschenbuch – 25. November 1994
Read more

Knowledge Sharing Toolkit - Social network analysis

Social Network Analysis Brief Description: "Social network analysis is the mapping and measuring of relationships and flows between people, groups ...
Read more

Business Analytics: Social Network Analysis - oracle.com

Summary. Graph analysis is a useful complement to more-traditional types of tabular big data analysis. In this article, you performed social network ...
Read more

Character Analysis - The Social Network

Winklevoss Twins -Shows the aggressiveness and passiveness of each of the Winklevoss twins. Cameron is more passive and thinks everything through, where
Read more

International Network for Social Network Analysis - INSNA

INSNA INSNA is the professional association for researchers interested in social network analysis. 2016 Annual Report. The 2016 Annual Report to the ...
Read more

What Is Social Network Analysis? - Analytic Technologies

What Is Social Network Analysis? What is Network Analysis? Network analysis is the study of social relations among a set of actors. It is a field of study ...
Read more

International Network for Social Network Analysis - INSNA

What is Social Network Analysis? Social network analysis is focused on uncovering the patterning of people's interaction. It is about the kind of ...
Read more