Enterprise Identity Management

Towards an Investment Decision

Support Approach 1st Edition Denis
Royer (Auth.)
Visit to download the full and correct content document:
https://textbookfull.com/product/enterprise-identity-management-towards-an-investme
nt-decision-support-approach-1st-edition-denis-royer-auth/
More products digital (pdf, epub, mobi) instant
download maybe you interests ...

The Multi Criteria Approach for Decision Support An

Introduction with Practical Applications Lotfi Azzabi

https://textbookfull.com/product/the-multi-criteria-approach-for-
decision-support-an-introduction-with-practical-applications-
lotfi-azzabi/

Decision Support Systems VII. Data, Information and

Knowledge Visualization in Decision Support Systems:
Third International Conference, ICDSST 2017, Namur,
Belgium, May 29-31, 2017, Proceedings 1st Edition
Isabelle Linden
https://textbookfull.com/product/decision-support-systems-vii-
data-information-and-knowledge-visualization-in-decision-support-
systems-third-international-conference-icdsst-2017-namur-belgium-
may-29-31-2017-proceedings-1st-e/

Decision Support Systems VIII Sustainable Data Driven

and Evidence Based Decision Support Fatima Dargam

https://textbookfull.com/product/decision-support-systems-viii-
sustainable-data-driven-and-evidence-based-decision-support-
fatima-dargam/

Decision Support Systems V Big Data Analytics for

Decision Making First International Conference ICDSST
2015 Belgrade Serbia May 27 29 2015 Proceedings 1st
Edition Boris Delibaši■
https://textbookfull.com/product/decision-support-systems-v-big-
data-analytics-for-decision-making-first-international-
conference-icdsst-2015-belgrade-serbia-
Investment Decision making Using Optional Models 1st
Edition

https://textbookfull.com/product/investment-decision-making-
using-optional-models-1st-edition/

Excel Basics to Blackbelt An Accelerated Guide to

Decision Support Designs 3rd Edition Elliot Bendoly

https://textbookfull.com/product/excel-basics-to-blackbelt-an-
accelerated-guide-to-decision-support-designs-3rd-edition-elliot-
bendoly/

Intelligent Decision Technology Support in Practice 1st

Edition Jeffrey W. Tweedale

https://textbookfull.com/product/intelligent-decision-technology-
support-in-practice-1st-edition-jeffrey-w-tweedale/

Real World Decision Support Systems Case Studies 1st

Edition Jason Papathanasiou

https://textbookfull.com/product/real-world-decision-support-
systems-case-studies-1st-edition-jason-papathanasiou/

Large Group Decision Making Creating Decision Support

Approaches at Scale Iván Palomares Carrascosa

https://textbookfull.com/product/large-group-decision-making-
creating-decision-support-approaches-at-scale-ivan-palomares-
carrascosa/
Progress in IS

Denis Royer

Enterprise Identity
Management
Towards an Investment Decision
Support Approach
Progress in IS

For further volumes:

http://www.springer.com/series/10440
Denis Royer

Enterprise Identity
Management
Towards an Investment Decision Support
Approach

123
Denis Royer
Goethe University Frankfurt am Main
Faculty of Economics and
Business Administration
Chair for Mobile Business &
Multilateral Security
Frankfurt
Germany

ISBN 978-3-642-35039-9 ISBN 978-3-642-35040-5 (eBook)

