PDF de programación - Desde el modelado de Procesos de Negocio con requisitos de seguridad hacia la generación de Servicios Web equivalentes

Desde el modelado de Procesos de Negocio con requisitos de seguridad hacia la

generación de Servicios Web equivalentes

Gastón Márquez

Bluebyte Tech

Blanco 869, Valparaiso, Chile

[email protected]

Alfonso Rodríguez, Angélica Caro
Depto. Ciencias de la Computación y

Tecnologías de la Información,

Eduardo Fernández-Medina

Depto. Tecnologías y Sistemas de

Información

Universidad del Bío-Bío, Chillán, Chile

Universidad de Castilla-La Mancha,

{alfonso, mcaro}@ubiobio.cl

Ciudad Real, España

[email protected]



las

Abstract—Actualmente
organizaciones modernas
consideran los procesos de negocio como un recurso clave
para el desempeño y competitividad de las organizaciones.
Es por ello que el modelado de procesos de negocio puede
llegar a ser considerado como una estrategia fundamental
para la divulgación, implementación y mejora de los
procesos en una organización. Diversos
lenguajes y
notaciones han permitido modelar procesos de negocio, entre
ellos, BPMN (Bussines Process Model and Notation), se ha
convertido en el estándar de facto. Dado que existe la
necesidad de cubrir nuevas áreas relacionadas con los
negocios, BPMN ha sido objeto de diversas extensiones
orientadas a otorgarle mayor capacidad expresiva a la
notación. Por otro lado, desde un punto de vista tecnológico,
también existen iniciativas en el sentido de traducir modelos
desde BPMN hasta lenguajes procesables por computador.
En este artículo se presenta una propuesta en la que se
muestra una estrategia para traducir modelos de proceso de
negocio, en este caso extendidos con el objetivo de expresar
requisitos de seguridad, en Servicios Web usando el lenguaje
BPEL (Bussines Process Execution Language).

Keywords- Procesos de Negocio, Requisitos de Seguridad,

BPMN, BPEL

Actualmente,

I. INTRODUCCIÓN
los Procesos de Negocio se han
convertido en un recurso de gran importancia para las
empresas, ya que permiten describir las actividades que
ocurren dentro de la organización y que además permiten
el cumplimiento de objetivos específicos. Adicionalmente,
desde el punto de vista de la Ingeniería de Software, la
descripción del proceso de negocio ayuda a enfocarse en la
práctica durante el desarrollo de software, en la medida
que permite la recopilación de información y análisis de
flujos de datos, entre otros [1].

Para representar los Procesos de Negocio existen
notaciones como UML (Unified Modeling Language) [2] y
BPMN (Business Process Model and Notation) [3] que
describen la funcionalidad del negocio. En el último
tiempo BPMN se ha convertido en la notación más usada
para representar los Procesos de Negocio [4]. Al mismo
tiempo se ha estado trabajando en la traducción de estas
especificaciones de procesos de negocio hechas con
BPMN en lenguajes de ejecución convirtiéndolos en
Servicios Web. En este ámbito se encuentra BPEL
(Business Process Execution Language) que se define

como un lenguaje, estandarizado por OASIS, dedicado a la
composición de Servicios Web que está basado en XML
cuyo objetivo principal es el control centralizado de
solicitudes de diferentes Servicios Web con cierta lógica
de negocio que ayuda a la programación a gran escala [5].
En este sentido, BPEL cumple un rol de orquestador que
permite y determina la ejecución de distintos Servicios
Web [6].

Debido al rol de la información como un recurso
estratégico para las empresas y la vulnerabilidad de éstas
ante la pérdida y/o mal uso que se le pueda dar a sus datos,
se ha hecho imprescindible la definición de medidas de
seguridad. Entre otros, surge la necesidad en las empresas
de garantizar la seguridad desde el punto de vista de la
integridad, confidencialidad y privacidad teniendo en
cuenta que una irrupción en sus datos puede tener efectos
económicos tanto en la parte física como en las personas
que conforman la organización [7].

Por otro lado, en relación con la descripción y
modelado de procesos de negocio, la especificación
original de BPMN no incluye la representación de
aspectos de seguridad. Esto último, ha originado que en la
comunidad de procesos de negocio varios autores hayan
abordado el tema al intentar incluir la seguridad como
parte de las especificaciones de los procesos de negocio
[8] [9] [10].

