Procedimiento para verificar acciones con datos.

Procedimiento, que comprende:

- determinar una directriz de acción mediante un agente

(11a) de programa y/o mediante un agente de perfil llamado por el agente de programa, cuando un aparato electrónico se une de manera separable con una instalación de procesamiento de datos, en el que el agente (11a) de programa está almacenado en el aparato electrónico y se ejecuta directamente desde el aparato (1, 1a, 1d, 1e) electrónico en la instalación (2, 2a-e) de procesamiento de datos,

en el que determinar la directriz (4) de acción comprende seleccionar una directriz (4) de acción a partir de varias directrices (4b, 4c, 4d) de acción establecidas y se basa al menos parcialmente en un entorno, en el que se ejecuta el agente de programa, y

en el que el entorno comprende la ubicación de la instalación de procesamiento de datos, su conexión de red y/o las aplicaciones y/o procesos instalados y/o que se ejecutan en la misma,

- verificar mediante el agente (11a) de programa, si acciones (71) con datos (12b) incumplen la directriz de acción determinada (502, 703), en el que las acciones (71) con datos (12b) comprenden borrado de datos, lectura de datos, modificación de datos, copiado de datos, impresión de datos, almacenamiento de datos, transferencia de datos a través de redes, transferencia de datos a través de una red privada virtual o intercambio de datos a través de comunicación entre procesos, en el que el agente (11a) de programa está asociado con los datos (12b) y los datos (12b) asociados con el agente (11a) de programa están almacenados junto con el agente (11a) de programa en el aparato (1, 1a, 1d, 1e) electrónico, en el que los datos (12b) en el aparato (1, 1a, 1d, 1e) electrónico a través del lugar de almacenamiento común están asociados con el agente (11a) de programa,

- permitir (503, 704) las acciones mediante el agente (11a) de programa, en caso de que no incumplan la directriz (4) de acción determinada, e impedir (504-505, 705) las acciones mediante el agente (11a) de programa, en caso de que incumplan la directriz (4) de acción determinada

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E11181801.

Solicitante: KOBIL SYSTEMS GMBH.

Nacionalidad solicitante: Alemania.

Dirección: PFORTENRING 11 67547 WORMS ALEMANIA.

Inventor/es: KOYUN,ISMET.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Disposiciones de seguridad para la protección de... > G06F21/62 (Protección del acceso a los datos a través de una plataforma, p. ej.: con la utilización de teclas o reglas de control de acceso)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Disposiciones de seguridad para la protección de... > G06F21/78 (para garantizar el almacenamiento seguro de datos (basado en direcciones protegidas contra el uso no autorizado de la memoria G06F 12/14; soportes de registro para la utilización con máquinas y con al menos una parte diseñada para llevar a marcas digitales G06K 19/00))

PDF original: ES-2500946_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Procedimiento para verificar acciones con datos Sector de la técnica

La presente invención se refiere a un procedimiento, que comprende verificar si una acción con datos incumple una directriz de acción; permitir la acción, en caso de que no incumpla la directriz de acción, e impedir la acción, en caso de que incumpla la directriz de acción, realizándose el procedimiento por un agente de programa, que se ejecuta en una instalación de procesamiento de datos y está asociado con los datos.

Estado de la técnica

En el estado de la técnica se conocen soluciones para evitar pérdidas de datos (Data Loss Prevention, DLP). Tales soluciones de DLP evitan que se extraigan datos, en particular datos confidenciales, sin autorización de la zona controlada por las soluciones de DLP, como una red fiable local como una red de empresa, por ejemplo mediante copiado en dispositivos de soporte de datos portátiles. Las soluciones de DLP conocidos en el estado de la técnica se basan en reglas basadas en usuario, es decir en función de los derechos de usuario, un usuario está autorizado o no por ejemplo a copiar datos en un dispositivo de soporte de datos portátil.

Sin embargo, una vez que los datos se encuentran fuera de la zona controlada por la solución de DLP, ya no es posible controlar la difusión de los datos. Más bien depende del cuidado de los usuarios.

Con el importante incremento de la movilidad y el aumento del número de usuarios relacionado con el mismo como por ejemplo de trabajadores de servicio externo, que tienen que llevarse los datos consigo por ejemplo también fuera de redes fiables locales como redes de empresa o acceder a los mismos, este control deficiente de la difusión de los datos se considera cada vez más crítico.

