摘要:Segurança da informação é um tópico essencial para organizações privadas e governamentais, e sua disponibilização deve ser apoiada por ferramentas de software, tanto em tempo de projeto (quando regras de negócio de autorização são planejadas e projetadas) como em tempo de execução (quando regras de negócio de autorização são aplicadas e monitoradas). Uma regra de negócio de autorização (ou regra de autorização, de forma resumida) é uma regra que afirma quais operações podem ser executadas em cada item de dado por cada usuário. Portanto, ferramentas para apoiar a segurança da informação devem incluir características como edição, gestão, e garantir a aplicação e monitoramento de regras de autorização. Estas características podem ser estruturadas em um framework composto por compontentes de gestão e execução de regras. Em cenários reais, avaliar e selecionar ferramentas para apoiar processos de negócio da organização é em geral tratado por atividades de prospecção que são conduzidas de uma forma ad-hoc, e portanto consomem muito tempo e são difíceis de serem rastreadas. Entretanto, a evolução rápida de cenários do negócio, a demanda crescente de rastreabilidade para alinhamento do negócio e TI e o grande número de soluções de TI disponíveis para serem avalidas requerem atividades de prospecção mais sistemáticas, rastreabilidade e rápida adaptação a diferentes cenários. Este trabalho propõe um conjunto de critérios e um método sistemático para avaliação de ferramentas para gestão e execução de regras de autorização. Nós aplicamos nossa abordagem em um cenário real. Os resultados demonstraram que ferramentas BRMS (Business Rule Management Systems) podem ser usadas para gestão de regras de autorização, e que o SGBD Oracle, dentre as ferramentas analisadas, é a ferramenta mais adequada para armazenamento e execução de regras de autorização.
其他摘要:Information security is an essential subject for commercial and government organizations, and its deployment should be supported by software tools, both at design time (when authorization business rules are planned and designed) and at run time (when authorization business rules are applied and monitored). An authorization business rule (or authorization rules, for short) is a rule that states which operations may be executed on each data item by each user. Therefore, information security supporting tools should include features for editing, managing, and assuring the application and monitoring of authorization rules. These features may be structured in a framework composed by rule management and rule execution components. In real scenarios, evaluating and selecting tools to support organization business processes is typically handled by prospecting activities that are conducted in an ad-hoc way, and therefore are very time-consuming and hard to track. However, the rapid evolution of business scenarios, the increasing demand for traceability in business-IT alignment and the great number of IT solutions available for being evaluated require prospecting activities to be more systematic, traceable and quickly adapted to different scenarios. This work proposes a set of criteria and a systematic method for evaluating tools for management and execution of authorization rules. We have applied our approach in a real scenario. The results demonstrated that BRMS (Business Rule Management Systems) tools can be used for authorization rule management, and Oracle DBMS is the most suitable tool for authorization rules storage and execution.
关键词:regras de negócio; regras de autorização; sistemas de gestão de regras de negócio; arquitetura de TI da empresa; avaliação de ferramentas.
其他关键词:business rules; authorization rules; business rule management systems; IT enterprise architecture; tool evaluation.