Reflexiones sobre la enseñanza de la Auditoría de Sistemas de Información en las escuelas de informática

La auditoría de sistemas de información se está convirtiendo en un factor crucial para la sociedad, debido a la gran dependencia que las organizaciones tienen de sistemas que gestionen su información, y debido también a la necesidad derivada de verificar la calidad de los servicios ofrecidos por estos sistemas de información, así como la de garantizar una adecuada seguridad que consista en una correcta confidencialidad, integridad y disponibilidad de los datos que gestionan y que son uno de los activos más importantes de las organizaciones. En este artículo se hace un estudio de los principales currículos internacionales y de varias escuelas de informática para analizar cómo consideran la materia de auditoría de sistemas de información. Como presentamos en este artículo, la situación no es muy alentadora, y nos invita a otorgar un mayor peso a esta materia en la formación de profesionales de los sistemas de información

Designing secure data warehouses by using MDA and QVT

The Data Warehouse (DW) design is based on multidimensional (MD) modeling which structures information into facts and dimensions. Due to the confidentiality of the data that it stores, it is crucial to specify security and audit measures from the early stages of design and to enforce them throughout the lifecycle. Moreover, the standard framework for software development, Model Driven Architecture (MDA), allows us to define transformations between models by proposing Query/View/Transformations (QVT). This proposal permits the definition of formal, elegant and unequivocal transformations between Platform Independent Models (PIM) and Platform Specific Models (PSM). This paper introduces a new framework for the design of secure DWs based on MDA and QVT, which covers all the design phases (conceptual, logical and physical) and specifies security measures in all of them. We first define two metamodels with which to represent security and audit measures at the conceptual and logical levels. We then go on to define a transformation between these models through which to obtain the traceability of the security rules from the early stages of development to the final implementation. Finally, in order to show the benefits of our proposal, it is applied to a case study.This work has been partially supported by the METASIGN project (TIN2004-00779) from the Spanish Ministry of Education and Science, of the Regional Government of Valencia, and by the QUASIMODO and MISTICO projects of the Regional Science and Technology Ministry of Castilla-La Mancha (Spain)

Hacia un proceso de migración de la seguridad de sistemas heredados al Cloud

El desarrollo de la computación en la nube es una tendencia fuerte en la industria de las TI que hace que los clientes de este nuevo modelo de prestación de servicios, sobre todo las empresas, se enfrenten a desafíos nuevos en lo que se refiere a la gestión de la seguridad de sus aplicaciones heredadas en el nuevo entorno. La cuestión es en cómo migrar de forma segura los sistemas de información heredados de estas empresas. Este artículo presenta un proceso (SMiLe2Cloud) y un marco de trabajo con el que se puede migrar de forma segura los sistemas corporativos heredados a infraestructuras o entornos en la nube, siguiendo los 14 dominios de seguridad del CSA y utilizando ingeniería inversa.Esta investigación es parte de los siguientes proyectos: GEODAS (TIN2012-37493-C03-01) y SIGMA-CC (TIN2012-36904) financiados por el “Ministerio de Economía y Competitividad y Fondo Europeo de Desarrollo Regional FEDER”, España

Desarrollando una metodología de análisis de riesgos para que el sector asegurador pueda tasar los riesgos en las PYMES

En una sociedad gobernada por la información, las empresas y en particular las PYMES, dependen cada vez más de la capacidad de poder asegurar la información, no solo internamente, sino con terceros que estén dispuestos a establecer pólizas de seguros sobre la información. Pero cuando estamos hablando de activos intangibles, las aseguradoras se enfrentan a la problemática de que no existen metodologías de Análisis de Riesgos adecuadas que permitan tasar y garantizar la información de forma objetiva. En este artículo, presentamos la base de una nueva metodología que tiene como objetivo dar solución a las problemáticas presentadas por las empresas y las aseguradoras, permitiendo realizar un análisis de riesgo con menor grado de incertidumbre que los existentes en la actualidad.Esta investigación es parte del proyecto PROMETEO financiado por la Secretaría Nacional de Educación Superior, Ciencia, Tecnología e Innovación (SENESCYT) del Gobierno de Ecuador, y el proyecto SIGMA-CC (Ministerio de Economía y Competitividad y el Fondo Europeo de Desarrollo Regional FEDER, TIN2012-36904)

An architecture for automatically developing secure OLAP applications from models

