The definition of secure business processes with respect to multiple objectives

Abstract

Business processes have gained more and more importance in today's business environment, and their unimpeded execution is crucial for a company's success. Since business processes are permanently exposed to several threats, organizations are forced to pay attention to security issues. Although security of business activities is widely considered as important, business processes and security aspects are often developed separately. Recent approaches for managing business process security focus on certain aspects only and neglect others, thus not providing a holistic framework for analyzing process security and evaluating security safeguards. Often, these safeguards are evaluated according to technical aspects only; multiple objectives are not considered.<br />This diploma thesis introduces a model-supported, risk-based multiobjective decision making methodology (MR-MOD) for the elicitation of security requirements of business processes, for the analysis of assets, threats, and vulnerabilities, and for the selection of appropriate security technologies. Thereby it combines the strengths of different methods, including process modeling, quantitative risk assessment, and multiobjective decision making techniques, for the definition of Secure Business Processes. MR-MOD is supported by the MODStool, a software application developed in the course of this thesis.<br />Finally, the feasibility of this methodology is demonstrated in a case study.

Im heutigen Geschäftsumfeld gewinnen Geschäftsprozesse mehr und mehr an Bedeutung und deren ungestörter Ablauf ist entscheidend für den Erfolg eines Unternehmens. Da Geschäftsprozesse permanent mehreren Gefahren ausgesetzt sind, sind Organisationen dazu gezwungen sicherheitsrelevanten Problemen Bedeutung beizumessen. Obwohl die Sicherheit von Geschäftstätigkeiten allgemein für wichtig erachtet wird, werden Geschäftsprozesse und Sicherheitsaspekte häufig getrennt voneinander entwickelt. Gegenwärtige Ansätze zur Gewährleistung der Sicherheit von Geschäftsprozessen richten ihr Hauptaugenmerk nur auf bestimmte Aspekte und vernachlässigen dadurch andere. Folglich stellen sie keine ganzheitliche Methodik dar, um die Sicherheit von Prozessen zu analysieren und um Sicherheitsmaßnahmen zu evaluieren. Oft werden diese nur nach technischen Gesichtspunkten bewertet, mehrfache Kriterien bleiben weitgehend unberücksichtigt.<br />Diese Diplomarbeit stellt eine Methodik zur modellunterstützten und risikobasierten Multikriteriellen Entscheidungsfindung (MR-MOD) vor, die zur Erhebung von Sicherheitsanforderungen von Geschäftsprozessen, zur Analyse von Wertanlagen, Bedrohungen und Schwachstellen und zur Auswahl von geeigneten Sicherheitstechnologien herangezogen werden kann. Dabei verbindet sie die Stärken verschiedener Methoden zur Definition von sicheren Geschäftsprozessen, darunter Prozessmodellierung, Risikobewertung und Techniken der Multikriteriellen Entscheidungsfindung. MR-MOD wird durch die Softwareapplikation MODStool unterstützt, welche im Rahmen dieser Arbeit entwickelt wurde.<br />Schließlich wird die Machbarkeit dieser Methodik anhand einer Fallstudie demonstriert.