Auflistung Wirtschaftsinformatik 50(5) - Oktober 2008 nach Titel
1 - 10 von 14
Treffer pro Seite
Sortieroptionen
- Zeitschriftenartikel73_MittGI(Wirtschaftsinformatik: Vol. 50, No. 5, 2008)
- ZeitschriftenartikelCompliance-Monitor zur Frühwarnung vor Risiken(Wirtschaftsinformatik: Vol. 50, No. 5, 2008) Accorsi, Rafael; Sato MSc., Yoshinori; Kai MSc., SatoshiDer Beitrag befasst sich mit der Entwicklung eines Frühwarnsystems zur vorzeitigen Entdeckung von Verletzungen der Privatsphäre in „Business Compliance“ und zeigt die Anwendbarkeit dieses Verfahrens am Beispiel der Anonymität. Hierzu wird ein Referenzmonitor vorgestellt, der das Risiko, ausgedrückt als Eintrittswahrscheinlichkeit, einer zukünftigen Regelverletzung vor ihrem Eintritt automatisch berechnet und warnt, wenn die Ausführung als gefährlich eingestuft wird.AbstractThe paper reports on a reference monitor for early warning risk determination for privacy violations in the context of business compliance and demonstrates its applicability in the particular case of anonymity. To this end, the monitor detects system executions that potentially lead to incompliant states before the actual violation by determining the risk they pose to compliance goals and warning officers responsible for compliance about risky executions. In doing so, the presented monitor is a novel technique to automate some of the tasks involved in guaranteeing compliance.
- ZeitschriftenartikelExPDT: Ein Policy-basierter Ansatz zur Automatisierung von Compliance(Wirtschaftsinformatik: Vol. 50, No. 5, 2008) Sackmann, Stefan; Kähmer, MartinUnternehmen sehen sich steigenden Anforderungen aus neuen Gesetzen, regulatorischen Vorschriften, Standards, Governance und auch Verträgen gegenüber. Durch den Einsatz von Informationstechnologie kann die Validierung der Einhaltung solcher Regeln (Compliance) automatisiert und effizienter erreicht werden. Aktuelle Ansätze basieren im Wesentlichen auf Zugangskontrolle und der Dokumentation der tatsächlichen Nutzung von Daten sowie Durchführung von Prozessen. Damit können zwar einzelne Compliance-Anforderungen adressiert werden, ein effizienter IT-Einsatz erfordert jedoch einen allgemeinen Ansatz. Hierfür wird ein Rahmenwerk zur Automatisierung von Compliance vorgestellt. „Policies“, wie sie aus der IT-Sicherheit bekannt sind, werden als Schlüssel zur Automatisierung von Compliance identifiziert, da sie eine Brücke zwischen nicht-technischen Compliance-Anforderungen und deren Umsetzung in IT-Systemen bieten. Es wird die Policy-Sprache ExPDT präsentiert und gezeigt, inwieweit diese zur automatisierten Einhaltung von Compliance-Anforderungen eingesetzt werden kann, ohne die situationsspezifisch erforderliche Adaptivität von Geschäftsprozessen zu gefährden.AbstractRemaining in compliance with growing requirements from new laws, regulations, standards, or contracts demands increasing IT support beyond simple reporting tools or archiving solutions. However, an efficient IT support of compliance management requires a more general approach. In this contribution, a framework for automating compliance is introduced. Policies are seen as the key to aligning non-technical compliance requirements to a technical IT system. The policy language ExPDT is presented and evaluated with regard to maintaining flexibility of business processes and validating compliance.