Context: Decision makers query enterprise information stored in Data Warehouses (DW) by using tools (such as On-Line Analytical Processing (OLAP) tools) which use specific views or cubes from the corporate DW or Data Marts, based on the multidimensional modeling. Since the information managed is critical, security constraints have to be correctly established in order to avoid unauthorized accesses. Objective: In previous work we have defined a Model-Driven based approach for developing a secure DWs repository by following a relational approach. Nevertheless, is also important to define security constraints in the metadata layer that connects the DWs repository with the OLAP tools, that is, over the same multidimensional structures that final users manage. This paper defines a proposal to develop secure OLAP applications and incorporates it into our previous approach. Method: Our proposal is composed of models and transformations. Our models have been defined using the extension capabilities from UML (conceptual model) and extending the OLAP package of CWM with security (logical model). Transformations have been defined by using a graphical notation and implemented into QVT and MOFScript. Finally, this proposal has been evaluated through case studies. Results: A complete MDA architecture for developing secure OLAP applications. The main contributions of this paper are: improvement of a UML profile for conceptual modeling; definition of a logical metamodel for OLAP applications; and definition and implementation of transformations from conceptual to logical models, and from logical models to the secure implementation into a specific OLAP tool (SSAS). Conclusion: Our proposal allows us to develop secure OLAP applications, providing a complete MDA architecture composed of several security models and automatic transformations towards the final secure implementation. Security aspects are early identified and fitted into a most robust solution that provides us a better information assurance and a saving of time in maintenance.This research is part of the following Projects: SIGMA-CC (TIN2012-36904), GEODAS-BC (TIN2012-37493-C01) and GEODAS-BI (TIN2012-37493-C03) funded by the Ministerio de Economía y Competitividad and Fondo Europeo de Desarrollo Regional FEDER. SERENIDAD (PEII11-037-7035) and MOTERO (PEII11- 0399-9449) funded by the Consejería de Educación, Ciencia y Cultura de la Junta de Comunidades de Castilla La Mancha, and Fondo Europeo de Desarrollo Regional FEDER

Showing the Benefits of Applying a Model Driven Architecture for Developing Secure OLAP Applications

Data Warehouses (DW) manage enterprise information that is queried for decision making purposes by using On-Line Analytical Processing (OLAP) tools. The establishment of security constraints in all development stages and operations of the DW is highly important since otherwise, unauthorized users may discover vital business information. The final users of OLAP tools access and analyze the information from the corporate DW by using specific views or cubes based on the multidimensional modelling containing the facts and dimensions (with the corresponding classification hierarchies) that a decision maker or group of decision makers are interested in. Thus, it is important that security constraints will be also established over this metadata layer that connects the DW's repository with the decision makers, that is, directly over the multidimensional structures that final users manage. In doing so, we will not have to define specific security constraints for every particular user, thereby reducing the developing time and costs for secure OLAP applications. In order to achieve this goal, a model driven architecture to automatically develop secure OLAP applications from models has been defined. This paper shows the benefits of this architecture by applying it to a case study in which an OLAP application for an airport DW is automatically developed from models. The architecture is composed of: (1) the secure conceptual modelling by using a UML profile; (2) the secure logical modelling for OLAP applications by using an extension of CWM; (3) the secure implementation into a specific OLAP tool, SQL Server Analysis Services (SSAS); and (4) the transformations needed to automatically generate logical models from conceptual models and the final secure implementation.This research is part of the following projects: SERENIDAD (PEII11- 037-7035) financed by the ”Viceconsejería de Ciencia y Tecnología de la Junta de Comunidades de Castilla-La Mancha” (Spain) and FEDER, and SIGMA-CC (TIN2012-36904) and GEODAS (TIN2012-37493-C03-01) financed by the ”Ministerio de Economía y Competitividad” (Spain)

La Seguridad como una asignatura indispensable para un Ingeniero del Software

La seguridad informática ha venido cobrando mayor importancia para las organizaciones dado el marcado crecimiento de las nuevas tecnologías de la información, servicios Web, comercio electrónico, etc. Es por ello que existe la necesidad de contar con nuevos profesionales en este entorno. Para ello, es necesario contar con asignaturas de Seguridad en las escuelas universitarias, que doten al futuro profesional de los conocimientos necesarios para afrontar con éxito las necesidades que el mundo empresarial actual demanda. Así, aprovechando el estado actual de implantación del sistema europeo de créditos, en este artículo se resume una propuesta de grado de informática, y se presenta la asignatura de Seguridad de Sistemas Software, ubicada en el perfil de Ingeniería del Software, definiendo el contenido de dicha asignatura de acuerdo a las directrices del sistema ECTS, y a las necesidades reales que cualquier ingeniero del software puede encontrarse en el mundo empresarial actual.Esta investigación es parte de los siguientes proyectos: QUASIMODO (PAC08-0157-0668), SISTEMAS (PII2I09-0150-3135) y SEGMENT (HITO-09-138) financiados por la “Junta de Comunidades de Castilla-La Mancha” y FEDER, MEDUSAS (IDI-20090557) y BUSINESS (PET2008_0136) financiados por el "Ministerio de Ciencia e Innovación (CDTI)”

Aseguramiento y Mejora de la Calidad de la Opción Bilingüe del Grado y el Máster Semipresencial en Ingeniería Informática

