Informacijos saugos reikalavimų harmonizavimo, analizės ir įvertinimo automatizavimas

The growing use of Information Technology (IT) in daily operations of enterprises requires an ever-increasing level of protection over organization’s assets and information from unauthorised access, data leakage or any other type of information security breach. Because of that, it becomes vital to ensure the necessary level of protection. One of the best ways to achieve this goal is to implement controls defined in Information security documents. The problems faced by different organizations are related to the fact that often, organizations are required to be aligned with multiple Information security documents and their requirements. Currently, the organization’s assets and information protection are based on Information security specialist’s knowledge, skills and experience. Lack of automated tools for multiple Information security documents and their requirements harmonization, analysis and visualization lead to the situation when Information security is implemented by organizations in ineffective ways, causing controls duplication or increased cost of security implementation. An automated approach for Information security documents analysis, mapping and visualization would contribute to solving this issue. The dissertation consists of an introduction, three main chapters and general conclusions. The first chapter introduces existing Information security regulatory documents, current harmonization techniques, information security implementation cost evaluation methods and ways to analyse Information security requirements by applying graph theory optimisation algorithms (Vertex cover and Graph isomorphism). The second chapter proposes ways to evaluate information security implementation and costs through a controls-based approach. The effectiveness of this method could be improved by implementing automated initial data gathering from Business processes diagrams. In the third chapter, adaptive mapping on the basis of Security ontology is introduced for harmonization of different security documents; such an approach also allows to apply visualization techniques for harmonization results presentation. Graph optimization algorithms (vertex cover algorithm and graph isomorphism algorithm) for Minimum Security Baseline identification and verification of achieved results against controls implemented in small and medium-sized enterprises were proposed. It was concluded that the proposed methods provide sufficient data for adjustment and verification of security controls applicable by multiple Information security documents.Dissertatio

Improving the quality of the COBIT 5 goals cascade as an IT process prioritisation mechanism

COBIT 5 is a commonly used IT Governance Framework. Its first principle is that all IT related activities should support generating value for the enterprise. This principle is put in practice through the COBIT 5 Goals Cascade. In this paper the author has researched this principle's main claimed benefit, i.e. that it allows to prioritise IT related processes based on overall enterprise priorities. The quality of the goals cascade was researched by looking at the accuracy of the published mapping tables, the dependencies between goals in the same goal set and the sensitivity of the Goals Cascade towards input variations. The author concludes that the current Goals Cascade isn't very useable as a prioritisation mechanism for IT processes. The author finally proposes an improvement to the current Goals Cascade, consisting of an additional, limited set of ‘Enterprise Strategies' that map directly to IT related processes. A prototype solution has been tested, showing promising improvements

Intelligent IT Governance Platform: Strategic level

The objective of this work is the implementation of a new IT governance platform adaptable to any type of Information system architecture and any kind of business. The proposed platform is intelligent and independent to understand the business needs continuously changing, is distributed to involve all stakeholders and heterogeneous components, and scalable to accumulate the know-how of the company's IT Governance through a learning asset

Assessment of IT Infrastructures: A Model Driven Approach

Several approaches to evaluate IT infrastructure architectures have been proposed, mainly by supplier and consulting firms. However, they do not have a unified approach of these architectures where all stakeholders can cement the decision-making process, thus facilitating comparability as well as the verification of best practices adoption. The main goal of this dissertation is the proposal of a model-based approach to mitigate this problem. A metamodel named SDM (System Definition Model) and expressed with the UML (Unified Modeling Language) is used to represent structural and operational knowledge on the infrastructures. This metamodel is automatically instantiated through the capture of infrastructures configurations of existing distributed architectures, using a proprietary tool and a transformation tool that was built in the scope of this dissertation. The quantitative evaluation is performed using the M2DM (Meta-Model Driven Measurement) approach that uses OCL (Object Constraint Language) to formulate the required metrics. This proposal is expected to increase the understandability of IT infrastructures by all stakeholders (IT architects, application developers, testers, operators and maintenance teams) as well as to allow expressing their strategies of management and evolution. To illustrate the use of the proposed approach, we assess the complexity of some real cases in the diachronic and synchronic perspective

Improving IT service management using an ontology-based and model-driven approach

