Auflistung nach Schlagwort "IT security"
1 - 6 von 6
Treffer pro Seite
Sortieroptionen
- ZeitschriftenartikelBetriebliches Identitätsmanagement(Wirtschaftsinformatik: Vol. 51, No. 3, 2009) Royer, Denis; Meints, MartinSysteme für das betriebliche Identitätsmanagement (Enterprise Identity Management, EIdMS) stellen eine IT-basierte Infrastruktur dar, die in verschiedenen Geschäftsprozessen und zugehörigen Infrastrukturen integriert werden muss. Die Bewertung und Vorbereitung von Entscheidungen für eine Einführung eines EIdMS muss die Kosten, den Nutzen und die organisatorische Umgebung berücksichtigen. Eine Vielzahl von Methoden für die Beurteilung und die Entscheidungsunterstützung neuer IT im Allgemeinen, als auch für EIdMS, werden in der Literatur diskutiert. Allerdings basieren diese Methoden typischerweise auf einzelnen Dimensionen (z. B. finanziellen oder technologischen Aspekten). Dieser Beitrag schlägt ein multidimensionales Entscheidungsunterstützungsrahmenwerk auf Basis des Balanced-Scorecard-Konzepts vor. Der dargestellte Ansatz führt vier Perspektiven und eine zugehörige Menge initialer Entscheidungsparameter ein, um die Entscheidungsfindung zu unterstützen. Diese Perspektiven sind (a) finanzielle / monetäre Aspekte, (b) Geschäftsprozesse, (c) unterstützende Prozesse und (IKT-) Infrastruktur sowie (d) Informationssicherheit, Risiken und Compliance. Die Perspektiven und die anpassbare Menge der Entscheidungsparameter können auch als Grundlage für softwarebasierte Entscheidungsunterstützungsinstrumente dienen.AbstractEnterprise Identity Management Systems (EIdMS) are an IT-based infrastructure that needs to be integrated in various business processes and related infrastructures. Assessment and preparation of decisions for the introduction need to take the costs, benefits, and the organizational settings into consideration. A variety of methods for the evaluation and decision support of new IT (e. g. EIdMS) are discussed in the literature – however, these are typically based on single dimensions (e. g. financial or technology aspects). This paper proposes a multidimensional decision support framework, based on the Balanced Scorecard concept. The presented approach introduces four perspectives and a related set of initial decision parameters to support decision making. The perspectives are (a) financial/monetary, (b) business processes, (c) supporting processes and (ICT) infrastructure and (d) information security, risks and compliance. Perspectives and adaptable sets of decision parameters also may serve as foundation for software-based decision support instruments.
- ZeitschriftenartikelDifferenzierung von Rahmenwerken des IT-Risikomanagements(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Beißel, StefanRahmenwerke des IT-Risikomanagements erleichtern die systematische Identifikation, Analyse und Bewältigung von Bedrohungen und Risiken im IT-Umfeld. Ohne einen effektiven Umgang mit Risiken steigt die Gefahr, dass ein Unternehmen mit signifikanten Schäden konfrontiert wird und aufgrund der Folgen sogar seine Geschäftstätigkeit einstellt. Rahmenwerke erleichtern nicht nur die quasi obligatorische Anwendung eines IT-Risikomanagements, sondern bieten auch weitere Vorteile aus Sicht des Ressourceneinsatzes und der Qualität. Durch die Nutzung von Rahmenwerken werden z. B. die Transparenz und Vergleichbarkeit der Aktivitäten und Ergebnisse im IT-Risikomanagement erhöht. Grundsätzlich sind Rahmenwerke zwar stark zu empfehlen, allerdings ist die Vielzahl der verfügbaren Rahmenwerke schwer überschaubar und auf den ersten Blick sind diese kaum differenzierbar. Es stellt sich also die Frage, welches Rahmenwerk tatsächlich zum Unternehmen passt. Dieser Artikel erleichtert die Auseinandersetzung mit Rahmenwerken des IT-Risikomanagements, indem er verbreitete Rahmenwerke vorstellt und außerdem ihre Unterschiede und Einsatzmöglichkeiten erläutert. Es wird unter anderem beschrieben, mit welchem Rahmenwerk man die schnellsten Ergebnisse erzielen kann, welches für Begriffsdefinitionen geeignet ist, welches sich auf Akteure, Szenarien oder Vermögenswerte bezieht und mit welchem der Reifegrad von Prozessen beurteilt werden kann. Manchmal eignet sich auch eine Kombination von ausgewählten Rahmenwerken, um die individuelle Situation und die Erwartungen eines Unternehmens am besten abzudecken.AbstractFrameworks for IT risk management facilitate the systematical identification, analysis and coping of threats and risks in the IT environment. Without an effective handling of risks, the danger will increase that a company will have to face significant damages and, because of the consequences, might even have to cease business operations. Frameworks facilitate not only the quasi-mandatory application of IT risk management, but also offer other advantages from the view of resource use and quality. By using frameworks, e.g. the transparency and comparability of activities and results in IT risk management will be increased. In general, frameworks are highly recommended, but the large number of available frameworks is difficult to understand and, at first sight, they can hardly be differentiated. This raises the question of what framework actually fits into the company. This article facilitates the confrontation with frameworks of IT risk management by introducing common frameworks and explaining their differences and possible applications. Among other things, it describes which framework can be used to obtain the fastest results, which framework is suitable for definitions, which framework refers to actors, scenarios or assets, and with which framework the maturity level of processes can be assessed. Sometimes also a combination of selected frameworks is suitable to cover the individual situation and the expectations of a company in the most suitable way.