DOI 10.1007/978-3-642-35040-5
Springer Heidelberg New York Dordrecht London

Library of Congress Control Number: 2013932134

c Springer-Verlag Berlin Heidelberg 2013

This work is subject to copyright. All rights are reserved by the Publisher, whether the whole or part of
the material is concerned, specifically the rights of translation, reprinting, reuse of illustrations, recitation,
broadcasting, reproduction on microfilms or in any other physical way, and transmission or information
storage and retrieval, electronic adaptation, computer software, or by similar or dissimilar methodology
now known or hereafter developed. Exempted from this legal reservation are brief excerpts in connection
with reviews or scholarly analysis or material supplied specifically for the purpose of being entered
and executed on a computer system, for exclusive use by the purchaser of the work. Duplication of
this publication or parts thereof is permitted only under the provisions of the Copyright Law of the
Publisher’s location, in its current version, and permission for use must always be obtained from Springer.
Permissions for use may be obtained through RightsLink at the Copyright Clearance Center. Violations
are liable to prosecution under the respective Copyright Law.
The use of general descriptive names, registered names, trademarks, service marks, etc. in this publication
does not imply, even in the absence of a specific statement, that such names are exempt from the relevant
protective laws and regulations and therefore free for general use.
While the advice and information in this book are believed to be true and accurate at the date of
publication, neither the authors nor the editors nor the publisher can accept any legal responsibility for
any errors or omissions that may be made. The publisher makes no warranty, express or implied, with
respect to the material contained herein.

Printed on acid-free paper

Springer is part of Springer Science+Business Media (www.springer.com)

Foreword

While administrating users’ access rights has been a major challenge since the
introduction of multi-user systems, it has become even more complex with the
multitude and diversity of information systems in today’s organisations – and there
is no indication that this growth of complexity will end. Indeed, it is not only
the sheer volume and complexity of many organisation’s information systems that
creates the challenge; the mere complexity, dynamics, and volatility of the respective
organisations themselves is already demanding: simply trying to enumerate all of
the entities within a single organisation that are in some way responsible for users’
access rights for example can be a major challenge in itself. All of these factors make
it extremely difficult to guarantee that members of an organisation really do access
only those data that they are supposed to: often too many data are accessible to too
many users which creates conflicts with privacy regulation and other compliance
issues, for example when people leave an organisation and their access rights are
not withdrawn in time or at all.
Enterprise Identity Management Systems (EIdMS) aim to address these issues
through a technical solution, enabling an automated and accelerated administration
of identity data and access rights. However, EIdMS do not only present a technical
challenge, but also raise the question: who in an organisation decides which access
rights exist for which data. As such, EIdMS touch the power balances, the culture,
and even the identity of many organisations. Introducing them is therefore an
expensive and complex undertaking. At the same time it is also usually difficult
for decision makers to understand the implications as well as the benefits of EIdMS
and their implementation. Often it is not even clear what the relevant aspects for an
ex-ante evaluation of EIdMS are or how to evaluate the benefits and corresponding
costs and their relations. There is, therefore, currently no simple way to decide
whether and how to introduce or change EIdMS.
Denis Royer addresses these highly relevant issues in his Ph.D. thesis, focusing
on the question “How can the decision-making process and the evaluation concern-
ing investments into Enterprise Identity Management be supported?” Through this
work he rises to the challenge of the topic of “Identity” and its many facets in diverse
disciplines such as computer science, organisation science, and psychology.

v
vi Foreword

Based on a thorough and critical literature review, as well as intensive structured

interviews with experts and other relevant stakeholders in the field, Denis Royer has
defined the problem and a solution approach in a way that business informatics as a
discipline can be proud of. His decision support model for the introduction of EIDM
systems structures a highly relevant problem class (“What are the dimensions of
the decision to invest into an identity management system and how do they depend
on each other?”) so skilfully that it was received with great interest both in the
academic domain, and importantly also in practice.
Denis Royer has used the methodological canon of business informatics in a
very meaningful way and carefully embedded his work within the “Design Science”
paradigm according to Hevner. Moreover, his EIdM Decision Support Model
described in this book is not only a major research contribution but also highly
applicable for real-world scenarios in today’s enterprise environments – especially
given its prototypical implementation and practical field evaluation.
This work is able to give valuable insights and notable impact to the field, and as
such it is hoped that it will receive the recognition it deserves.