Texto en inglés y resumen en inglés y españolLa adopción de marcos de trabajo de mejores prácticas que permiten la integración de las Tecnologías de la Información (TI) con el negocio, ayuda a las organizaciones a crear y compartir procesos de gestión de servicios de TI. Sin embargo, las guías y modelos publicados suelen especificarse en lenguaje natural o con representaciones gráficas que carecen de la semántica computacional necesaria para poder automatizar su validación, simulación e incluso su ejecución. En esta tesis se presenta Onto-ITIL, una propuesta basada en ontologías y en el enfoque de desarrollo de software dirigido por modelos que captura las mejores prácticas ofrecidas por ITIL® (del inglés Information Technology Infrastructure Library), y destinada a facilitar la prestación de servicios de TI. El objetivo de Onto-ITIL es ayudar a los expertos del dominio a modelar e implementar procesos de gestión de servicios de TI evitando ambigüedades semánticas y contradicciones. La formalización de los procesos de gestión de servicios de TI en términos de ITIL constituye un primer paso para cubrir la brecha que se da entre el negocio y las TI. Para definir las ontologías se ha utilizado OWL (del inglés Web Ontology Language). Adicionalmente, se ha definido un conjunto de reglas basadas en SWRL (del inglés Semantic Web Rule Language) que permiten enriquecer la ontología con una serie de restricciones semánticas y de reglas de inferencia de conocimiento. Por último, la definición de un conjunto de consultas basadas en SQWRL (del inglés Query-Enhanced Web Rule Language) permite recuperar conocimiento obtenido con OWL e inferido a través de las reglas SWRL. Además de formalizar los procesos de gestión de servicios de TI en base a las buenas prácticas consideradas por ITIL, Onto-ITIL también permite compartir, reutilizar e intercambiar las especificaciones de dichos procesos a través de mecanismos automatizados que proporcionan ciertos marcos de trabajo de comercio electrónico, como por ejemplo, ebXML. Mediante la adopción del enfoque MDE (del inglés Model-driven Engineering), se ha utilizado un DSL (del inglés Domain Specific Language) basado en la ontología Onto-ITIL que sirve para implementar sistemas de información basados en flujos de trabajo que dan soporte a los Sistemas de Gestión de Servicios de TI (SGSTI). Los modelos que se obtienen a partir de este lenguaje de modelado se pueden considerar modelos de alto nivel que han sido enriquecidos con conocimiento ontológico, y que están definidos exclusivamente en términos de lógica de negocio, es decir, que no presentan ningún aspecto arquitectónico o de plataforma de implementación. Con lo cual, de acuerdo con la arquitectura en cuatro capas propuesta por el OMG (del inglés Object Management Group), estos modelos se encontrarían a nivel CIM (del inglés Computation Independent Model). En resumen, la propuesta presentada en esta tesis permite: (i) formalizar el conocimiento asociado a los sistemas de gestión de servicios de TI en base a ontologías que recogen las buenas prácticas consideradas por ITIL; (ii) modelar la semántica de las actividades que definen los procesos de gestión de servicios de TI en forma de flujos de trabajo; (iii) generar de manera automática modelos de requisitos de alto nivel para implementar sistemas de información que se necesitan para dar soporte a dichos procesos; y (iv) a partir de los modelos anteriores, obtener modelos de más bajo nivel (llegando incluso al código de las aplicaciones) a través de transformaciones automáticas de modelos. La investigación llevada a cabo en esta tesis se ha validado mediante de la implementación de un caso de estudio real proporcionado por una compañía española que ofrece servicios de TI

Improving IT service management using an ontology-based and model-driven approach

