Eliciting Requirements for a Company-wide Data Leakage Prevention System Stefan Gärtner, Svenja Schulz, and Kurt Schneider Software Engineering Group, Leibniz Universität Hannover, Germany Steffen Förster Continental Information Technology Hannover, Germany Fachgruppentreffen Requirements Engineering 2014
Agenda Motivation and Forschungsziele Data Leakage Prevention (DLP) Anforderungserhebung für DLP in komplexen Arbeitssystemen Zusammenfassung und Ausblick Gärtner: Maintaining Requirements by Incorporating Security Knowledge 2
Motivation Arbeitssysteme sind soziotechnische Systeme, bei denen der Mensch zur Erfüllung einer Arbeitsaufgabe mit Betriebsmitteln zusammenwirkt. Umwelt Technisches Subsystem Aufgabe Technologie Input Output Mitglieder Rollen/Struktur Soziales Subsystem [Sydow1985] 3
Motivation Arbeitssysteme müssen bestimmte Qualitätseigenschaften und -ziele erfüllen Erhebung von Anforderungen in Arbeitssystemen ist schwierig Dynamischen Umwelt und evolvierendes Wissen Heterogener Nutzerkreis Vielfältige Technologien und Aufgaben Erhebungstechniken müssen zielgerichtet kombiniert werden, um die verschiedenen Aspekte von Arbeitssystemen abzudecken 4
Data Leakage Prevention (DLP) Vertrauliche Daten im Unternehmen sind wertvolle Ressourcen, die vor Offenlegung geschützt werden müssen Nicht nur Bedrohung durch Angriffe von außen, sondern auch von innen Data Leakage Prevention (DLP) kann eingesetzt werden, um Offenlegung von Daten zu verhindern Erhebung von Anforderungen im Arbeitssystem zur Konfiguration von DLP-Systemen 5
Anforderungserhebung für DLP Erhebung von Informationsflüssen in Bezug auf vertrauliche Daten in Arbeitssystemen Identification FLOW Interviews Interviewing Pilot Monitoring Assoziationsanalyse 6
DLP bei Continental Tires Mitglieder Monitoring Analysis Database Reaction 7
Ablauf der Vorstudie 1. Zeitraum für Pilot Monitoring von April bis August 2014 2. Vorbereitung der Interviews und Auswahl der Personen 3. Durchführung der Interviews von Juli bis August 2014 Pilot Monitoring Interviewing Vorbereitung Durchführung 8
Pilot Monitoring Datenerhebung 13 Personen für Pilot Monitoring (End-Point Monitoring) Durchschnittlich ca. 6 Ereignisse pro Tag 861 Ereignisse insgesamt Folgende Informationen wurden erhoben Datum Zugriffsart Nutzer Name der betroffenen Policy sowie Schlüsselworte Dateiname und Anwendung Optional: Justification 9
Statistik zu Zugriffsart 10
Statistik zu Dateitypen 11
Assoziationsanalyse Zusammenhänge und Regeln in den aufgenommenen Daten ermitteln Korrelation zwischen gemeinsam auftretenden Eigenschaften ID A B P xls P 1 xls U1 0 2 doc U2 0 1 0 0 0 A P 3 xls U1 1 1 1 Rohdaten Transformierte Daten Data Mining (z.b. RapidMiner) Regeln und Zusammenhänge 12
Vorbereitung der Interviews Rollen bei denen das DLP-System im Testbetrieb eingesetzt würde Leitende Angestellte Unterstützende Angestellte Fachangestellte Basierend auf den Rollen wurden 4 Mitarbeitern für Interviews ausgewählt Anhand der Interviews soll der Informationsfluss für bestimmte Aufgaben und Rollen im Unternehmen erfasst werden FLOW Interviews 13
FLOW Interviews (I) [Stapel2009,Stapel2012] 14
FLOW Interviews (II) [Stapel2009,Stapel2012] 15
Vorläufige Auswertung (I) Im Interview wiedergegebenes Verhalten deckt sich weitestgehend mit den aufgenommenen Daten Identifikation von Technologien im Unternehmen, die nicht vom DLP-System überwacht werden (z.b. Sharepoint, ContView, u.a.) Testergebnisse aus Experimenten wurden als vertrauliche Daten identifiziert Einige Aufgaben erfordern umfangreiche Zusammenarbeit und Austausch von Daten mit externen Personen. 16
Vorläufige Auswertung (II) Informationen aus dem Monitoring lassen sich für die Interviews verwenden d.h. Auffälligkeiten nachfragen Einschätzung über Vertraulichkeit der Daten unterscheidet sich stark. Teilweise optimierbare Verhaltensweisen in alltägliche Praktiken beschrieben. Keine detaillierten Angaben im Interview zur Nutzung bestimmter Technologien für bestimmte Aufgaben (z.b. Häufigkeit, u.a.) 17
Vergleich der Erhebungstechniken Stärken Schwächen Pilot Monitoring Automatisierte Aufnahme/Auswertung von feingranulare Informationen über die Verwendung der Technologie. Es kann nur aufgezeichnet werden, was bekannt ist. Analyse der Daten kann u.u. nicht manuell durchgeführt werden. Es lassen sich nur Zugriffe m.h. der Technologie erfassen. Interviewing Es können neue Informationen über die Umgebung und dem Arbeitssystem erhoben werden. Zusammenhänge zwischen den Aufgaben und der verwendeten Technologie lassen sich erheben Manuelle Durchführung ist aufwendig und bindet Ressourcen. Detaillierte Beschreibung über Verwendung einer Technologie ist ungenau/unvollständig. 18
Zusammenfassung und Ausblick Kombination von Erhebungstechniken für die soziotechnische Systeme (Arbeitssysteme) Vorstudie für die Ermittlung von Anforderungen für DLP- Systeme bei Continental Abwägung der Stärken und Schwächen der eingesetzten Erhebungstechniken Ausblick: In Vorstudie nur kleine Datenmenge genutzt Studie ausweiten für Validierung des Ansatzes. Ableitung von konkreten Anforderung für DLP-Systeme aus den Daten. 19
Referenzen [Sydow1985] Jörg Sydow: Der soziotechnische Ansatz der Arbeits- und Organisationsgestaltung: Darstellung, Kritik, Weiterentwicklung, Campus Verlag, Frankfurt am Main, 1985. [Stapel2009] Kai Stapel, Eric Knauss, Kurt Schneider: Using FLOW to Improve Communication of Requirements in Globally Distributed Software Projects, In Workshop on Collaboration and Intercultural Issues on Requirements: Communication, Understanding and Softskills (CIRCUS), 2009. [Stapel2012] Kai Stapel, Kurt Schneider: Managing Knowledge on Communication and Information Flow in Global Software Projects, In Expert Systems - Special Issue on Knowledge Engineering in Global Software Development, 2012 20