Auflistung nach Autor:in "Accorsi, Rafael"
1 - 10 von 13
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragAnwenden struktureller Nicht-Interferenz zur Sicherheitsanalyse von Workflow-Modellen(INFORMATIK 2011 – Informatik schafft Communities, 2011) Accorsi, RafaelDieser Beitrag definiert die formalen Grundlagen zur Anwendung von struktureller Nicht-Interferenz für die fundierte Petrinetz-basierte Sicherheitsanalyse von industriellen Workflow-Modellen und damit den ursprünglichen Geschäftsprozessen. Der Ansatz wird anhand eines Beispiels für einen eAuction-Workflow veranschaulicht.
- ZeitschriftenartikelAutomatisierte Compliance-Zertifizierung Cloud-basierter Geschäftsprozesse(Wirtschaftsinformatik: Vol. 53, No. 3, 2011) Accorsi, Rafael; Lowis, Lutz; Sato, YoshinoriDie in wachsendem Ausmaß geforderte Compliance von Geschäftsprozessen kann beim Cloud-Computing bisher – wenn überhaupt – nur mit großem, manuellem Aufwand nachgewiesen werden. Ohne entsprechende Zertifizierung werden aber viele Interessenten keine Cloud-basierten Geschäftsprozesse einsetzen. Der Beitrag stellt ein neues Verfahren zur automatisierten Compliance-Prüfung von Prozessen vor, bei dem Prozesse und Regeln als Petrinetze formalisiert werden. Außerdem wird eine Klassifikation von Compliance-Anforderungen aufgestellt, aus der Muster für die Prüfung abgeleitet werden. Anhand der Muster werden Evidenzen bezüglich der Regeleinhaltung automatisiert erzeugt.AbstractA key problem in the deployment of large-scale, reliable cloud computing concerns the difficulty to certify the compliance of business processes operating in the cloud. Standard audit procedures such as SAS-70 and SAS-117 are hard to conduct for cloud-based processes. The paper proposes a novel approach to certify the compliance of business processes with regulatory requirements. The approach translates process models into their corresponding Petri net representations and checks them against requirements also expressed in this formalism. Being based on Petri nets, the approach provides well-founded evidence on adherence and, in case of noncompliance, indicates the possible vulnerabilities.
- ZeitschriftenartikelCompliance-Monitor zur Frühwarnung vor Risiken(Wirtschaftsinformatik: Vol. 50, No. 5, 2008) Accorsi, Rafael; Sato MSc., Yoshinori; Kai MSc., SatoshiDer Beitrag befasst sich mit der Entwicklung eines Frühwarnsystems zur vorzeitigen Entdeckung von Verletzungen der Privatsphäre in „Business Compliance“ und zeigt die Anwendbarkeit dieses Verfahrens am Beispiel der Anonymität. Hierzu wird ein Referenzmonitor vorgestellt, der das Risiko, ausgedrückt als Eintrittswahrscheinlichkeit, einer zukünftigen Regelverletzung vor ihrem Eintritt automatisch berechnet und warnt, wenn die Ausführung als gefährlich eingestuft wird.AbstractThe paper reports on a reference monitor for early warning risk determination for privacy violations in the context of business compliance and demonstrates its applicability in the particular case of anonymity. To this end, the monitor detects system executions that potentially lead to incompliant states before the actual violation by determining the risk they pose to compliance goals and warning officers responsible for compliance about risky executions. In doing so, the presented monitor is a novel technique to automate some of the tasks involved in guaranteeing compliance.
- ZeitschriftenartikelComputergestützte Prozessauditierung mit Process Mining(HMD Praxis der Wirtschaftsinformatik: Vol. 50, No. 4, 2013) Stocker, Thomas; Accorsi, Rafael; Rother, TobiasenExistierende Mechanismen zur Prozessauditierung reichen für einen wirksamen Nachweis der Einhaltung verbindlicher Vorgaben und interner Richtlinien nicht aus. Process-Mining-Verfahren können in diesem Zusammenhang dazu beitragen, die Verlässlichkeit und Aussagekräftigkeit von Analyseergebnissen durch Anwendung von Massendatenanalysen erheblich zu steigern. Dieser Beitrag zeigt am Beispiel eines Einkaufsprozesses die Chancen und derzeitigen Grenzen dieser im Prüfungswesen stark an Bedeutung gewinnenden Technologie.