Texto en inglés y resumen en inglés y españolLa adopción de marcos de trabajo de mejores prácticas que permiten la integración de las Tecnologías de la Información (TI) con el negocio, ayuda a las organizaciones a crear y compartir procesos de gestión de servicios de TI. Sin embargo, las guías y modelos publicados suelen especificarse en lenguaje natural o con representaciones gráficas que carecen de la semántica computacional necesaria para poder automatizar su validación, simulación e incluso su ejecución. En esta tesis se presenta Onto-ITIL, una propuesta basada en ontologías y en el enfoque de desarrollo de software dirigido por modelos que captura las mejores prácticas ofrecidas por ITIL® (del inglés Information Technology Infrastructure Library), y destinada a facilitar la prestación de servicios de TI. El objetivo de Onto-ITIL es ayudar a los expertos del dominio a modelar e implementar procesos de gestión de servicios de TI evitando ambigüedades semánticas y contradicciones. La formalización de los procesos de gestión de servicios de TI en términos de ITIL constituye un primer paso para cubrir la brecha que se da entre el negocio y las TI. Para definir las ontologías se ha utilizado OWL (del inglés Web Ontology Language). Adicionalmente, se ha definido un conjunto de reglas basadas en SWRL (del inglés Semantic Web Rule Language) que permiten enriquecer la ontología con una serie de restricciones semánticas y de reglas de inferencia de conocimiento. Por último, la definición de un conjunto de consultas basadas en SQWRL (del inglés Query-Enhanced Web Rule Language) permite recuperar conocimiento obtenido con OWL e inferido a través de las reglas SWRL. Además de formalizar los procesos de gestión de servicios de TI en base a las buenas prácticas consideradas por ITIL, Onto-ITIL también permite compartir, reutilizar e intercambiar las especificaciones de dichos procesos a través de mecanismos automatizados que proporcionan ciertos marcos de trabajo de comercio electrónico, como por ejemplo, ebXML. Mediante la adopción del enfoque MDE (del inglés Model-driven Engineering), se ha utilizado un DSL (del inglés Domain Specific Language) basado en la ontología Onto-ITIL que sirve para implementar sistemas de información basados en flujos de trabajo que dan soporte a los Sistemas de Gestión de Servicios de TI (SGSTI). Los modelos que se obtienen a partir de este lenguaje de modelado se pueden considerar modelos de alto nivel que han sido enriquecidos con conocimiento ontológico, y que están definidos exclusivamente en términos de lógica de negocio, es decir, que no presentan ningún aspecto arquitectónico o de plataforma de implementación. Con lo cual, de acuerdo con la arquitectura en cuatro capas propuesta por el OMG (del inglés Object Management Group), estos modelos se encontrarían a nivel CIM (del inglés Computation Independent Model). En resumen, la propuesta presentada en esta tesis permite: (i) formalizar el conocimiento asociado a los sistemas de gestión de servicios de TI en base a ontologías que recogen las buenas prácticas consideradas por ITIL; (ii) modelar la semántica de las actividades que definen los procesos de gestión de servicios de TI en forma de flujos de trabajo; (iii) generar de manera automática modelos de requisitos de alto nivel para implementar sistemas de información que se necesitan para dar soporte a dichos procesos; y (iv) a partir de los modelos anteriores, obtener modelos de más bajo nivel (llegando incluso al código de las aplicaciones) a través de transformaciones automáticas de modelos. La investigación llevada a cabo en esta tesis se ha validado mediante de la implementación de un caso de estudio real proporcionado por una compañía española que ofrece servicios de TI

IT governance measurement tools and its application in IT-business alignment.

The purpose of this exploratory research paper is to evaluate the deployment and assessment methodology of the information technology governance (ITG) measurement tools, with the purpose of gaining deeper insight into the ITG initiation process, the nature of tools employed, measurement processes, and the implementation methodology, using case studies. Analysis of the available academic and non-academic literature sources showed measurement issues being the most dominant and ironically the most neglected domain in ITG implementations. We view ITG measurement tools and it subsequent deployment through the two theoretical ITG models namely the Integrated IT Governance model, and the Structures, Processes, and Relational ITG model. To validate these findings and to get a deeper insight into the ITG measurement domain, we conducted four case studies of measurement tools usage and processes in commonly used ITG frameworks in four organisations in New Zealand and United Arab Emirates. The results indicate that the IT governance initiatives differ in the manner of positioning in the integrated ITG framework, and objectivity of measurement is more evident and emphasized in UAE than in New Zealand. The result of these findings provides practitioners with guidance on the contextual usage of ITG measurement practices

Assessing Business Value of IT and IS Risk: Security Issues

Enterprise systems have taken full advantage of Information Technology (IT) and Information Systems (IS) to innovate and to create business value. The principal business value for system is utility. System utility is a complex factor that has many contributing variables and the resultant of business value. The metrics of utility are measures such as up-time, customer satisfaction, and so on. In this paper the concern of security as the protection of information assets is discussed in relation to managing the risk of utility. Risk modeling has come under greater scrutiny since the collapse of global financial markets in 2008. A common criticism is that risk models disengage business layers and foster surrogates that anesthetize prudent virtues within the enterprise system. The discussion in this essay proceeds by elaborating current risk modeling trends and concludes by promoting an awareness of the changing scope and expectations for effective business security risk analysis