Esta problemática se agrava por la existencia cada vez mayor de programas de espionaje (por ejemplo los denominados "troyanos"), puesto que éstos permiten incluso espiar datos cifrados. Por ejemplo, pueden espiarse datos que se encuentran en un dispositivo de soporte de datos portátil protegido mediante técnica de cifrado (por ejemplo, en un lápiz de memoria USB), una vez que los datos cifrados del dispositivo de soporte de datos portátil se han puesto a disposición del sistema operativo, por ejemplo mediante la introducción de un código de descifrado, y como nueva unidad de disco se han integrado ("montado") en la estructura de unidad de disco. En este caso tanto el usuario como un programa de espionaje puede acceder a los datos de manera transparente, es decir, sin que sea necesaria una nueva introducción del código de descifrado; los datos se descifran automáticamente a demanda ("on- the-fl/, sobre la marcha).

Por la solicitud de patente US 2007/214332 A1 se conoce un programa de controlador de dispositivo con una unidad de memoria para un directorio, en el que se permite un acceso, y con una unidad de decisión de permiso de acceso. La unidad de memoria para el directorio, en el que se permite un acceso, almacena como directorio, en el que se permite un acceso, un directorio de activación para un proceso, que puede acceder a una memoria S (memoria privada). La unidad de decisión de permiso de acceso verifica si un directorio de activación para un proceso, que ha solicitado acceso a la memoria S, corresponde al directorio, en el que se permite un acceso. Basándose en el resultado, la unidad de decisión de permiso de acceso decide si se aceptará la solicitud.

Por la solicitud de patente WO 2009/095413 se conoce un procedimiento y un sistema para acceder a archivos cifrados. El procedimiento presenta las etapas de: recibir una solicitud de acceso para un archivo cifrado; determinar la aplicación, que realiza la solicitud; verificar si la aplicación está autorizada para el acceso; y, en caso de que la aplicación esté autorizada, permitir el acceso.

Por la solicitud de patente DE 10 2008 028703 A1 se conoce un procedimiento para gestionar datos en un soporte de datos portátil, en el que está configurado un sistema de archivo. El procedimiento comprende la etapa de acceder a un directorio del sistema de archivo por un usuario del soporte de datos. A este respecto, al directorio está asignada al menos una operación criptográfica, de modo que al acceder al directorio se permite una realización de la operación criptográfica asignada al directorio. En este caso puede pedirse al usuario en caso de acceder a un directorio, que permite un descifrado de datos o una firma de datos por medio de una firma criptográfica, que se autentique con respecto al soporte de datos.

Por la solicitud de patente EP 1 901 193 A2 se conoce un soporte con programas de control de acceso codificados, que pueden ejecutarse, que están almacenados en el soporte de datos. En ésta se accede a los programas por un aparato con un módulo de seguridad, que se proporciona como plataforma fiable. El módulo de seguridad tiene una clave, que está asociada con los programas de control de acceso. Los programas de control de acceso controlan el acceso a datos de acceso protegido en función de reglas de acceso, que se almacenan en un archivo de configuración, estando almacenados los datos de acceso protegido en una zona de memoria de acceso protegido.

Por la solicitud de patente W02009/158305 A1 y la publicación de GUSTAV NEUMANN ET AL: "An Approach to Engineer and Enforce Context Constraints in an RBAC Environment" (XP055067217) se conoce la consideración del entorno de un agente de programa en la determinación de una directriz de acción y la verificación de la admisibilidad de una acción.

Objeto de la invención

Por tanto, un objetivo de la presente invención es superar las desventajas mencionadas anteriormente.

Este objetivo se alcanza mediante las reivindicaciones independientes. Configuraciones a modo de ejemplo ventajosas de la invención se deducirán de las reivindicaciones dependientes.

Un primer procedimiento según la invención comprende verificar si una acción con datos incumple una directriz de acción; permitir la acción, en caso de que no incumpla la directriz de acción, e impedir la acción, en caso de que incumpla la directriz de acción, realizándose el procedimiento por un agente de programa, que se ejecuta en una instalación de procesamiento de datos y que está asociado con los datos y que en particular no está asociado con datos adicionales en la instalación de procesamiento de datos.

Una acción con datos es, por ejemplo, una acción que requiere un acceso de lectura y/o escritura a los datos. Sin embargo, también puede referirse a cualquier otra acción con datos. Por ejemplo, una acción con datos también puede ser leer y/o utilizar el mapa de memoria de datos que se encuentra en una memoria principal.

La acción con los datos puede provocarse por ejemplo mediante una entrada de usuario y/o mediante un programa informático, que se ejecuta en la instalación de procesamiento de datos. Una acción con datos es por ejemplo la parte más pequeña de una secuencia de acciones como por ejemplo el desplazamiento de datos, que puede comprender tanto el copiado de los datos como el borrado de los datos originales. Por ejemplo, es concebible que se permita una acción de una secuencia de acciones y se impida otra.

