A procedure model for evaluating IT-security investments

The security of information systems is a vital factor for companies nowadays. In order to achieve an adequate level of security, a variety of distinct measures is available, ranging from technical meas-ures to organizational measures. In near past suitable methods for decision support especially for the assessment of the profitability of IT-security investments have been developed. But integrated procedure models for a complete it-security controlling can neither be found in literature nor in practice. With this article, we propose a method framework that enables the analysis of the results of alternative security investments from a process-oriented perspective. As a basis, we have conducted an in-deep analysis of the state-of-the-art in the fields of IT-Business-Alignment and IT-security management in order to identify suitable concepts for the framework. A special focus lies on the requirements of IT-security controlling of critical business processes.Безпека інформаційних систем у теперішній час є життєво важливим фактором для компаній. Багато різних вимірів, від технічних до організаційних, є доступними для досягнення прийнятного рівня безпеки. У недалекому минулому було розроблено методи підтримки прийняття рішень при оцінюванні прибутковості інвестицій у IT-безпеку. Проте інтегральні процедурні моделі для повного управління IT-безпекою до цього часу не знайдені – ані у літературі, ані на практиці. У цієї статті ми пропонуємо середовище, яке дає можливість аналізувати результати альтернативних інвестицій у безпеку з точки зору, орієнтованої на процеси. Ми здійснили поглиблений аналіз сучасного стану справ у галузях синхронізації IT та бізнесу та управління IT-безпекою з метою ідентифікувати прийнятні концепції для цього середовища. Спеціальну увагу приділено вимогам до IT-безпеки критичних бізнес-процесів

Betriebliche Anwendungssysteme : Tagungsband zur AKWI-Fachtagung vom 11. bis 14.09.2011 an der Fachhochschule Worms

In heutigen Unternehmen werden im Kern alle Aufgaben durch Anwendungssysteme direkt oder durch diese unterstützt erledigt. Folglich beschreiben betriebliche Anwendungssysteme heute im Grunde, welche Aufgaben in Unternehmen überhaupt zu lösen sind und welche davon automatisiert und somit durch Software erledigt bzw. unterstützt werden können. Die Arbeit an und mit Betrieblichen Anwendungssystemen ist gekennzeichnet durch eine große thematische Breite und demonstriert die für die Wirtschaftsinformatik charakteristische Nutzung von Ansätzen der Betriebswirtschaftslehre sowie der Informatik. Deswegen erwarteten die Herausgeber sehr heterogene Themenvorschläge und sie wurden nicht enttäuscht. Die letztlich ausgewählten Themen stellen aktuelle Entwicklungs- und anwendungsorientierte Forschungsprojekte zu Geschäftsprozessen, Standardsoftware, Softwareentwicklung und Betrieb von Anwendungssystemen vor. Dadurch beschreiben sie das heute existierende Berufsbild von Wirtschaftsinformatikern und -innen in der industriellen Praxis

Erweiterung einer Modellierungsmethodik für serviceorientiertes Geschäftsprozessmanagement

