A method framework of integrating information security into the enterprise architecture

Tietoturvan sisällyttämiseksi osaksi kokonaisarkkitehtuuria on kehitetty useita menetelmiä ja malleja. Tarjolla olevat mallit on kuitenkin usein koettu raskaiksi ja työläiksi käyttää, eivätkä ne kata kaikkia kokonaisarkkitehtuurin osa-alueita. Jotta tietoturva olisi mahdollista integroida kokonaisarkkitehtuuriin sen kaikille osa-alueille, yhtenä mahdollisena lähestymistapana on esitetty tietoturvan integroimista kokonaisarkkitehtuuriperiaatteista käsin. Tässä tutkielmassa raportoidaan suunnittelutieteellisellä menetelmällä kehitetty menetelmäkehys, jonka avulla voidaan luoda kokonaisarkkitehtuurin tietoturvaperiaatteita. Tutkimusaineistona on käytetty valmiita asiantuntijahaastatteluja, joissa 26 haastateltavaa vastasi Suomen julkisen hallinnon kokonaisarkkitehtuurin tilaa koskeviin kysymyksiin. Näistä poimittiin tarkasteltavaksi tietoturvaa koskevat osiot, joita käytettiin yhdessä kirjallisuuslähteiden kanssa määrittelemään lähtökohtia menetelmäkehyksen suunnittelulle. Menetelmäkehyksen luomisessa on hyödynnetty sekä tietoturvaperiaatteiden että kokonaisarkkitehtuuriperiaatteiden luomisen metamalleja ja se on mallinnettu ArchiMate-notaatiolla. Menetelmäkehyksen arvioimiseksi toteutettiin yhdeksän asiantuntijahaastattelua, joiden perusteella kehys muokattiin lopulliseen muotoon. Menetelmäkehyksen avulla tietoturva voidaan integroida osaksi kokonaisarkkitehtuurityötä jo työn varhaisessa vaiheessa, jolloin vältetään hankalaksi ja työlääksi koettu tietoturvavaatimusten ja kokonaisarkkitehtuurityön yhdistäminen.Several methods and models have been developed to integrate information security into the enterprise architecture. However, the models available are often difficult and laborious to use and do not cover all aspects of the enterprise architecture. In order to integrate information security into the enterprise architecture for all its components, one possible approach is to integrate information security from the enterprise architecture principles. This thesis reports a method framework developed by a design science method that can be used to create information security principles for the enterprise architecture. The research material used in this thesis is consists in part of ready-made expert interviews, where 26 interviewees answered questions about the state of the enterprise architecture of Finnish public administration. These included sections on information security that were used in conjunction with literary sources to determine the basis for designing a method framework. The method framework has been built using meta models from both information security principles and the creation of enterprise architectural principles and is modelled with ArchiMate notation. In order to evaluate the method framework, nine expert interviews were conducted on the basis of which the method framework was finalized. With the method framework, information security can be integrated into the enterprise architecture work in an early state, avoiding the difficult and laborious combination of information security requirements and enterprise architecture work

Kokonaisarkkitehtuurin laadun ja kypsyystason yhteys

Tässä opinnäytetyössä tarkastellaan, onko kokonaisarkkitehtuurin kypsyystasolla ja kokonaisarkkitehtuurituotteen laadulla keskinäistä yhteyttä. Tämän selvittämiseksi valittiin kirjallisuuslähteistä ne artikkelit, joissa kokonaisarkkitehtuurin laatua tutkitaan laatuattribuuttien (quality attributes) kautta. Näiden artikkeleiden perusteella muodostettiin kahdeksan laatuattribuuttia. Näiden laatuattribuuttien kuvauksia verrattiin kolmen kypsyysmallin (JHKA:n kypsyystasomalli, EAMM, DyAMM) kypsyystasokuvauksiin. Näin haluttiin selvittää, kuuluvatko laatuattribuutit tietyille kypsyystasoille. Tämän tarkastelun perusteella näyttää siltä, että kokonaisarkkitehtuurituotteen laadulla ja kypsyystasolla on keskinäinen yhteys. Suurin osa laatuattribuuteista on mahdollista sijoittaa kuvausten perusteella tietyille kypsyystasoille. Tämän aineiston perusteella ei pystytty kuitenkaan selvittämään, onko kokonaisarkkitehtuurin kypsyydellä ja laadulla toistensa kanssa vaikutussuhdetta.This thesis examines if there is a relationship between the enterprise architecture maturity and the quality of the enterprise architecture product. To find this out, literature articles were selected from articles in which the quality of the enterprise architecture is studied through quality attributes. Based on these articles, eight quality attributes were created. The descriptions of these quality attributes were compared to the maturity descriptions of the three selected maturity models (JHKA´s Maturity Model, EAMM, DyAMM). This was to find out whether the quality attributes belong to certain maturity levels. Based on this review, it seems that there is a mutual link between the enterprise architecture product quality and the maturity level. It is possible to place most of the quality attributes to certain maturity levels based on their descriptions. However, based on this material, it was not possible to find out if the maturity of enterprise architecture and the quality of enterprise architecture influences each other

Method Framework for Developing Enterprise Architecture Security Principles

Organizations need to consider many facets of information security in their daily operations – among others, the rapidly increasing use of IT, emerging technologies and digitalization of organizations’ core resources provoke new threats that can be difficult to anticipate. It has been argued that the security and privacy considerations should be embedded in all the areas of organizational activities instead of only relying technical security mechanisms provided by the underlying systems and software. Enterprise Architecture Management (EAM) offers a holistic approach for managing different dimensions of an organization, and can be conceived as a coherent and consistent set of principles that guide how the enterprise must be designed. This article contributes with a method framework for integrating information security with EAM, aimed at providing support for the decision-making related to formulating context-aware EA security principles. The presented method framework is a result of a constructive research based on both the theoretical body of knowledge and the empirical evidence, obtained by interviewing 35 Finnish EA and information security practitioners.peerReviewe