November 2012 Kai Rannenberg

Preface

If we knew what it was we were doing, it would not be called

research, would it?
– Albert Einstein
German-born Theoretical Physicist (★1879–✟1955)

Increasingly more business processes are being facilitated by using a variety of

(distributed) information systems in today’s organisations. In many cases these
information systems are operating in a distributed way, requiring suitable protective
measures and technologies to manage access permissions and IT resources across
infrastructures. In order to allow for automation and acceleration of the handling
of access control related identity data, adequate systems need to be integrated into
the existing business processes. To this end, Enterprise Identity Management and
so-called Enterprise Identity Management Systems are solutions offering appropri-
ate supportive and (pro-actively) preventive technical and organisational measures
and functions.
However, the introduction of organisation-wide Enterprise Identity Manage-
ment Systems is a costly and complex endeavour, which goes beyond a purely
technological horizon. Indeed, the procedural and organisational questions found
in an organisation play a more dominant role. It is necessary that these ques-
tions are captured and analysed during the preliminary stages of an Enterprise
Identity Management introduction project. Moreover, the interdependencies of
the technological, organisational, and procedural aspects of an Enterprise Identity
Management introduction pose high demands towards the decision makers in an
organisation – especially when investments are evaluated in an ex-ante manner.
Against this background, the contribution of this thesis lies in the exploration of
the foundations and linkages necessary to adequately support decision making for
Enterprise Identity Management introductions. This thesis was created during my
time as a research associate and later on as an external Ph.D. student at the chair for
Mobile Business and Multilateral Security at the faculty of Economics and Business
Administration of Johann Wolfgang Goethe – Universität, Frankfurt (Main).

vii
viii Preface

At this point I would like to express my appreciation to a few people, without

whose support this project would never have been possible:
First of all, my sincere thanks go to my doctoral advisor Prof. Dr. Kai
Rannenberg for offering me a Ph.D. position in the context of the EU-funded
research project FIDIS,1 for the support when creating this thesis, and for the
“identity creating” discussion, which contributed to the successful completion of
this thesis. Also, I extend my sincere thanks to the members of my examination
committee, Prof. Dr. Roland Holten, Prof. Dr. Matthias Blonski, and Prof. Dr. Peter
Gomber, for their constructive comments and valuable remarks.
Furthermore, many thanks go to numerous people, such as my colleagues at
the chair of Mobile Business and Multilateral Security and in the FIDIS project.
Working with them was a milestone in the creation of this thesis. Their profound
knowledge, constructive criticism, and valuable suggestions gave me the impetus
required to formulate my ideas. In particular, the following persons need to
be mentioned here: Dr. Andreas Albers, Dr. Marianne Charaf, André Deuker,
Dr. Mark Gasson, Dr. Alexander Hoffmann, Sascha Koschinat, Dr. Martin Meints,
Dr. Christoph Rosenkranz, Tobias Scherner, Christian Suchan, and Suze Yang.
Further thanks go to Elvira Koch for always having open ears for the big and small
problems encountered in the everyday life of a research associate.
My thanks also go to all the participants of the expert studies and the members
of the GenericIAM (especially Dr. Horst Walther) for all of their contributions and
comments.
Special thanks go to my parents, who have always actively supported me in
achieving my goals, as well as Thorsten Müller for one or another helpful “impulse”.
Above all, I would like to express my deepest gratitude to my wife Meike for her
unwavering support and for living through all the “ups” and “downs” that come from
writing such a thesis – in particular for having great patience and understanding for
the, not always uncomplicated, moods of a Ph.D. student.

October 2012 Denis Royer

1
The project “Future of Identity in the Information Society (FIDIS)” was funded in the context
of the European Union’s 6th Framework Program from 2004 to 2008. Project details are available
online at http://www.fidis.net.
Contents

Part I Awareness and Suggestion

1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 3
1.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 3
1.2 Problem Description.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 4
1.3 Objective of This Thesis . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 8
1.4 Structure of This Thesis . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 8
1.5 Conventions of This Thesis . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 10
2 Scientific Positioning and Research Approach.. . . . . . .. . . . . . . . . . . . . . . . . . . . 13
2.1 Scientific Positioning .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 13
2.2 Applied Design-Science Framework . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 15
2.2.1 Design-Science Principles and Guidelines .. . . . . . . . . . . . . . . . . . . 17
2.2.2 Design-Science Framework . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 19
2.3 Mapping of Articles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 24

