Towards Cybersecurity by Design: A multi-level reference model for requirements-driven smart grid cybersecurity

This paper provides a first step towards a reference model for end-to-end cybersecurity by design in the electricity sector. The envisioned reference model relies, among others, on the integrated consideration of two currently fragmented, but complementary, reference models: NISTIR 7628 and powerLang. As an underlying language architecture of choice, we rely on multi-level modeling, specifically on the Flexible Meta Modeling and Execution Language (FMMLx), as multi-level modeling supports a natural integration across different abstraction levels inherent to reference models. This paper’s contributions are a result of one full consideration of Wieringa’s engineering cycle: for problem investigation, we describe the problems the reference model should address; for treatment design, we contribute the requirements the reference model should fulfill; for treatment implementation, we provide reference model’s fragments implemented in an integrated modeling and programming environment. Finally, for treatment evaluation, we perform expert interviews to check, among others, the artefact’s relevance and utility

Queensland University of Technology: Annual Report 2009

Our annual report provides an evaluation of our performance and achievements during the previous year, measured against our goals and strategic plans. It documents our performance in the three key areas of: teaching and learning research community service. The report includes a summary of financial performance and a copy of our audited accounts

Requirements-Driven Adaptation of Choreographed Interactions

Electronic services are emerging as the de-facto enabler of interaction interoperability across organization boundaries. Cross-organizational interactions are often “choreographed”, i.e. specified by a messaging protocol from a global point of view independent of the local view of each interacting organization. Local requirements motivating an interaction as well as the global contextual requirements governing the interaction inevitably evolve over time, requiring adaptation of the corresponding interaction protocol. Adaptation of an interaction protocol must ensure the satisfaction of both sets of interaction requirements while maintaining consistency between the global view and the local views of an interaction specification. Such adaptation is not possible with the current state-of-the-art representations of choreographed interactions, as they capture only operational messaging specifications detached from both local organizational requirements as well as global contextual requirements. This thesis presents three novel contributions that tackle adaptation of choreographed interaction protocols: an automated technique for deriving an interaction protocol from requirements, a formalization of consistency between local and global views, and a framework for guiding the adaptation of a choreographed interaction. A choreographed interaction is specified using models of organizational requirements motivating the interaction. We employ the formal semantics embedded in requirements models to automatically derive an interaction protocol. We propose a framework for relating the global and local views of interaction specification and maintaining consistency between them. We develop a metamodel for interaction specification, from which we enumerate adaptation operations. We build a catalogue that provides guidance on performing each operation and propagating changes between the global and local views. These contributions are evaluated using examples from the literature as well as a real-world case study

Data-driven conceptual modeling: how some knowledge drivers for the enterprise might be mined from enterprise data

As organizations perform their business, they analyze, design and manage a variety of processes represented in models with different scopes and scale of complexity. Specifying these processes requires a certain level of modeling competence. However, this condition does not seem to be balanced with adequate capability of the person(s) who are responsible for the task of defining and modeling an organization or enterprise operation. On the other hand, an enterprise typically collects various records of all events occur during the operation of their processes. Records, such as the start and end of the tasks in a process instance, state transitions of objects impacted by the process execution, the message exchange during the process execution, etc., are maintained in enterprise repositories as various logs, such as event logs, process logs, effect logs, message logs, etc. Furthermore, the growth rate in the volume of these data generated by enterprise process execution has increased manyfold in just a few years. On top of these, models often considered as the dashboard view of an enterprise. Models represents an abstraction of the underlying reality of an enterprise. Models also served as the knowledge driver through which an enterprise can be managed. Data-driven extraction offers the capability to mine these knowledge drivers from enterprise data and leverage the mined models to establish the set of enterprise data that conforms with the desired behaviour. This thesis aimed to generate models or knowledge drivers from enterprise data to enable some type of dashboard view of enterprise to provide support for analysts. The rationale for this has been started as the requirement to improve an existing process or to create a new process. It was also mentioned models can also serve as a collection of effectors through which an organization or an enterprise can be managed. The enterprise data refer to above has been identified as process logs, effect logs, message logs, and invocation logs. The approach in this thesis is to mine these logs to generate process, requirement, and enterprise architecture models, and how goals get fulfilled based on collected operational data. The above a research question has been formulated as whether it is possible to derive the knowledge drivers from the enterprise data, which represent the running operation of the enterprise, or in other words, is it possible to use the available data in the enterprise repository to generate the knowledge drivers? . In Chapter 2, review of literature that can provide the necessary background knowledge to explore the above research question has been presented. Chapter 3 presents how process semantics can be mined. Chapter 4 suggest a way to extract a requirements model. The Chapter 5 presents a way to discover the underlying enterprise architecture and Chapter 6 presents a way to mine how goals get orchestrated. Overall finding have been discussed in Chapter 7 to derive some conclusions

