Un approccio al role engineering basato sui costi di amministrazione
- Autore della tesi: Un approccio al role engineering basato sui costi di amministrazione ≫
Il lavoro svolto in questa tesi è stato incentrato sul controllo degli accessi, un aspetto molto importante della sicurezza ICT che negli ultimi anni sta riscuotendo notevole interesse in ambito sia accademico che industriale. In particolare, sono stati analizzati gli elementi che possono influenzare i costi di amministrazione di un sistema di controllo degli accessi basato sul modello RBAC (Role-Based Access Control) offrendo una metodologia in grado di minimizzarli.
Negli ultimi anni il modello RBAC si è enormemente diffuso fra le aziende e le organizzazioni di medie e grandi dimensioni. Tale modello si è mostrato vincente in un contesto in cui il numero crescente di applicazioni e utenti ha portato le aziende alla ricerca di metodologie e modelli per una più efficiente gestione dei permessi di accesso assegnati ai propri dipendenti. Il successo del modello RBAC è legato alla sua estrema semplicità: un ruolo altro non è che un insieme di permessi di accesso, mentre gli utenti vengono assegnati ai ruoli sulla base delle loro mansioni aziendali. Il beneficio più evidente è rappresentato dall’aumento della produttività degli amministratori di sistema: raggruppando i permessi più utilizzati in un unico ruolo è sufficiente assegnare gli utenti al ruolo piuttosto che abilitarli singolarmente a tutti permessi. Nonostante la universalmente riconosciuta flessibilità ed efficacia del modello, le organizzazioni mostrano ancora una certa difficoltà nel processo di
migrazione verso RBAC, principalmente a causa della complessità correlata all’identificazione di un insieme di ruoli che meglio rispecchiano le reali esigenze organizzative. Difatti, nessuna delle metodologie di disegno dei ruoli (solitamente riferite con il termine role engineering) finora descritte in letteratura offre una metrica per misurare la "bontà" dei ruoli candidati proposti.
Il lavoro di tesi presenta un approccio innovativo all’argomento e si fonda sul concetto di misurazione del costo di amministrazione del modello RBAC. Il principale contributo consiste nella definizione di una metrica che cerca di offrire una valutazione del vantaggio legato ad un ruolo in termini di costo di amministrazione durante tutto il processo di identificazione dei ruoli. Tale metrica ha dato origine ad una metodologia di role engineering, dove viene usata al fine di identificare un insieme ottimale di ruoli che "coprono" tutte le possibili combinazioni di permessi possedute dagli utenti al più basso costo di amministrazione. Il lavoro introduce
anche un algoritmo, denominato RBAM (Role-Based Association-rule Mining), in grado di sfruttare la metrica definita per una particolare organizzazione al fine di identificare un insieme di ruoli aventi un costo di amministrazione il più basso possibile, offrendo cioè un’approssimazione ragionevole dell’ottimo teorico con un relativamente basso costo computazionale. E’ stato dimostrato che l’algoritmo è, nel caso peggiore, NP-completo ma vengono mostrati esempi pratici che provano l’efficacia delle assunzioni e delle approssimazioni adottate. Inoltre, vengono evidenziati i vantaggi dell’approccio proposto attraverso l’applicazione dell’algoritmo su dati estratti da una importante realtà aziendale.
Da questo lavoro sono state derivate due pubblicazioni già validate dalla comunità scientifica, mentre una terza pubblicazione è in attesa di approvazione. Il primo
articolo riassume tutti i risultati descritti in maniera approfondita nella tesi. Il secondo articolo estende il primo introducendo alcune ottimizzazioni all’algoritmo RBAM; tali estensioni sono tuttavia generiche e applicabili a molti degli algoritmi di role mining (ovvero role engineering attraverso l’applicazione di tecniche di data mining) esistenti in letteratura. Un terzo lavoro, in attesa di approvazione, estende ulteriormente il lavoro introducendo un modello innovativo per la rappresentazione dei vincoli di separazione dei compiti.
Studi
-
Master in Gestione della Sicurezza Informatica per l'Impresa e la Pubblica Amministrazione
conseguito presso Università degli Studi di Roma La Sapienza nell'anno 2008
Esperienze lavorative