Entre estos trabajos está la propuesta de Rodríguez et
al. [10], que extiende BPMN para incluir requisitos de
seguridad en la especificación de un Proceso de Negocio
modelado con BPMN. Como resultado del uso de dicha
extensión, se obtiene un Proceso de Negocio Seguro (SBP,
Secure Business Process) en que el analista de negocio,
desde su punta de vista, ha considerado ciertos requisitos
de seguridad como: control de acceso, auditoría de
seguridad, privacidad, integridad, entre otros.

A partir de la especificación de un SBP surge la
necesidad de abordar su implementación en alguna
plataforma específica. En particular, la traducción desde la
especificación BPMN del SBP hacia Servicios Web. Sin
embargo, ésta no ha sido abordada previamente en la
literatura como hemos podido constatar en trabajos previos
[11]. Consecuentemente, el objetivo principal de este
artículo es definir una estrategia para traducir los requisitos
de seguridad definidos en un SBP hacia BPEL y desde allí
a un Servicios Web equivalente. Para lograr este objetivo,
se adaptaron y usaron diversas tecnologías disponibles. El

artículo muestra el uso de la estrategia propuesta mediante
un ejemplo que ilustra el modelado de un SBP, su
traducción a BPEL y, finalmente, la generación de un
Servicios Web, para el caso particular del requisito de
seguridad «AccessControl».

El resto del artículo se encuentra organizado de la
siguiente forma: en la Sección 2 se muestran conceptos y
trabajos relacionados con la propuesta presentada. La
Sección 3 presenta una extensión de BPMN para incluir
requisitos de seguridad que constituye el punto de partida
de este trabajo. La Sección 4, presenta un marco de trabajo
para la generación de Servicios Web seguros desde la
especificación de un proceso de negocio seguro. En la
Sección 5 se muestra un ejemplo que permite ilustrar la
propuesta y, finalmente, en la Sección 6 se presentan
nuestras conclusiones.

II. CONCEPTOS Y TRABAJOS RELACIONADOS

A continuación, se presentan los conceptos básicos
trabajos

relacionados con nuestra propuesta y
relacionados con la problemática abordada.

los

A.-

Conceptos básicos

Un Proceso de Negocio (BP, Business Process) es un
conjunto de tareas unidas que tienen como objetivo la
entrega de un servicio o producto a un cliente. El proceso
debe incluir entradas que deben estar claramente definidas
y una salida única. Estas entradas están compuestas por
factores que contribuyen con el valor del servicio o
producto. Además, los BP pueden ser parte de un proceso
mayor y pueden incluir otros BP. Por otro lado, los BP
están diseñados para ser operados por uno o más unidades
funcionales de una organización, enfatizando en hacer
cumplir la cadena de valores que representa un BP en una
empresa [12].

BPMN es una notación gráfica estandarizada que
permite representar el modelado de Procesos de Negocio
mediante un Diagrama de Proceso de Negocio (BPD,
[13]. Esta notación
Business Process Diagram)
proporciona una forma estándar para describir los Procesos
de Negocio tanto para propósitos descriptivos de alto
nivel, como para rigurosos entornos de software orientados
a procesos [14]. El objetivo principal de BPMN es crear
mecanismos simples y entendibles para representar el
negocio de una empresa, y paralelamente, entender su
complejidad. La utilización de esta notación ha sido
creciente en las empresas pues en la definición de BPMN
se consideró usar elementos gráficos para mostrar a todos
los usuarios cuál es
la
organización [15].

lógica del negocio en

la

El SBP (Proceso de Negocio Seguro) es un concepto
introducido por Rodríguez et al. [10] que se basa en una
extensión de BPMN con estereotipos de seguridad,
creando así un diagrama BPMN seguro (ver detalle en la
Sección III)

BPEL (Business Process Execution Language, también
llamado WS-BPEL) es un entorno de trabajo basado en
XML que permite definir procesos que están conectados
dentro o fuera de la organización a través de los Servicios

Web [5]. De acuerdo con [16], BPEL se ha convertido en
el organizador que permite unir los Servicios Web en una
solución coherente, facilitando su interacción dentro y
fuera de una empresa. A su vez, proporciona una
gramática basada en XML para la descripción lógica con
el objetivo de controlar y coordinar los Servicios Web que
participan en el flujo del proceso.

B.-

Trabajos relacionados

Entre los trabajos más cercanos a nuestra propuesta
podemos mencionar los siguientes. Souza et al. [8] hacen
posible la creación de Servicios Web desde Procesos de
Negocio con seguridad. Se utilizan requisitos de seguridad
clásicos y no funcionales para probar la propuesta. A partir
de lo anterior, se crea el entorno de trabajo llamado Sec-
MoSC, el cual está formado por cuatro componentes
principales: BPMN, un módulo de extensión de seguridad,
u