The introduction of service-oriented architectures (SOA) in the enterprise context promises many advantages. For example, by composing existing services new capabilities can be provided quickly allowing a fast and agile reaction to changing market conditions. In order to support companies in a successful adoption of SOA, service-orientation must be integrated in their enterprise architecture. Many companies made high investments in the past modelling their enterprise architecture based on different modelling methods. The introduction of SOA is fostered if existing models can be reused and investments are preserved. Therefore, existing modelling methods must be extended by service-oriented concepts. This thesis extends the modelling method ARIS with concepts for service-oriented business process management. It contributes a graphical modelling language, which is tightly integrated with the existing ARIS modelling method. Besides a modelling language, a modelling method also consists of algorithms and applications using the content captured in the models. Therefore, this thesis develops three distinct applications based on the contributed modelling language. First, service discovery enables identifying services needed for business process automation. Second, the automated EPC to BPEL model transformation allows transforming a business process into an executable service orchestration. Third, semantic business process management formalises enterprise models so that they are machine processable. To evaluate the usefulness of the designed modelling language and the developed applications, two empirical case studies are conducted. The first case study evaluates the modelling language together with the applications service discovery and process transformation. The second case study evaluates the application semantic business process management. Both case studies demonstrate the usefulness and relevance of the modelling language as well as its applications. Hence, companies introducing service-oriented concepts can use the extended ARIS modelling method to document and analyse their service-oriented enterprise architecture.Serviceorientierte Architekturen (SOA) versprechen diverse Vorteile bei der Anwendung im Unternehmenskontext. So können z.B. durch Kombination unabhängiger Services neue Dienste kurzfristig bereitgestellt werden, was zu einer höheren Flexibilität und Agilität des Unternehmens führt. Damit Unternehmen das SOA-Konzept erfolgreich umsetzen können, muss die Serviceorientierung in die Unternehmensarchitektur integriert sein. Viele Unternehmen haben in der Vergangenheit bereits in die Modellierung ihrer Unternehmensarchitektur auf Basis verschiedener Modellierungsmethodiken investiert. Damit das SOA-Konzept auf breite Akzeptanz stößt, müssen die vorhandenen Modelle wiederverwendet werden. Dies wird erleichtert, wenn existierende Modellierungsmethodiken um serviceorientierte Modellierungskonzepte erweitert werden. In der vorliegenden Arbeit wurde die Modellierungsmethodik ARIS um Modellierungskonzepte für serviceorientierte Unternehmensarchitekturen erweitert. Dazu wurde eine konkrete grafische Modellierungssprache entwickelt und in ARIS integriert. Da eine Modellierungsmethodik neben einer Modellierungssprache auch Algorithmen und Verfahren zur Auswertung der erstellten Modelle umfasst, wurden in der vorliegenden Arbeit drei Anwendungen entwickelt. Mit der Servicesuche können zur Geschäftsprozessautomatisierung benötigte Services automatisch identifiziert werden. Mit der Geschäftsprozesstransformation können als EPK-Modell vorliegende Geschäftsprozesse automatisch in eine Serviceorchestrierung auf Basis von BPEL überführt werden. Mit dem semantischen Geschäftsprozessmanagement werden Geschäftsprozesse soweit formalisiert, dass sie durch maschinelle Verfahren auswertbar sind. Um die Nützlichkeit und Relevanz der Modellierungsmethodik samt der entwickelten Anwendungen zu evaluieren, wurden zwei empirische Fallstudien durchgeführt. In der ersten Fallstudie wurde die entwickelte Modellierungssprache sowie die Anwendungen Servicesuche und Geschäftsprozesstransformation untersucht. In Fallstudie zwei wurde die Anwendung semantisches Geschäftsprozessmanagement evaluiert. Beide Fallstudien haben die Nützlichkeit und Relevanz der Modellierungsmethodik und der Anwendungen bestätigt. Damit können Unternehmen auf Basis der in dieser Arbeit entwickelten Erweiterung von ARIS ihre serviceorientierte Unternehmensarchitektur dokumentieren und auswerten

Management und IT: Tagungsband zur AKWI-Fachtagung vom 16. bis 18.09.2012 an der Hochschule Pforzheim

Wirtschaftsinformatik befasst sich mit allen Themen, die an der Schnittstelle zwischen Informatik und Betriebswirtschaft anzutreffen sind. So geht es in der Wirtschaftsinformatik – basierend auf dem Wissen und dem Verstehen der betriebswirtschaftlichen Konzepte und Anwendungen – insbesondere darum, IT-Systeme für die betriebliche Praxis zu entwickeln, einzuführen und zu betreiben. Eine wissenschaftliche Fachtagung, die den Titel „Management und IT“ trägt, setzt an einer solchen Beschreibung der Wirtschaftsinformatik an

Strategisches GRC-Management: Anforderungen, Forschungsagenda und datenseitiges Modell