An Exploration of Enterprise Architecture Research

Management of the enterprise architecture has become increasingly recognized as a crucial part of both business and IT management. Still, a common understanding and methodological consistency seems far from being developed. Acknowledging the significant role of research in moving the development process along, this article employs different bibliometric methods, complemented by an extensive qualitative interpretation of the research field, to provide a unique overview of the enterprise architecture literature. After answering our research questions about the collaboration via co-authorships, the intellectual structure of the research field and its most influential works, and the principal themes of research, we propose an agenda for future research based on the findings from the above analyses and their comparison to empirical insights from the literature. In particular, our study finds a considerable degree of co-authorship clustering and a positive impact of the extent of co-authorship on the diffusion of works on enterprise architecture. In addition, this article identifies three major research streams and shows that research to date has revolved around specific themes, while some of high practical relevance receive minor attention. Hence, the contribution of our study is manifold and offers support for researchers and practitioners alike

Information Systems as Representations: A Review of the Theory and Evidence

Representation theory proposes that the basic purpose of an information system (IS) is to faithfully represent certain real-world phenomena, allowing users to reason about these phenomena more cost- effectively than if they were observed directly. Over the past three decades, the theory has underpinned much research on conceptual modeling in IS analysis and design and, increasingly, research on other IS phenomena such as data quality, system alignment, IS security, and system use. The original theory has also inspired further development of its core premises and advances in methodological guidelines to improve its use and evaluation. Nonetheless, the theory has attracted repeated criticisms regarding its validity, relevance, usefulness, and robustness. Given the burgeoning literature on the theory over time, both positive and negative, the time is ripe for a narrative, developmental review. We review representation theory, examine how it has been used, and critically evaluate its contributions and limitations. Based on our findings, we articulate a set of recommendations for improving its application, development, testing, and evaluation

Method support for enterprise architecture management capabilities

"What can our EA organization do and/or what should it be capable of?". In order to answer this questions, a capability-based method is developed, which assists in the identification, structuring and management of capabilities. The approach is embedded in a process comprising four building blocks providing appropriated procedures, concepts and supporting tools evolved from theory and practical use cases. The guide represents a flexible method for capability newcomers and experienced audiences to optimize enterprises’ economic impacts of EAM supporting the alignment of business and IT.„Was muss unser UAM leisten können?“ Als Grundlage für die Beantwortung dieser Frage sollen Konzepte aus dem Fähigkeitenmanagement genutzt werden. Im Rahmen dieser Arbeit wird eine fähigkeitenbasierte Methode entwickelt, welche Unternehmen bei der Identifikation, Strukturierung und Verwaltung von UAM-Fähigkeiten unterstützt. Der Ansatz ist in einen Prozess eingegliedert, welcher vier Hauptbestandteile beinhaltet und die für die Durchführung notwendigen Vorgehen, Konzepte und Hilfsmittel beschreibt, welche wiederrum in Kooperationen mit der Praxis getestet wurden

Ingénierie et Architecture d’Entreprise et des Systèmes d’Information - Concepts, Fondements et Méthodes