- ZeitschriftenartikelGovernance im IT-Portfoliomanagement – Ein Ansatz zur Berücksichtigung von Strategic Alignment bei der Bewertung von IT(Wirtschaftsinformatik: Vol. 50, No. 5, 2008) Zimmermann, SteffenIn vielen Unternehmen der Dienstleistungsbranche bilden IT-Kosten nach den Personalkosten den zweitgrößten Kostenblock. Auch in anderen Branchen nehmen sie stetig zu. Wenn viele IT-Investitionen die geplanten Ziele nicht erreichen, dann führt dies bei einem steigenden Investitionsvolumen zu einer (noch) höheren „Mittelverschwendung“. Gründe hierfür sind u. a. in einer Fehlallokation von Ressourcen infolge unzureichender Methoden im IT-Portfoliomanagement zu suchen. Um bei der Gestaltung solcher Methoden den aus der IT-Governance abgeleiteten Anforderungen an ein IT-Portfoliomanagement gerecht zu werden, ist dabei neben erwartetem Ertrag und Risiko auch das Strategic Alignment von IT-Investitionen zu berücksichtigen. Vor diesem Hintergrund wird ein Ansatz zur Quantifizierung des Strategic Alignments vorgeschlagen, wonach erläutert wird, wie dieses bei der Auswahl des Portfolios mit dem höchsten Wertbeitrag berücksichtigt werden kann.AbstractIT costs are the second biggest cost component in service industries, topped only by HR costs. They are steadily increasing in other industries as well. At the same time, many IT investments do not achieve their objectives due to inadequate methods in IT assessment implying bad allocation of resources. To meet the requirements of ITPM methods deduced from the main focuses of IT-Governance the consideration of strategic alignment in calculating the value propositions of IT Portfolios is essential. Against this backdrop, an approach to quantify strategic alignment and to consider it in determining the value of an IT Portfolio is presented in this paper.
- ZeitschriftenartikelInformationstechnologie, Governance und Compliance(Wirtschaftsinformatik: Vol. 50, No. 5, 2008) Teubner, Alexander; Feller, TomIn dem Beitrag werden die Ergebnisse einer Web-Recherche zu den Themen Governance und Compliance in Zusammenhang mit dem Einsatz von Informationstechnologie vorgestellt. Hierbei zeigt sich, dass die Informationstechnologie eine doppelte Rolle einnimmt. Sie tritt zum einen als Instrument zur Realisierung der betrieblichen Governance und Compliance in Erscheinung. Zum anderen ist die IT auch ein wesentlicher Gegenstand von Governance und Compliance, sodass sich die eigenständigen Arbeitsfelder „IT-Governance“ und „IT-Compliance“ etabliert haben. Da zwischen Governance und Compliance enge Bezüge bestehen, wird in der Praxis oft auf eine klare Positionierung verzichtet. Dies gilt für die Beratungsangebote von IT-Dienstleistern ebenso wie für das Angebot von Softwarewerkzeugen. Letztere werden i. d. R. unspezifisch als Governance-Risk-Compliance-Software bezeichnet. Die duale Rolle der IT und vor allem die unpräzise und tendenziell inflationäre Verwendung der Begriffe „Governance“ und „Compliance“ erschweren die thematische Ordnung von Inhalten auf dem Word Wide Web erheblich.AbstractThe paper presents the results of a World Wide Web research on the relationships between information technology (IT) on the one hand and governance and compliance on the other. The research sheds light on two different roles IT can take up in governance and compliance. Firstly, IT is used as an instrument or tool in support of implementing governance and compliance in organizations. Secondly, IT is an important concern in governance and assurance of compliance in organizations, resulting in IT-governance and IT-compliance as issues of their own. Since the domains of governance and compliance overlap in some respect, both areas are not always properly distinguished. This can especially be observed in offerings of IT consulting firms and in the positioning of products of software developers and vendors which are often vaguely labeled as “Governance, Risk and Compliance (GRC) Software”. An imprecise and somewhat inflationary use of the terms governance and compliance impedes a systematic analysis of the field.