„Governance, Risk and Compliance“ (GRC) wird gegenwärtig überwiegend als Schlagwort aufgegriffen und durch isolierte, kurzfristige Initiativen umgesetzt. Die Integrationsmöglichkeiten und strategische Bedeutung von GRC werden unzureichend erkannt, wodurch Nutzenpotentiale und mögliche Synergieeffekte nicht genutzt werden können. Obwohl erste integrierte GRC-Ansätze existieren, ist das Thema bislang wenig strukturiert. Die vorliegende Arbeit entwickelt daher ein allgemeines Verständnis für ein integriertes und strategisch ausgerichtetes Management von GRC, das als strategisches GRC-Management bezeichnet wird. Hierfür werden Anforderungen hergeleitet, der Forschungsstand analysiert und eine Forschungsagenda entwickelt. Durch eine Delphi-Studie werden die Anforderungen und Forschungsbedarfe priorisiert. Ein datenseitiges Modell stellt die strukturellen Zusammenhänge von GRC auf Informationsebene dar.GRC as an acronym for governance, risk and compliance is currently looked at as a catchword and implemented with short-term, isolated initiatives. GRC is more considered to be a burden for the business and opportunities for integration as well as the strategic relevance of the topic is not recognized, which makes it difficult to realize potential benefits and synergies. Even though first GRC approaches exist, the overall topic area remains quite unstructured and is not narrowed down precisely. Detailed questions, which are relevant for the topic area, like automation of compliance controls and risk measures, modeling of GRC information as well as the determinants of compliance behavior cannot be sorted into their overall context. The research work at hand therefore aims to establish a basic understanding of an integrated and strategically oriented GRC management, which is called strategic GRC management. For this purpose, this research identifies requirements for such an approach based on an exhaustive and structured literature review, discusses the current state of research in this field and develops a research agenda. These research results are evaluated with a three round Delphi study which at the same time determines the importance of the requirements and the research needs and thereby enables its prioritization. Furthermore, a data-centred model for strategic GRC management, which depicts the structural relationships of GRC on the level its information, is constructed. The data model is demonstrated based on an example and evaluated using published practical examples. This research work provides, specifically with the research agenda, various research opportunities. The requirements and the data-centred model enable the assessment and further development of GRC related management systems in company practice.GRC als Akronym für "Governance, Risk and Compliance" wird gegenwärtig in der Unternehmenspraxis überwiegend als Schlagwort aufgegriffen und durch isolierte, kurzfristige Initiativen umgesetzt. GRC wird mehrheitlich als Bürde gesehen und die Integrationsmöglichkeiten sowie die strategische Bedeutung des Themas werden unzureichend erkannt, wodurch Nutzenpotentiale und mögliche Synergieeffekte nicht genutzt werden können. Obwohl erste integrierte GRC-Ansätze existieren, ist das Thema bislang wenig strukturiert und die Eingrenzung bleibt vage. Relevante Detailfragen, wie die Automatisierung der Compliance-Sicherung und Risikosteuerung, die Modellierung von GRC-Informationen und die Determinanten des Compliance-Verhaltens können nur schwer in den Gesamtzusammenhang eingeordnet werden. Die vorliegende Arbeit verfolgt daher das Ziel der Grundlegung eines allgemeinen Verständnisses für ein integriertes und strategisch ausgerichtetes Management von GRC, das als strategisches GRC-Management bezeichnet wird. Hierfür werden basierend auf einem umfangreichen Literaturreview Anforderungen an das strategische GRC-Management hergeleitet, der Forschungsstand strukturiert analysiert und eine Forschungsagenda entwickelt. Diese Forschungsergebnisse werden durch eine Delphi-Studie bestehend aus drei Befragungsrunden abgesichert. Die Studie bestimmt zudem die Bedeutung der einzelnen Anforderungen und Forschungsbedarfe, wodurch eine Priorisierung ermöglicht wird. Darüber hinaus wird ein datenseitiges Modell für das strategische GRC-Management entwickelt, das die strukturellen Zusammenhänge von GRC auf Informationsebene darstellt. Das Datenmodell wird an Hand eines Beispiels demonstriert und mit Hilfe einer Auswertung von publizierten Praxisbeispielen evaluiert. Die Arbeit stellt durch die Forschungsagenda vielfältige Anknüpfungspunkte für weitere Forschung zur Verfügung. Die Anforderungen sowie das datenseitige Modell ermöglichen eine Bewertung und Weiterentwicklung des GRC-Managements in der Unternehmenspraxis