Part II Development of the Artefact

3 EIdM: Concepts, Technologies, and Application Fields . . . . . . . . . . . . . . . . . 27

3.1 What Is Identity? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 28
3.1.1 Identity Concepts.. . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 29
3.1.2 Digital Identity and Partial Identities .. . . . .. . . . . . . . . . . . . . . . . . . . 32
3.1.3 The Identity Life Cycle . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 33
3.2 Identity Management and Identity Management Systems .. . . . . . . . . . . 35
3.2.1 Categorisation Approaches for Identity
Management Systems . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 36
3.2.2 Relevant Technologies . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 39
3.2.3 Enterprise Identity Management . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 41
3.2.4 Market Developments for EIdM Solutions
and Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 44

ix
x Contents

3.3 EIdM in Organisations: Questions and Answers. .. . . . . . . . . . . . . . . . . . . . 46

3.3.1 Why Do Organisations Introduce EIdM? .. . . . . . . . . . . . . . . . . . . . 46
3.3.2 How Do Organisations Introduce EIdM? .. . . . . . . . . . . . . . . . . . . . 47
3.3.3 What Are the Problems of EIdM Introductions? . . . . . . . . . . . . . 48
3.3.4 Who Are the Relevant Stakeholders? . . . . .. . . . . . . . . . . . . . . . . . . . 54
3.4 Summary and Conclusion .. . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 56
4 Evaluation of EIdM Investments .. . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 57
4.1 Ex-ante Evaluation Methods for IT (Security) Investments . . . . . . . . . . 58
4.2 Categorisation Approach .. . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 58
4.2.1 Primary Effects .. . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 62
4.2.2 Secondary Effects . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 63
4.3 Application of the Categorisation Framework . . . .. . . . . . . . . . . . . . . . . . . . 65
4.4 Evaluation Methods Used in the Practical Field . .. . . . . . . . . . . . . . . . . . . . 65
4.5 Summary and Implications.. . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 67
5 A Decision Support Model for the Introduction
of EIdM Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 69
5.1 Creation of the EIdM Decision Support Model . . .. . . . . . . . . . . . . . . . . . . . 69
5.2 Expert Interviews .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 72
5.2.1 Interviewed Subjects/Subject Demographics . . . . . . . . . . . . . . . . . 74
5.2.2 Interview Guideline . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 75
5.2.3 Data and Analysis .. . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 78
5.3 Description of the Derived Explanation Model . . .. . . . . . . . . . . . . . . . . . . . 81
5.3.1 Derived Theory Constructs and Specific Topical Areas .. . . . . 81
5.3.2 Linking the Constructs: Derivation of the Model .. . . . . . . . . . . . 87
5.4 Review of the Model: Survey-Based Expert Review . . . . . . . . . . . . . . . . . 92
5.4.1 Design of the Review Questionnaire . . . . . .. . . . . . . . . . . . . . . . . . . . 93
5.4.2 Participants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 94
5.4.3 Analysis of Material . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 94
5.4.4 Results and Implications from the Analysis . . . . . . . . . . . . . . . . . . 96
5.5 Limitations of the Model Derivation . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 99
5.6 Summary .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 99

Part III Evaluation of the Artefact

6 Prototype Implementation of an EIdM Decision Support System . . . . . 103

6.1 Decision Support Systems . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 104
6.1.1 Foundations of Decision Support Systems. . . . . . . . . . . . . . . . . . . . 105
6.1.2 Defining Decision Support Systems. . . . . . .. . . . . . . . . . . . . . . . . . . . 106
6.1.3 Generic Structure of Decision Support Systems .. . . . . . . . . . . . . 111
6.1.4 Intermediate Result: Characteristics of DSS
and Implications .. . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 112
Contents xi