Los programas informáticos se ejecutan en particular como procesos en instalaciones de procesamiento de datos. Por proceso se entienden por ejemplo instancias de un programa informático que se ejecuta en una instalación de procesamiento de datos. Un proceso comprende por ejemplo el mapa de memoria del código de programa del programa informático en la memoria principal, una zona de memoria adicional en la memoria principal para los datos y medios operativos adicionales proporcionados por el sistema operativo o su núcleo. Por... [Seguir leyendo]

 


Reivindicaciones:

1.

2.

3.

4.

6.

Procedimiento, que comprende:

determinar una directriz de acción mediante un agente (11a) de programa y/o mediante un agente de perfil llamado por el agente de programa, cuando un aparato electrónico se une de manera separable con una instalación de procesamiento de datos, en el que el agente (11a) de programa está almacenado en el aparato electrónico y se ejecuta directamente desde el aparato (1, 1a, 1 d, 1 e) electrónico en la instalación (2, 2a-e) de procesamiento de datos,

en el que determinar la directriz (4) de acción comprende seleccionar una directriz (4) de acción a partir de varias directrices (4b, 4c, 4d) de acción establecidas y se basa al menos parcialmente en un entorno, en el que se ejecuta el agente de programa, y

en el que el entorno comprende la ubicación de la instalación de procesamiento de datos, su conexión de red y/o las aplicaciones y/o procesos instalados y/o que se ejecutan en la misma,

verificar mediante el agente (11a) de programa, si acciones (71) con datos (12b) incumplen la directriz de acción determinada (502, 703), en el que las acciones (71) con datos (12b) comprenden borrado de datos, lectura de datos, modificación de datos, copiado de datos, impresión de datos, almacenamiento de datos, transferencia de datos a través de redes, transferencia de datos a través de una red privada virtual o intercambio de datos a través de comunicación entre procesos, en el que el agente (11a) de programa está asociado con los datos (12b) y los datos (12b) asociados con el agente (11a) de programa están almacenados junto con el agente (11a) de programa en el aparato (1, 1a, Id, 1e) electrónico, en el que los datos (12b) en el aparato (1, 1a, 1 d, 1 e) electrónico a través del lugar de almacenamiento común están asociados con el agente (11a) de programa,

permitir (503, 704) las acciones mediante el agente (11a) de programa, en caso de que no incumplan la directriz (4) de acción determinada, e impedir (504-505, 705) las acciones mediante el agente (11a) de programa, en caso de que incumplan la directriz (4) de acción determinada.

Procedimiento según la reivindicación 1, en el que determinar la directriz (4) de acción comprende además comparar el entorno de la instalación (2) de procesamiento de datos con varios perfiles de entorno establecidos, en el que a cada perfil de entorno está asignada una de las directrices de acción, y en el que se selecciona la directriz de acción, que está asignada al perfil de entorno con la mayor coincidencia con el entorno de la instalación (2) de procesamiento de datos.

Procedimiento según una de las reivindicaciones 1-2, en el que las acciones (71) con los datos (12b) están configuradas como llamada de programa, procedimiento y/o interfaz, a la que como argumento se transfieren datos (12b) asociados con el agente (11a) de programa, y/o intentos de acceso a datos (12b) asociados con el agente (11a) de programa.

Procedimiento según una de las reivindicaciones 1-3, en el que los datos (12b) asociados con el agente (11a) de programa están almacenados en el aparato (1, 1a, 1 d, 1 e) electrónico de manera cifrada, en particular de tal manera que los datos (12b) asociados con el agente (11a) de programa sólo se descifran en caso de que la acción (71) no incumpla ninguna directriz (4) de acción.

Procedimiento según una de las reivindicaciones 1 -4, que comprende además:

introducir programas (54-56), que se ejecutan en la instalación (2, 2a-e) de procesamiento de datos y que realizan al menos una acción con los datos (71), en una lista de usuario y

finalizar todos los programas (54-56) que se ejecutan en la instalación (2, 2a-e) de procesamiento de datos, que se han introducido en la lista de usuario, antes de finalizar el agente (11a) de programa.

Programa (11a) informático, que comprende instrucciones de programa que provocan que un procesador (20) realice el procedimiento según una de las reivindicaciones 1-5, cuando el programa (11a) informático se ejecuta en el procesador (20).

Dispositivo (1, 1a, 1d, 1e) de soporte de datos, en el que está almacenado un programa (11a) informático según la reivindicación 6.