Eliciting Requirements for a Company

Eliciting Requirements for a Company-wide
Data Leakage Prevention System
Stefan Gärtner, Svenja Schulz, and Kurt Schneider
Software Engineering Group, Leibniz Universität Hannover, Germany
Steffen Förster
Continental Information Technology Hannover, Germany
Fachgruppentreffen Requirements Engineering 2014
Agenda
• Motivation and Forschungsziele
• Data Leakage Prevention (DLP)
• Anforderungserhebung für DLP in komplexen
Arbeitssystemen
• Zusammenfassung und Ausblick
Gärtner: Maintaining Requirements by Incorporating Security Knowledge
28.11.2014
2
Motivation
• Arbeitssysteme sind soziotechnische Systeme, bei denen der
Mensch zur Erfüllung einer Arbeitsaufgabe mit Betriebsmitteln zusammenwirkt.
Umwelt
Technisches Subsystem
Aufgabe
Technologie
Input
Output
Mitglieder
Rollen/Struktur
Soziales Subsystem
[Sydow1985]
Eliciting Requirements for a Company-wide DLP System
28.11.2014
3
Motivation
• Arbeitssysteme müssen bestimmte Qualitätseigenschaften
und -ziele erfüllen
• Erhebung von Anforderungen in Arbeitssystemen ist
schwierig
– Dynamischen Umwelt und evolvierendes Wissen
– Heterogener Nutzerkreis
– Vielfältige Technologien und Aufgaben
• Erhebungstechniken müssen zielgerichtet kombiniert werden,
um die verschiedenen Aspekte von Arbeitssystemen
abzudecken
Eliciting Requirements for a Company-wide DLP System
28.11.2014
4
Data Leakage Prevention (DLP)
• Vertrauliche Daten im Unternehmen sind wertvolle
Ressourcen, die vor Offenlegung geschützt werden müssen
• Nicht nur Bedrohung durch Angriffe von außen, sondern
auch von innen
• Data Leakage Prevention (DLP) kann eingesetzt werden, um
Offenlegung von Daten zu verhindern
• Erhebung von Anforderungen im Arbeitssystem zur
Konfiguration von DLP-Systemen
Eliciting Requirements for a Company-wide DLP System
28.11.2014
5
Anforderungserhebung für DLP
• Erhebung von Informationsflüssen in Bezug auf vertrauliche
Daten in Arbeitssystemen
Identification
Interviewing
FLOW
Interviews
Pilot
Monitoring
Assoziationsanalyse
Eliciting Requirements for a Company-wide DLP System
28.11.2014
6
DLP bei Continental Tires
Mitglieder
Monitoring
Analysis
Database
Reaction
Eliciting Requirements for a Company-wide DLP System
28.11.2014
7
Ablauf der Vorstudie
1. Zeitraum für Pilot Monitoring von April bis August 2014
2. Vorbereitung der Interviews und Auswahl der Personen
3. Durchführung der Interviews von Juli bis August 2014
Pilot Monitoring
Interviewing
Vorbereitung
Durchführung
Eliciting Requirements for a Company-wide DLP System
28.11.2014
8
Pilot Monitoring
• Datenerhebung
– 13 Personen für Pilot Monitoring (End-Point Monitoring)
– Durchschnittlich ca. 6 Ereignisse pro Tag
– 861 Ereignisse insgesamt
• Folgende Informationen wurden erhoben
–
–
–
–
–
–
Datum
Zugriffsart
Nutzer
Name der betroffenen Policy sowie Schlüsselworte
Dateiname und Anwendung
Optional: Justification
Eliciting Requirements for a Company-wide DLP System
28.11.2014
9
Statistik zu Zugriffsart
Eliciting Requirements for a Company-wide DLP System
28.11.2014
10
Statistik zu Dateitypen
Eliciting Requirements for a Company-wide DLP System
28.11.2014
11
Assoziationsanalyse
• Zusammenhänge und Regeln in den aufgenommenen Daten
ermitteln
• Korrelation zwischen gemeinsam auftretenden Eigenschaften
ID
1
A
xls
B
U1
P
P
1
0
0
0
1
1
0
2
doc
U2
0
3
xls
U1
1
Rohdaten
xls
Transformierte
Daten
AP
Data Mining
(z.B. RapidMiner)
Eliciting Requirements for a Company-wide DLP System
Regeln und
Zusammenhänge
28.11.2014
12
Vorbereitung der Interviews
• Rollen bei denen das DLP-System im Testbetrieb eingesetzt
würde
– Leitende Angestellte
– Unterstützende Angestellte
– Fachangestellte
• Basierend auf den Rollen wurden 4 Mitarbeitern für
Interviews ausgewählt
• Anhand der Interviews soll der Informationsfluss für
bestimmte Aufgaben und Rollen im Unternehmen erfasst
werden  FLOW Interviews
Eliciting Requirements for a Company-wide DLP System
28.11.2014
13
FLOW Interviews (I)
[Stapel2009,Stapel2012]
Eliciting Requirements for a Company-wide DLP System
28.11.2014
14
FLOW Interviews (II)
[Stapel2009,Stapel2012]
Eliciting Requirements for a Company-wide DLP System
28.11.2014
15
Vorläufige Auswertung (I)
• Im Interview wiedergegebenes Verhalten deckt sich
weitestgehend mit den aufgenommenen Daten
• Identifikation von Technologien im Unternehmen, die nicht
vom DLP-System überwacht werden (z.B. Sharepoint,
ContView, u.a.)