6.2 Derivation of the EIdM Decision Matrix .. . . . . . . . .. . . . . . . . . . . . . . . . . . . . 115

6.2.1 Setting the Frame: The Balanced Scorecard Approach . . . . . . 116
6.2.2 Proposal for an EIdM Decision Matrix . . .. . . . . . . . . . . . . . . . . . . . 118
6.2.3 Perspectives of the EIdM Decision Matrix . . . . . . . . . . . . . . . . . . . 118
6.2.4 Outputs and Implications of the EIdM Decision
Matrix: Possible Application Scenarios .. .. . . . . . . . . . . . . . . . . . . . 126
6.2.5 Excursus: Complementary Evaluation Processes.. . . . . . . . . . . . 128
6.3 Implementation of the DSS Prototype .. . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 134
6.3.1 Targeted Usage Cases . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 134
6.3.2 Requirements and Functionality .. . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 135
6.3.3 Setup and Implementation Process . . . . . . . .. . . . . . . . . . . . . . . . . . . . 136
6.3.4 Derived KPIs of the DSS Prototype .. . . . . .. . . . . . . . . . . . . . . . . . . . 137
6.3.5 Overview Prototype .. . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 141
6.4 Limitations of the Prototype . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 151
6.5 Summary .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 151
7 Empirical Evaluation of the Theoretical Model . . . . . .. . . . . . . . . . . . . . . . . . . . 153
7.1 Description of the Empirical Artefact Evaluation.. . . . . . . . . . . . . . . . . . . . 153
7.2 Research Question of the Evaluation and Hypotheses
Development .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 154
7.3 Evaluation Methodology and Process . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 155
7.3.1 Interviewed Subjects .. . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 156
7.3.2 Data and Analysis .. . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 157
7.4 Results of the Artefact Evaluation .. . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 159
7.4.1 Enhancement of the Decision-Making Process for EIdM .. . . 159
7.4.2 Feasibility and Completeness of the EDSM . . . . . . . . . . . . . . . . . . 161
7.4.3 Other Application Fields of the EDSM . . .. . . . . . . . . . . . . . . . . . . . 162
7.4.4 Implications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 163
7.5 Limitations of the Evaluation . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 164
7.6 Summary .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 165

Part IV Conclusion

8 Conclusion and Outlook.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 169

8.1 Summary .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 169
8.2 Application of the Design-Science Guidelines.. . .. . . . . . . . . . . . . . . . . . . . 173
8.2.1 Guideline 1: Design as an Artefact . . . . . . . .. . . . . . . . . . . . . . . . . . . . 173
8.2.2 Guideline 2: Problem Relevance . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 173
8.2.3 Guideline 3: Design Evaluation . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 174
8.2.4 Guideline 4: Research Contribution .. . . . . .. . . . . . . . . . . . . . . . . . . . 174
8.2.5 Guideline 5: Research Rigour . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 175
8.2.6 Guideline 6: Design as a Search Process. .. . . . . . . . . . . . . . . . . . . . 175
8.2.7 Guideline 7: Communication of the Research . . . . . . . . . . . . . . . . 175
8.3 Practical Implications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 176
8.4 Outlook: Further Research Opportunities . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 176
xii Contents

Appendices . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 179

A Papers in the Thesis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 181

B Expert Interview Introductory Slides. . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 183

C Details on the Expert Interviews . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 187

C.1 Interview Subjects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 187
C.2 Interview Guideline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 187

D Prototype: Derived Key Performance Indicators

and Selected Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 191
D.1 KPI Overview.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 191
D.2 Account Density Indicator . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 197
D.3 Business Process Maturity Level . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 199
D.4 Risk Level Indicator .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 200
D.5 Business Process Integration Level .. . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 201
D.6 EIdM Process Maturity.. . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 202

E Details on the Evaluation.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 205

E.1 Research Questions and Hypotheses . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 205
E.2 Evaluation Interview Guideline .. . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 205
E.3 Interviewed Subjects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 208

References .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 209
List of Figures

Fig. 1.1 Structure of this thesis . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 9