L'ingénierie des systèmes d'information s'est longtemps cantonnée à la modélisation du produit (objet) qu'est le système d’information sans se préoccuper des processus d'usage de ce système. Dans un environnement de plus en plus évolutif, la modélisation du fonctionnement du système d’information au sein de l'entreprise me semble primordiale. Pendant les deux dernières décennies, les pratiques de management, d’ingénierie et d’opération ont subi des mutations profondes et multiformes. Nous devons tenir compte de ces mutations dans les recherches en ingénierie des systèmes d’information afin de produire des formalismes et des démarches méthodologiques qui sauront anticiper et satisfaire les nouveaux besoins, regroupés dans ce document sous quatre thèmes:1) Le système d’information est le lieu même où s’élabore la coordination des actes et des informations sans laquelle une entreprise (et toute organisation), dans la diversité des métiers et des compétences qu’elle met en œuvre, ne peut exister que dans la médiocrité. La compréhension des exigences de coopération dans toutes ses dimensions (communication, coordination, collaboration) et le support que l’informatique peut et doit y apporter deviennent donc un sujet digne d’intérêt pour les recherches en système d’information.2) Le paradigme de management des processus d’entreprise (BPM) est en forte opposition avec le développement traditionnel des systèmes d’information qui, pendant plusieurs décennies, a cristallisé la division verticale des activités des organisations et favorisé ainsi la construction d’îlots d’information et d’applications. Cependant, les approches traditionnelles de modélisation de processus ne sont pas à la hauteur des besoins d’ingénierie des processus dans ce contexte en constant changement, que ce dernier soit de nature contextuelle ou permanente. Nous avons donc besoin de formalismes (i) qui permettent non seulement de représenter les processus d’entreprise et leurs liens avec les composants logiciels du système existant ou à venir mais (ii) qui ont aussi l’aptitude à représenter la nature variable et/ou évolutive (donc parfois éminemment décisionnelle) de ces processus.3) Les systèmes d’information continuent aujourd’hui de supporter les besoins classiques tels que l’automatisation et la coordination de la chaîne de production, l’amélioration de la qualité des produits et/ou services offerts. Cependant un nouveau rôle leur est attribué. Il s’agit du potentiel offert par les systèmes d’information pour adopter un rôle de support au service de la stratégie de l’entreprise. Les technologies de l’information, de la communication et de la connaissance se sont ainsi positionnées comme une ressource stratégique, support de la transformation organisationnelle voire comme levier du changement. Les modèles d’entreprise peuvent représenter l’état actuel de l’organisation afin de comprendre, de disposer d’une représentation partagée, de mesurer les performances, et éventuellement d’identifier les dysfonctionnements. Ils permettent aussi de représenter un état futur souhaité afin de définir une cible vers laquelle avancer par la mise en œuvre des projets. L’entreprise étant en mouvement perpétuel, son évolution fait partie de ses multiples dimensions. Nous avons donc besoin de représenter, a minima, un état futur et le chemin de transformation à construire pour avancer vers cette cible. Cependant planifier/imaginer/se projeter vers une cible unique et, en supposant que l’on y arrive, croire qu’il puisse exister un seul chemin pour l’atteindre semble irréaliste. Nous devons donc proposer des formalismes qui permettront de spécifier des scenarii à la fois pour des cibles à atteindre et pour des chemins à parcourir. Nous devons aussi développer des démarches méthodologiques pour guider de manière systématique la construction de ces modèles d’entreprise et la rationalité sous-jacente.4) En moins de cinquante ans, le propos du système d’information a évolué et s’est complexifié. Aujourd’hui, le système d’information doit supporter non seulement les fonctions de support de manière isolée et en silos (1970-1990), et les activités appartenant à la chaîne de valeur [Porter, 1985] de l’entreprise (1980-2000) mais aussi les activités de contrôle, de pilotage, de planification stratégique ainsi que la cohérence et l’harmonie de l’ensemble des processus liés aux activités métier (2000-201x), en un mot les activités de management stratégique et de gouvernance d’entreprise. La gouvernance d'entreprise est l'ensemble des processus, réglementations, lois et institutions influant la manière dont l'entreprise est dirigée, administrée et contrôlée. Ces processus qui produisent des ‘décisions’ en guise de ‘produit’ ont autant besoin d’être instrumentalisés par les systèmes d’information que les processus de nature plus opérationnels de l’entreprise. De même, ces processus stratégiques (dits aussi ‘de développement’) nécessitent d’avoir recours à des formalismes de représentation qui sont très loin, en pouvoir d’expression, des notations largement adoptées ces dernières années pour la représentation des processus d’entreprise.Ainsi, il semble peu judicieux de vouloir (ou penser pouvoir) isoler, pendant sa construction, l’objet “système d’information” de son environnement d’exécution. Si le sens donné à l’information dépend de la personne qui la reçoit, ce sens ne peut être entièrement capturé dans le système technique. Il sera plutôt appréhendé comme une composante essentielle d’un système socio-technique incluant les usagers du système d’information technologisé, autrement dit, les acteurs agissant de l’entreprise. De mon point de vue, ce système socio-technique qui mérite l’intérêt scientifique de notre discipline est l’entreprise. Les recherches que j’ai réalisées, animées ou supervisées , et qui sont structurées en quatre thèmes dans ce document, visent à résoudre les problèmes liés aux contextes de l'usage (l'entreprise et son environnement) des systèmes d’information. Le point discriminant de ma recherche est l'intérêt que je porte à la capacité de représentation :(i) de l'évolutivité et de la flexibilité des processus d'entreprise en particulier de ceux supportés par un système logiciel, d’un point de vue microscopique (modèle d’un processus) et macroscopique (représentation et configuration d’un réseau de processus) : thème 2(ii) du système d’entreprise dans toutes ses dimensions (stratégie, organisation des processus, système d’information et changement) : thème 3Pour composer avec ces motivations, il fallait :(iii) s’intéresser à la nature même du travail coopératif et à l’intentionnalité des acteurs agissant afin d’identifier et/ou proposer des formalismes appropriés pour les décrire et les comprendre : thème 1(iv) se questionner aussi sur les processus de management dont le rôle est de surveiller, mesurer, piloter l’entreprise afin de leur apporter le soutien qu’ils méritent du système d’information : thème