La Escuela Superior de Informática de Ciudad Real está implantando la opción bilingüe en el grado en Ingeniería Informática, que, hasta la fecha, se impartía únicamente en castellano. A la vez se está implantando la modalidad semipresencial en el máster oficial en Ingeniería Informática que, hasta la fecha, se había impartido únicamente en modalidad presencial. Para implantar estas dos nuevas disciplinas, que están alineadas con el plan estratégico de la Universidad de Castilla-La Mancha, es deseable lograr una alta calidad en la educación bilingüe y en la formación a distancia, y su mejora permanente, por ello este trabajo de investigación docente pretende servir de guía para asegurar que los dos procesos de implantación se llevan a cabo de forma correcta, coherente y coordinada y que cumplen con los más altos niveles de calidad. Para garantizar estos niveles de calidad se ha definido una metodología de aseguramiento de la calidad que ayude tanto en la definición de las actividades y criterios de evaluación más adecuados para las particularidades de estas dos nuevas disciplinas, como para la realización de un seguimiento y un control estricto de los mismos. Este seguimiento y control se realizará gracias a la construcción de un cuadro de mando integral, que indicará el nivel de cumplimiento y calidad presentes durante la implantación tanto de la opción bilingüe como del máster semipresencial. A modo de ejemplo, se mostrará la ejecución de dicha metodología con los valores limitados con los que se cuenta, los correspondientes al primer semestre del curso 2013-2014.The Faculty of Computer Sciences in Ciudad Real is currently introducing the bilingual Bachelor’s degree in Computer Science. Besides, the blended learning format is also being introduced regarding the Masters’ degree in Computer Science. These two introductions are aligned with the strategic plan of the University of Castilla-La Mancha. Once the commitment of introducing these two educational options has taken place, it is desirable to achieve a high quality and a continuously improved learning in both of them. This research intends to be a guide for introducing these educational options in a correct, coherent and coordinated way, so that the highest quality standards can be met. Therefore, we need to define a quality assurance methodology for ensuring and guiding the definition of all the activities needed. A set of evaluation criteria for these new disciplines, such as monitoring through an integrated control boards, are also proposed in order to achieve a high quality introduction. As an example, we will show some of the (limited) data obtained through the execution of this methodology during the first term of the 2013-2014 course.Esta investigación es parte del proyecto de innovación docente “Aseguramiento y Mejora de la Calidad y Acreditación Internacional del Grado Bilingüe y del Máster Semipresencial de Ingeniería Informática” concedidos dentro de la 8ª Convocatoria de Ayudas para Proyectos de Innovación Docentes promovidos por el Vicerrectorado de Docencia y Relaciones Internacionales de la Universidad de Castilla-La Mancha

Métricas para la medición de las Competencias Generales y Específicas para el Grado en Ingeniería Informática

El proceso de elaboración de las memorias de grado se ha basado en un conjunto de competencias generales y específicas que, en la mayoría de los casos, entrañan un alto nivel de abstracción y ambigüedad. Por otro lado, la aparición de las competencias no ha ayudado a los alumnos a entender mejor en qué medida alcanzan los objetivos de las diferentes asignaturas, ni a tomar mejores decisiones sobre los pasos a seguir en su carrera profesional. En este artículo se pretende mostrar los resultados obtenidos durante la investigación realizada, que ha tenido como objetivo desgranar las competencias generales y específicas del Grado en Ingeniería Informática, de modo que se ofrezca un acercamiento mucho más concreto y detallado con las asignaturas y, consecuentemente, que pueda justificarse adecuadamente la forma en que las asignaturas permiten alcanzar parcial o completamente las competencias para el grado. Este enfoque, y su orientación a obtener métricas sobre las que valorar el grado en que se han alcanzado los objetivos, también permitirá que los alumnos puedan tomar mejores decisiones a la hora de seleccionar las diferentes asignaturas del grado y conocer para qué competencias están mejor cualificados.The process of writing honours theses is based on a set of general and specific competences which, in the majority of cases, entail a high level of abstraction and ambiguity. What is more, the apparition of these competences has not helped students towards a better understanding of the extent to which they attain the objectives of their various subjects, or to make better decisions as regards the steps to follow in their professional careers. The intention of this paper is to show the results obtained during research whose objective was to separate the general and specific competences involved in the Computer Engineering Degree in order to provide a much more concrete and detailed approach to the subjects, which will consequently allow the way in which the subjects permit the partial or total attainment of the competences for the degree to be justified. This approach, and its orientation towards obtaining metrics with which to evaluate the degree to which the objectives have been attained, will also allow students to make better decisions when selecting various degree subjects and to discover for which competences they are best qualified

Proyecto profESIonalízate: mejorando la empleabilidad a través de la mejora de las competencias profesionales

Resumen: Este artículo describe el proyecto de innovación docente profESIonalízate, cuyo objetivo es el de establecer un plan transversal para fortalecer las competencias profesionales de los alumnos del Grado en Ingeniería en Informática y del Máster en Ingeniería en Informática. El elemento central del proyecto es el convenio FORTE que se firmará con importantes empresas del sector.Abstract: This paper describes the profESIonalízate project. The aim of this project is setting-up a transversal plan for strengthening the professional skills of our students enrolled in the Computer Science Engineering Degree and Master. The project’s cornerstone is the FORTE agreement, which will be signed with important sectorial companies