• Testergebnisse aus Experimenten wurden als vertrauliche
Daten identifiziert
• Einige Aufgaben erfordern umfangreiche Zusammenarbeit
und Austausch von Daten mit externen Personen.
Eliciting Requirements for a Company-wide DLP System
28.11.2014
16
Vorläufige Auswertung (II)
• Informationen aus dem Monitoring lassen sich für die
Interviews verwenden d.h. Auffälligkeiten nachfragen
• Einschätzung über Vertraulichkeit der Daten unterscheidet
sich stark.
• Teilweise optimierbare Verhaltensweisen in alltägliche
Praktiken beschrieben.
• Keine detaillierten Angaben im Interview zur Nutzung
bestimmter Technologien für bestimmte Aufgaben (z.B.
Häufigkeit, u.a.)
Eliciting Requirements for a Company-wide DLP System
28.11.2014
17
Vergleich der Erhebungstechniken
Stärken
Pilot Monitoring
Interviewing
• Automatisierte
Aufnahme/Auswertung von
feingranulare Informationen
über die Verwendung der
Technologie.
• Es können neue Informationen
über die Umgebung und dem
Arbeitssystem erhoben
werden.
• Zusammenhänge zwischen
den Aufgaben und der
verwendeten Technologie
lassen sich erheben
• Es kann nur aufgezeichnet
werden, was bekannt ist.
• Analyse der Daten kann u.U.
nicht manuell durchgeführt
Schwächen
werden.
• Es lassen sich nur Zugriffe
m.H. der Technologie
erfassen.
• Manuelle Durchführung ist
aufwendig und bindet
Ressourcen.
• Detaillierte Beschreibung über
Verwendung einer Technologie
ist ungenau/unvollständig.
Eliciting Requirements for a Company-wide DLP System
28.11.2014
18
Zusammenfassung und Ausblick
• Kombination von Erhebungstechniken für die
soziotechnische Systeme (Arbeitssysteme)
• Vorstudie für die Ermittlung von Anforderungen für DLPSysteme bei Continental
• Abwägung der Stärken und Schwächen der eingesetzten
Erhebungstechniken
• Ausblick:
– In Vorstudie nur kleine Datenmenge genutzt  Studie ausweiten für
Validierung des Ansatzes.
– Ableitung von konkreten Anforderung für DLP-Systeme aus den
Daten.
Eliciting Requirements for a Company-wide DLP System
28.11.2014
19
Referenzen
[Sydow1985] Jörg Sydow: Der soziotechnische Ansatz der Arbeits- und
Organisationsgestaltung: Darstellung, Kritik, Weiterentwicklung, Campus
Verlag, Frankfurt am Main, 1985.
[Stapel2009] Kai Stapel, Eric Knauss, Kurt Schneider: Using FLOW to
Improve Communication of Requirements in Globally Distributed Software
Projects, In Workshop on Collaboration and Intercultural Issues on
Requirements: Communication, Understanding and Softskills (CIRCUS),
2009.
[Stapel2012] Kai Stapel, Kurt Schneider: Managing Knowledge on
Communication and Information Flow in Global Software Projects, In
Expert Systems - Special Issue on Knowledge Engineering in Global
Software Development, 2012
Eliciting Requirements for a Company-wide DLP System
28.11.2014
20