1. Identifying key activities, artifacts and roles in agile engineering of secure software with hierarchical clusteringAnže Mihelič, Tomaž Hovelja, Simon Vrhovec, 2023, izvirni znanstveni članek Opis: Different activities, artifacts, and roles can be found in the literature on the agile engineering of secure software (AESS). The purpose of this paper is to consolidate them and thus identify key activities, artifacts, and roles that can be employed in AESS. To gain initial sets of activities, artifacts, and roles, the literature was first extensively reviewed. Activities, artifacts, and roles were then cross-evaluated with similarity matrices. Finally, similarity matrices were converted into distance matrices, enabling the use of Ward’s hierarchical clustering method for consolidating activities, artifacts, and roles into clusters. Clusters of activities, artifacts, and roles were then named as key activities, artifacts, and roles. We identified seven key activities (i.e., security auditing, security analysis and testing, security training, security prioritization and monitoring, risk management, security planning and threat modeling; and security requirements engineering), five key artifacts (i.e., security requirement artifacts, security repositories, security reports, security tags, and security policies), and four key roles (i.e., security guru, security developer, penetration tester, and security team) in AESS. The identified key activities, artifacts, and roles can be used by software development teams to improve their software engineering processes in terms of software security. Ključne besede: secure software development, security engineering, agile methods, agile development, software development, software engineering, software security, application security, cybersecurity, cyber resilience Objavljeno v DKUM: 29.11.2023; Ogledov: 417; Prenosov: 10 Celotno besedilo (557,17 KB) Gradivo ima več datotek! Več... |
2. Agile development of secure software for small and medium-sized enterprisesAnže Mihelič, Simon Vrhovec, Tomaž Hovelja, 2023, izvirni znanstveni članek Opis: Although agile methods gained popularity and became globally widespread, developing secure software with agile methods remains a challenge. Method elements (i.e., roles, activities, and artifacts) that aim to increase software security on one hand can reduce the characteristic agility of agile methods on the other. The overall aim of this paper is to provide small- and medium-sized enterprises (SMEs) with the means to improve the sustainability of their software development process in terms of software security despite their limitations, such as low capacity and/or financial resources. Although software engineering literature offers various security elements, there is one key research gap that hinders the ability to provide such means. It remains unclear not only how much individual security elements contribute to software security but also how they impact the agility and costs of software development. To address the gap, we identified security elements found in the literature and evaluated them for their impact on software security, agility, and costs in an international study among practitioners. Finally, we developed a novel lightweight approach for evaluating agile methods from a security perspective. The developed approach can help SMEs to adapt their software development to their needs. Ključne besede: secure software development, security engineering, agile, small and medium sized enterprises, software development management, security Objavljeno v DKUM: 29.11.2023; Ogledov: 494; Prenosov: 7 Celotno besedilo (2,58 MB) Gradivo ima več datotek! Več... |
3. Towards an adaptive strategic IT governance model for SMEsAleš Levstek, Andreja Pucihar, Tomaž Hovelja, 2022, izvirni znanstveni članek Opis: Information technology (IT) can have a direct and indirect impact on business performance. New technologies change the risks at the strategic and governing levels of an enterprise. In the age of digitalization, we need to develop new understandings and approaches to governance and management. The most established IT governance (ITG) models, such as COBIT, ITIL and CMMI, are universal, one-size-fits-all models that are not in line with contingency theory and are predominantly designed for large multinational enterprises. They are too cumbersome and cost-intensive for small and medium enterprises (SMEs) to use effectively. Therefore, there is a need to develop more efficient models that are contingency-based and easier to implement than existing models and thus adaptable to the actual needs of the business. This paper presents an empirical evaluation of key ITG mechanisms from the literature that clearly shows that several are not universally but situationally necessary, thus demonstrating the need for new contingency-based ITG models. Ključne besede: upravljanje informatike, mehanizmi upravljanja informatike, modeli upravljanja informatike, prilagodljiv model upravljanja informatike, IT governance, IT governance mechanisms, IT governance models, contingency IT governance model Objavljeno v DKUM: 12.07.2023; Ogledov: 385; Prenosov: 72 Celotno besedilo (2,34 MB) Gradivo ima več datotek! Več... |
4. Razvoj prilagodljivega modela strateškega upravljanja informatike za srednje velika podjetjaAleš Levstek, 2022, doktorska disertacija Opis: Danes je vloga informatike v večini podjetij ključna, kar dokazujejo tudi ostale raziskave. Vloga informatike je danes usmerjena v ustvarjanje dodane poslovne vrednosti, kar podjetjem omogoča diferenciacijo, konkurenčno prednost in nenazadnje njihov dolgoročen obstoj. Ključ uspešne uporabe informatike v podjetju je v njenem upravljanju. Učinkovito upravljanje zagotavlja usklajenost informatike z ostalimi deli podjetja, kar omogoča ustvarjanje dodane (poslovne) vrednosti iz naslova vlaganj v informatiko. Učinkovito upravljanje tako pripomore k večanju vrednosti podjetja, višanju produktivnosti in zmanjšanju tveganj in je dandanes uveljavljen ter nujen sistem vsakega podjetja.