- KonferenzbeitragDetective information flow analysis for business processes(Business process, services – computing and intelligent service management, 2009) Accorsi, Rafael; Wonnemann, ClausWe report on ongoing work towards a posteriori detection of illegal information flows for business processes, focusing on the challenges involved in doing so. Resembling a forensic investigation, our approach aims at analyzing the audit trails resultant from the execution of the business processes, locating informations flows that violate the (non-functional) requirements stipulated by security policies. The goal is to obtain fine-grained evidence of policy compliance with respect to information flows.
- ZeitschriftenartikelProcess Mining(Informatik-Spektrum: Vol. 35, No. 5, 2012) Accorsi, Rafael; Ullrich, Meike; van der Aalst, Wil M. P.
- ZeitschriftenartikelSecond Workshop on Security in Business Processes - A workshop report(Enterprise Modelling and Information Systems Architectures - An International Journal: Vol. 8, Nr. 2, 2013) Accorsi, Rafael; Matulevičius, RaimundasThe second workshop on Security in Business Processes (SBP’13) was organised in conjunction with the 11th international conference on Business Process Management (BPM 2013). Over 20 participants attended the workshop to present and discuss 6 papers, the insights they offered and the issues they raised. During the half-day workshop, a number of important and emerging issues in this area were discussed from the perspectives of formal methods and security modelling and importance of security properties and requirements in the business processes.
- KonferenzbeitragSecSy: Synthesizing Process Event Logs(Enterprise Modelling and Information Systems Architectures (EMISA 2013), 2013) Accorsi, Rafael; Stocker, ThomasOne difficulty at developing mechanisms for business process security monitoring and auditing is the lack of representative, controllably generated test runs to serve as an evaluation basis. This paper presents an approach and the corresponding tool support for event log synthesis. The novelty is that it considers the activity of an “attacker” able to purposefully infringe security and compliance requirements or simply manipulate the process' control and data flow, thereby creating deviations of the intended process model. The resulting logs can be readily replayed on a reference monitor, or serve as input for auditing tools based upon, e.g., process mining.
- KonferenzbeitragSecurity Workflow Analysis Toolkit(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Accorsi, Rafael; Holderer, Julius; Stocker, Thomas; Zahoransky, RichardDieser Beitrag stellt das ”Security Workflow Analysis Toolkit“ (SWAT) vor, eine Plattform für die formal fundierte Analyse von Geschäftsprozessen. Ausgehend von als Muster formalisierten Sicherheitsanforderungen dient SWAT als Basis fur die Analyse von Prozessmodellen und Prozesslogs. Der vorliegende Beitrag zeigt anhand von Beispielen, welche Arten von Analysen mit SWAT möglich sind und wie SWAT hinsichtlich seiner Architektur aufgebaut ist.
- ZeitschriftenartikelSichere Nutzungskontrolle für mehr Transparenz in Finanzmärkten(Informatik-Spektrum: Vol. 33, No. 1, 2010) Müller, Günter; Accorsi, Rafael; Höhn, Sebastian; Sackmann, StefanGegenwärtige Mechanismen können die Sicherheitsanforderungen in dezentralen IT-Infrastrukturen, wie sie von den Finanzmarktanwendungen genutzt werden, nicht zuverlässig umsetzen. Damit Regularien wirksam werden können, ist die Zugangskontrolle zu den Objekten und Ressourcen nicht ausreichend, sondern es muss direkt die Nutzung der Anwendungen und ihre Ressourcen kontrolliert werden. Nutzungskontrollmechanismen schaffen – so der Anspruch – die nötige Transparenz und Evidenz, um die regelkonforme Nutzung der IT-Infrastruktur zu belegen. Mit Verfahren zur Informationsflusskontrolle und zur Umschreibung von Prozessen sind grundlegende Mechanismen hierzu vorhanden. Der Beitrag stellt die Verbindungen zwischen den Sicherheitseigenschaften gegenwärtiger IT-Infrastrukturen und den dezentralen Entscheidungssituationen auf Finanzmärkten zur Diskussion. Er zeigt, dass mit Mechanismen zur Nutzungskontrolle und entpersonalisierter Kommunikation Frühwarnsysteme für gesamtwirtschaftliche Ziele aufgebaut werden können, ohne die Handlungsfreiheit einzelner Akteure einzuschränken.