Fig. 2.1 Scientific Positioning . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 14
Fig. 2.2 Visualised Research Approach . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 16
Fig. 2.3 Mapping of the Thesis Papers to the Individual
Research Steps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 22
Fig. 3.1 Structuring the “Me” of the Identity . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 30
Fig. 3.2 A person’s partial identities . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 33
Fig. 3.3 The Identity Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 34
Fig. 3.4 Types of identity management (Systems) . . . . . . .. . . . . . . . . . . . . . . . . . . . 39
Fig. 3.5 Mapping of (E)IdM technologies to the types and tiers .. . . . . . . . . . . 41
Fig. 3.6 EIdM as interface between governance and technology . . . . . . . . . . . 42
Fig. 3.7 EIdM technology framework . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 42
Fig. 3.8 EIdM architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 43
Fig. 3.9 Sales volume for security technologies in Germany
and market projections until 2012 .. . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 44
Fig. 3.10 Size of EIdM project budgets .. . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 45
Fig. 3.11 Relevant stakeholders for EIdM introductions ... . . . . . . . . . . . . . . . . . . . 53
Fig. 4.1 Overview Evaluation Methods . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 61
Fig. 4.2 Level of Information in a Decision Situation . . .. . . . . . . . . . . . . . . . . . . . 64
Fig. 5.1 Used Research Approach for deriving the Decision Model .. . . . . . . 71
Fig. 5.2 Timeline for Creation of Theoretical Model. . . .. . . . . . . . . . . . . . . . . . . . 73
Fig. 5.3 Derivation of Codes and Categories .. . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 80
Fig. 5.4 Example Codings in the QCA Software Tool .. .. . . . . . . . . . . . . . . . . . . . 81
Fig. 5.5 Resulting Model and Mapping of Constructs .. .. . . . . . . . . . . . . . . . . . . . 87
Fig. 5.6 Resulting Model and Linkage of Constructs . . . .. . . . . . . . . . . . . . . . . . . . 92
Fig. 5.7 Results of the Expert Survey . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 95
Fig. 5.8 Revised Model after Expert Review .. . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 97
Fig. 5.9 Final EIdM Decision Support Model (EDSM) .. . . . . . . . . . . . . . . . . . . . 98

xiii
xiv List of Figures

Fig. 6.1 Creation of the Proof of Concept Prototype . . . .. . . . . . . . . . . . . . . . . . . . 104

Fig. 6.2 Possible Application Areas for the EIdM Decision Matrix . . . . . . . . 104
Fig. 6.3 DSS decision-making Process . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 107
Fig. 6.4 Internal Structure of a DSS . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 113
Fig. 6.5 Categorisation and Implications for Designing the DSS
Prototype . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 114
Fig. 6.6 Examples for the Balanced Scorecard and the Strategic Maps . . . . 117
Fig. 6.7 Resulting EIdM Decision Matrix . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 120
Fig. 6.8 Example for Linkages between different Parameters
and KPIs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 125
Fig. 6.9 Mapping of the Theoretical Model and the resulting EDM .. . . . . . . 127
Fig. 6.10 Proposed Introduction Process for EIdMS .. . . . .. . . . . . . . . . . . . . . . . . . . 130
Fig. 6.11 Proposed Process for an initial Operationalisation of
an EIdM Project’s Structure . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 131
Fig. 6.12 Visualisation of the Proposed Evaluation Support Process . . . . . . . . 132
Fig. 6.13 Usage Scenarios of the EDM Prototype . . . . . . . .. . . . . . . . . . . . . . . . . . . . 135
Fig. 6.14 Mapping of the Performance Indicators to the
Perspective of the EDM . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 142
Fig. 6.15 Introduction Worksheet of the Prototype DSS . .. . . . . . . . . . . . . . . . . . . . 144
Fig. 6.16 Sections of the Status Quo Assessment Sheets .. . . . . . . . . . . . . . . . . . . . 145
Fig. 6.17 Results of the Status Quo Evaluation . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 145
Fig. 6.18 Sample Dialogues used for Data Entry in the Prototype . . . . . . . . . . . 146
Fig. 6.19 Overview of the used DSS Model and Scenario Selection .. . . . . . . . 150
Fig. 6.20 Results of the EDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 150
Fig. 7.1 Applied Summarising Content Analysis Process .. . . . . . . . . . . . . . . . . . 158
Fig. D.1 Process maturity levels .. . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 200
List of Tables

Table 1.1 Selected Literature on the Evaluation of IT (Security)