Čeprav je upravljanje informatike (UI) predmet mnogih obravnav, je še vedno slabo razumljeno področje. Prisotnost UI v okviru upravljanja podjetij je slabo zastopana, prav tako je uporaba sistemov in modelov UI na zelo nizkem nivoju. Trenutni modeli UI so generični in namenjeni velikim podjetjem, ki niso enostavno prenosljivi v srednje velika podjetja. Iz literature izhaja, da le ta nujno potrebujejo učinkovite sisteme UI.
Disertacija izhaja iz teze, da je na osnovi celovite opredelitve UI ob upoštevanju sistemov UI, uporabniških potreb ter izkušenj dosedanjega uvajanja UI, možen razvoj modela UI, katerega uvedba in uporaba temelji na situacijski teoriji in bo bolj koristna za uvedbo v srednje velika podjetja od trenutnih generičnih modelov UI. V disertaciji izhajamo iz problema v praksi in problemov zaznanih v literaturi. Cilj disertacije je razvoj prilagodljivega modela strateškega UI, s katerim želimo izpolniti vrzel tako v praksi, kot v literaturi. V disertaciji smo se omejili na strateški nivo, kjer je v literaturi in v praksi zaznana največja vrzel. Raziskava temelji na študiji primerov šestih podjetij, v kateri so sodelovali nadzorniki, vrhnji management ter izvršni management na poslovni strani in na strani informatike, ki jih v disertaciji prištevamo k strateškemu nivoju v podjetju.
Razvoj modela strateškega UI temelji na metodologiji razvoja organizacijskega artefakta, ki ima svoje temelje v študiju literature. S pomočjo teorije upravljanja in managementa smo opredelili UI v okviru upravljanja podjetij. Za opredelitev ključnih področij je uporabljenih več aktualnih teorij v povezavi s situacijsko teorijo in ogrodjem tehnologija-organizacija-okolje. Pred samo izvedbo empirične raziskave smo izvedli teoretično evalvacijo modela, ki temelji na najpogosteje uporabljenih modelih v literaturi.
Empirična evalvacija modela z razvojem prilagodljivega modela strateškega UI, temelji na študiji primerov, kjer je UI konceptualizirano kot uvajanje postopne administrativne inovacije. Rezultat kvalitativne raziskave, ki je bila izvedena v obliki delno strukturiranih intervjujev s sedemindvajsetimi (27) intervjuvanci iz šestih podjetij zavarovalno finančne panoge v JV Evropi, nas pripelje do končnega prilagodljivega modela strateškega UI z analizo posameznih mehanizmov in situacijskih dejavnikov, ki imajo neposreden in posreden vpliv na UI. V raziskavi smo rezultate študije generalizirali na osnovi replikacije skladno z metodologijo študije primera.
