Ivan Grcevic expuso la tesina de grado: “Seguridad en entornos BPM: integrando firma digital en procesos con altos requerimientos de autenticación e integridad”
En noviembre de 2018 Ivan Grcevic expuso la tesina de grado: “Seguridad en entornos BPM: integrando firma digital en procesos con altos requerimientos de autenticación e integridad” con la cual obtuvo a Licenciatura en Sistemas de la Facultad de Informática.
Este trabajo de grado, que contó con la dirección de Dra. Patricia Bazán y la Mg. Paula Venosa y el asesoramiento profesional de Jose Martinez Garro, tuvo como objetivo integrar conceptos de criptografía y BPM (Business Process Management).
Esta integración se realizó en ambos sentidos: por un lado, la seguridad en un entorno de BPM aumentó gracias a la criptografía. Por otro lado, la administración necesaria para mantener un esquema de seguridad de mecanismos criptográficos, se simplificó al estar orientada a BPM e integrada con otros procesos de una determinada organización.
En particular, los mecanismos de seguridad y criptografía que se utilizan en este trabajo son las conexiones TLS, el protocolo HTTPS, la criptografía de clave pública y la firma digital. Como la administración de un esquema de criptografía de clave pública es compleja, Ivan apuntó también a que la forma en que se integró con los procesos de BPM fuera lo más transparente posible, reduciendo el impacto en la dificultad de uso de los sistemas.
Cabe mencionar que fue de especial interés realizar el trabajo utilizando una herramienta de BPM de código fuente abierta, Bonita BPM, y mantener un equilibrio entre dos aspectos que suelen ser incompatibles: por un lado el nivel de transparencia y simplicidad para el usuario final y por otro lado un alto nivel de agregado de seguridad.
Como trabajo a futuro Iván afirma que se podría estudiar alternativas a la firma digital, que permitan lograr una mejora en los atributos de seguridad de los procesos de negocio. Teniendo en cuenta que, en el marco de la constante evolución de la web y los dispositivos móviles, las tecnologías emergentes, distribuidas y basadas en Cloud pueden ser objeto de estudio para tal fin. Así, podría analizarse una integración con una aplicación de generación de códigos para autenticación en dos pasos. Estas aplicaciones, como por ejemplo Google Authenticator, permiten a los sistemas integrarse de forma tal que los usuarios pueden utilizarlas para obtener desde su dispositivo móvil un código que cambia cada 60 segundos y sirve como segundo factor de autenticación. Un atacante que quiera realizar acciones en nombre de un usuario, deberá tener acceso a su dispositivo móvil además de averiguar su contraseña.