- KonferenzbeitragHarmonizing physical and IT security levels for critical infrastructures(SICHERHEIT 2018, 2018) Chille, Vanessa; Mund, Sybille; Möller, AndreasWe present a concept for finding an appropriate combination of physical security and IT security measures such that a comprehensive protection is provided. In particular, we consider security for critical infrastructures, such as railway systems. For classifying physical security measures, the so-called Protection Classes from the standard EN 50600 are used in our approach. To provide comprehensive protection for a system under consideration, these sets of explicit physical security measures need to be combined with other kinds of security, such as IT security and organizational security. We present a new classification approach named 'Type of Attack(er)' that allows for taking all aspects of security into joint consideration, and harmonizes physical and IT security levels by creating a link between EN 50600 and IEC 62443.
- KonferenzbeitragThe Practice Turn in IT Security - An Interdisciplinary Approach(INFORMATIK 2019: 50 Jahre Gesellschaft für Informatik – Informatik für Gesellschaft, 2019) Kocksch, Laura; Poller, AndreasIT security has traditionally been approached as an isolated technological phenomenon or as a matter of user incompetency. In our work, we suggest to apply a practice turn to the study of IT security to unfold the nexus of practices that is involved in engaging with IT security work. In doing so, IT security becomes an organizational, social and political phenomena that demands interdisciplinary attention from computer science and social science alike.
- ZeitschriftenartikelStrategische Ausrichtung und Ziele der DATEV eG zur Forcierung von Cloud Computing(HMD Praxis der Wirtschaftsinformatik: Vol. 53, No. 5, 2016) Bär, Christian; Krug, PeterNeue technologische Möglichkeiten und die damit einhergehende Digitalisierung haben Auswirkungen auf sämtliche Wirtschaftszweige. Vormals unter dem Schlagwort Industrie 4.0, mit Fokus auf die Produktion, ist die Digitalisierung mittlerweile auch im Dienstleistungssektor unumkehrbar. Auch der steuerberatende Berufsstand befindet sich in einem tiefgreifenden Wandel und muss sich auf die zukünftigen Herausforderungen im Markt einstellen. Gerade bei der Interaktion zwischen Kanzlei, Mandant und Institutionen/Behörden bietet Cloud-Computing weitreichende Unterstützungsmöglichkeiten. Damit gehen Chancen einher, die für alle Beteiligten zu Effizienzgewinnen oder Qualitätssteigerungen führen können. Am Beispiel der DATEV eG soll aufgezeigt werden, wie eine Cloud-Lösung ausgestaltet sein kann und mit welchen strategischen Fragestellungen sich die Genossenschaft, als IT-Dienstleister, auseinandersetzen muss. Die dazu vorgestellten strategischen Überlegungen können auch auf andere Cloud-Anbieter übertragen werden und dienen als Diskussionsgrundlage aus der Praxis für die Praxis.AbstractNew technological possibilities and the accompanying digitalization affect all sectors. Previously under the catchword Industry 4.0, with a focus on the production, digitization has become irreversible in the service sector. Even the tax consulting profession is in a profound change and has to face the future challenges in the market. Especially in the interaction between consultancy office, client and institutions/authorities cloud computing provides extensive support options. This offers the chance to gain efficiency and to improve the quality for all involved. The example of DATEV eG shows how a cloud solution can be configured and what strategic questions the cooperative, as an IT service provider, has to face. The presented strategic considerations can also be transferred to other cloud providers and serve as a basis for further discussions out of a practical view.
- ZeitschriftenartikelSynergien bei der Implementierung des Kreditkartensicherheitsstandards PCI-DSS durch ISO 2700x, ISO 20000 und ITIL(HMD Praxis der Wirtschaftsinformatik: Vol. 55, No. 5, 2018) Brandes, HenrichOrganisationen richten ihre IT vielfach nach Standards aus, die den Stand der Technik darstellen. Dabei sind die Implementierung eines Standards und die vorzunehmende (Re-)zertifizierung mit hohem Aufwand verbunden. Es sind für ein Audit IT-Prozesse und Tools zu implementieren sowie ausgewählte Informationen bereitzustellen. Aufgrund von Überschneidungen zwischen den Standards lassen sich Synergien heben. Dies wird am Beispiel des proprietären IT-Sicherheitsstandards PCI-DSS (Payment Card Industry Data Security Standard) erörtert. PCI-DSS ist verpflichtend für Unternehmen, die Kreditkartendaten verarbeiten. Die Compliance ist durch eine Zertifizierung nachzuweisen. Die Anforderungen an ein PCI-DSS-Audit kann eine an ISO 20000 (ITIL) oder ISO 2700x ausgerichtete Organisation einfacher erfüllen aufgrund der Überschneidungen von PCI-DSS mit den weiteren genannten Normen. Ziel dieses Beitrags ist es, diese Überschneidungen hervorzuheben, die zu Synergieeffekten (Aufwandsreduzierungen) bei einer PCI-DSS-Zertifizierung führen können. Often organizations align their IT with standards which represent the state of the art. It is a tremendous effort to implement the standard and to become (re)certified. An organization prepares an audit by implementing IT processes including tools and providing selected information. Overlaps of standards create synergies. This is discussed by using the proprietary IT security standard PCI-DSS (Payment Card Industry Data Security Standard). PCI-DSS is mandatory for those companies, which process credit card data. Compliance is verified by a certificate. A company can fulfil PCI-DSS requirements within an audit easier, if ISO 20000 (ITIL) or ISO 2700x are already implemented. This article discusses the interferences of PCI-DSS with the other standards mentioned above, since overlaps will reduce certification efforts.