S samo raziskavo smo potrdili, da je model, ki temelji na situacijskem pristopu in situacijski teoriji, bolj koristen od dosedanjih načinov uvajanja mehanizmov UI, kar so potrdili vsi intervjuvanci. Prilagodljiv model strateškega UI sestavljajo obvezni mehanizmi, ki jih vse interesne skupine vidijo kot nujne in potrebne in predstavljajo osnovo UI v podjetju. Prilagodljivost modela temelji na situacijskih mehanizmih, s katerimi zmanjšujemo situacijska tveganja, ki izhajajo iz tveganj posameznih smeri vpliva situacijskih dejavnikov. Situacijski mehanizmi predstavljajo nabor mehanizmov, katerih implementacija oz. prilagajanje služi kot odgovor na različne situacije oz. potrebe podjetja, ki so neposredno povezani z močjo smeri vpliva situacijskih dejavnikov in imajo posreden oz. neposreden vpliv na UI. Ključne besede: upravljanje podjetij, upravljanje informatike, model strateškega upravljanja informatike, prilagodljiv model upravljanja informatike Objavljeno v DKUM: 25.01.2023; Ogledov: 778; Prenosov: 133 Celotno besedilo (12,05 MB) |
5. Posojanje poverilnic med igričarji : magistrsko deloAnej Nemec, 2019, magistrsko delo Opis: Ko govorimo o tematiki računalniških iger najprej pomislimo na zabavo in na vrsto preživljanja prostega časa, le malokrat pa pomislimo na grožnje, ki nam pri tem pretijo. Čeprav se proizvajalci in založniki iger trudijo zagotavljati čim višjo stopnjo informacijske varnosti, je takšna naloga deloma tudi v naši domeni. Problem se pojavlja, ko se igralci namerno odpovedujejo varnosti in zaščiti, ob pojavu informacijsko varnostnih incidentov pa krivdo pripisujejo proizvajalcem ali drugim dejavnikom. Največ informacijsko varnostnih incidentov nastane zaradi namernega posojanja poverilnic igralskih računov. Posojanje poverilnic poznano tudi kot boostanje pomeni, da igralec namerno zaupa svoje uporabniško ime in geslo igralskega računa z namenom ''dvigovanja'' ravni svojega igralskega računa po igralski lestvici. Takšna dejanja so problematična, saj lahko vodijo do posledic, kot so kraja identitete, trajna ali začasna ukinitev igralskega računa, izguba virtualnih nagrad, v nekaterih primerih lahko vodi tudi do izgube ugleda ter spletnega ustrahovanja. S področja računalniških iger so narejene številne raziskave o problematiki psiholoških učinkov iger na posameznika, medtem ko so raziskave, ki preučujejo informacijsko varnost računalniških iger zelo redke. Zato smo se odločili, da z empirično raziskavo, ki smo jo izvedli med igralci računalniških iger, skušamo dobiti določen vpogled na omenjeno problematiko. Odločili smo se, da bomo problematiko obravnavali z dveh vidikov. Prvi je, zakaj nekdo posoja poverilnice igralskega računa, in drugi, zakaj nekdo sprejme poverilnice igralskega računa drugega igralca. Čeprav smo s prva predvidevali, da so virtualne nagrade eden izmed glavnih razlogov za posojanje poverilnic, nam rezultati raziskave kažejo, da temu le ni tako. Največji vpliv na posojanje poverilnic igralskih računov imata mišljenje o ravnanju preostalih članov v skupnosti in izziv v igri. Na namero za boostanje igralskih računov drugih igralcev pa vplivajo samozavedanje in namera za boostanje svojega igralskega računa, medtem ko ima ogroženost negativen vpliv. Ključne besede: računalniške igre, poverilnice, informacijska varnost, grožnje, magistrska dela Objavljeno v DKUM: 14.10.2019; Ogledov: 1155; Prenosov: 100 Celotno besedilo (996,20 KB) |
6. Ravnanje z informacijsko tehnologijo: ključni strateški razvojni problem podjetij v Sloveniji?Tomaž Hovelja, 2009, izvirni znanstveni članek Opis: S prehodom razvitih družb v informacijsko dobo narašča pomen informacijske tehnologije (IT) v podjetjih pri njihovem strateškem razvoju. Zaradi tega se veča tudi potreba po ravnanju uprav z IT, ki bo sposobno uresničiti vse njene potenciale pri ustvarjanju dodane vrednosti. Raziskava na vzorcu 94-ih med 1000 največjimi nefinančnih podjetji v Sloveniji je žal pokazala, da pri nas uprave velikokrat ne sprejmejo določenih ključnih ukrepov za uresničenje večine potencialov IT. V prispevku predstavljamo trenutno manjkajoče ključne ukrepe, ki jih moramo sistematično vključiti v strategijo in proces ravnanja z IT v podjetjih, da bi odpravili trenutne probleme pri pridobivanju strateških koristi IT. Ključne besede: informacijska tehnologija, uporaba, Slovenija, podjetje Objavljeno v DKUM: 10.07.2015; Ogledov: 893; Prenosov: 56 Povezava na celotno besedilo |