- ZeitschriftenartikelInterview mit Michael Klinger und Christian Cuske zum Thema“IT-Governance und Compliance“(Wirtschaftsinformatik: Vol. 50, No. 5, 2008) Heinzl, Armin
- ZeitschriftenartikelIT-Compliance und IT-Governance(Wirtschaftsinformatik: Vol. 50, No. 5, 2008) Müller, Günter; Terzidis, Orestis
- ZeitschriftenartikelModellierung und Management von Risiken. Ein prozessorientierter Risikomanagement-Ansatz zur Identifikation und Behandlung von Risiken in Geschäftsprozessen(Wirtschaftsinformatik: Vol. 50, No. 5, 2008) Rieke, Tobias; Winkelmann, AxelDie Anzahl der gesetzlichen Vorschriften zum Identifizieren und Protokollieren von Risiken hat sich in den letzten Jahren vergrößert. Zahlreiche Gesetze zwingen die Unternehmen zu einem sorgfältigen Umgang mit Prozessrisiken. Die Verwendung von Prozessmodellen zur Dokumentation von Risiken sowohl in der Corporate Governance als auch im Speziellen in der IT-Governance ist als Nachweis-, Verifikations- und Prognosemöglichkeit sinnvoll, da Risiken im prozessualen Kontext leicht ersichtlich präsentiert und in das Risikomanagementhandbuch aufgenommen werden können.Der vorliegende Beitrag setzt sich mit dem State of the Art der prozessorientierten Risikomodellierung auseinander und spezifiziert eine Methode zur Modellierung der Risiken auf Basis der Ereignisgesteuerten Prozesskette (EPK). Ziel der Methode ist eine Visualisierung und somit Dokumentation und Veranschaulichung von Risiken. Da es sich um eine Erweiterung der EPK-Methode handelt, kann der Ansatz mit bestehenden Modellierungswerkzeugen für Auditverfahren und zur Erreichung und Erhaltung der Compliance im Unternehmen eingesetzt werden. Die Konstruktion entsprechender risikobehafteter Geschäftsprozesse unter Verwendung der hierfür entwickelten Modellierungstechnik wird anhand von Beispielen erläutert. Dabei wird die risikoorientierte EPK zusätzlich in das Konzept der adaptiven Informationsmodellierung eingebettet, um basierend auf einem Gesamtprozessmodell Modellvarianten zu generieren, die durch ihre fokussierte Darstellung und geringere Komplexität beispielsweise zur Identifizierung von IT-Einzelrisiken innerhalb des Unternehmens genutzt werden können.AbstractThe number of legal regulations in the field of risk identification and documentation has heavily increased in the last years. This situation forces various companies to take care of risk aspects within their processes. The use of conceptual models for risk documentation in the field of corporate governance as well as IT-governance leads to better risk verification, certification and prediction. Risks will become much more apparent within their process contexts. These conceptual models can even be used for the preparation of risk handbooks.The article deals with the state of the art of process-oriented risk modelling and proposes a risk modelling approach developed on the basis of the entity driven process chain (EPC). The method aims at improved visualization and documentation mechanisms of process-oriented risks. Due to its EPC-foundation this approach can be integrated in existing modelling tools for auditing purposes to reach and maintain compliance with risk regulations. The construction of risk-inherent process models with the proposed modelling approach will be depicted with some examples. Additionally, this approach is integrated in the concept of adaptive conceptual modelling to generate distinct views on the set of existing models. This leads to a focused presentation and a lower model complexity and enables herewith a more efficient risk identification and treatment.
- ZeitschriftenartikelRFID – ist Sicherheit in offenen Anwendungen erreichbar?(Wirtschaftsinformatik: Vol. 50, No. 5, 2008) Wonnemann, ClausRFID-Technologie wird bereits seit vielen Jahren erfolgreich für die Steuerung industrieller Prozesse eingesetzt. Nur ein kleiner Teil dieser Anwendungen benutzt RFID allerdings in offenen Kreisläufen, in denen auch unternehmensfremde Personen mit Transpondern interagieren. Dies sind genau die Fälle, in denen der Einsatz von RFID zur Verletzung von Datensicherheit und informationeller Selbstbestimmung Einzelner führen kann.Der Beitrag untersucht die spezifischen Bedrohungen, die in derartigen Szenarien von RFID ausgehen können und stellt aktuelle Forschungsergebnisse vor, mit denen diesen Bedrohungen begegnet werden kann. Dabei werden neben Möglichkeiten zur Zugriffkontrolle auf Transponderebene auch regulatorische Maßnahmen und Mechanismen zur Kontrolle nachfolgender Datenverarbeitung untersucht.AbstractRFID technology has been successfully deployed in industry for many years. Only a small fraction of these deployments uses RFID in applications that allow external parties to get in touch with transponders. These are exactly those cases in which violations of data protection goals or an individual’s personal privacy might happen due to RFID usage.The article examines the specific threats that might evolve from the application of RFID technology in suchlike scenarios and presents current research tackling those threats. Along with access control techniques, approaches striving to rule out misuse through regulations and mechanisms for backend usage control are discussed.
- ZeitschriftenartikelSOA-Governance – Ein Ansatz zum Management serviceorientierter Architekturen(Wirtschaftsinformatik: Vol. 50, No. 5, 2008) Kohnke, Oliver; Scheffler, Torsten; Hock, Christian