Investments and IT Security Risks . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 6
Table 2.1 Artefact Outputs of Design-Science Research .. . . . . . . . . . . . . . . . . . . . 18
Table 2.2 Design-Science Research Guidelines . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 20
Table 2.3 Overview of Papers and Articles being used in this Thesis . . . . . . . 23
Table 3.1 Central functions of identity management systems –
also referred to as AAAA . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 36
Table 3.2 Identity management spheres of activity . . . . . . .. . . . . . . . . . . . . . . . . . . . 37
Table 3.3 Overview of (E)IdM technologies .. . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 40
Table 3.4 Stakeholder categories identified and related specific
topic areas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 55
Table 4.1 Overview on relevant methods for assessing IT
(security) investments .. . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 59
Table 4.2 Comparison Matrix for Evaluation Methods. ... . . . . . . . . . . . . . . . . . . . 66
Table 5.1 Detailed Description of the Subjects being interviewed .. . . . . . . . . . 74
Table 5.2 Mapping of Interview Guideline and Relevant Literature. . . . . . . . . 76
Table 5.3 Parameter Categories (quantitative and qualitative)
and related Specific Topic Areas. . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 84
Table 5.4 Examples from the Interview Data for the Linkages of
the Constructs. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 88
Table 6.1 DSS Framework .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 106
Table 6.2 Expanded DSS Framework . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 112
Table 6.3 Exemplary Measures and Decision Parameters for the
Financial/Budget Perspective .. . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 122
Table 6.4 Exemplary Measures and Decision Parameters for the
Compliance, Risk, and Security . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 123
Table 6.5 Exemplary Measures and Decision Parameters for the
Business Process Perspective . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 123

xv
xvi List of Tables

Table 6.6 Exemplary Measures and Decision Parameters for the

Supporting Process Perspective.. . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 124
Table 6.7 Categories of Metrics . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 138
Table 6.8 Overview of the Worksheets in the EDM Prototype
Application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 143
Table 7.1 Details on the participants of the evaluation . . .. . . . . . . . . . . . . . . . . . . . 157
Table 8.1 Answered Research Sub-Questions . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 172
Table A.1 Detailed overview of papers being used in this thesis . . . . . . . . . . . . . 181
Table C.1 Detailed description of the subjects being interviewed .. . . . . . . . . . . 188
Table D.1 Derived KPIs for the EDM prototype . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 192
Table D.2 Example for using the ADI as an indicator . . . .. . . . . . . . . . . . . . . . . . . . 198
Table D.3 EIdM process maturity model . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 204
Table E.1 Details on the participants of the interview-based evaluation .. . . . 208
List of Symbols

ADICur (Current) Account Density Indicator

AAS Active Accounts per System
ADIi Account Density Indicator for an individual system i
BPamount Number of business processes
BPinteg. Number of already integrated business processes
 Threshold value for identifying shared accounts
i Weighting factor (importance of a system)
noc Number of occurrences / Response Frequency
PBus Business processes
PSup Supporting processes
PUS Persons Using a System
Sys Number of analysed systems

xvii
List of Abbreviations

AAA Authentication, Authorisation, and Administration

ADI Account Density Indicator
ADIS Account Density Indicator Score
APA American Psychological Association
Bn. Billion
BPIL Business Process Integration Level
BPML Business Process Maturity Level
BSC Balanced ScoreCard
BSI Bundesamt fr Sicherheit in der Informationstechnik
BUE Budget Usage & Employment
CCD Compliance Capital Deposit
CEO Chief Executive Officer
cf. confer (lat.) ! compare
CIO Chief Information Officer
CMMI Capability Maturity Model Integration
CO Controlling
CSI Costs: Systems and Integration
CP Costs: Processes
CRS Compliance, Risk, & Security
DCF Discounted Cash Flow
DNS Domain Name System
DS Design Science
DiS Directory Services
DSS Decision Support Systems
EDM EIdM Decision Matrix
EDSM EIdM Decision Support Model
EIdM Enterprise Identity Management
EIdMS Enterprise Identity Management System(s) (pl./sing.)
EIS Executive Information Systems
EPM EIdM Process Maturity
EPTS EIdM Process-Time Share

xix
xx List of Abbreviations

EUR Euro (currency)

FIM Federated Identity Management
FPI Financial Performance Indicators
FTE Full-Time-Equivalent / employee
HR Human Resources
HRM Human Resources Management
I Infrastructure
IAM Identity & Access Management
IdM Identity Management
IdMS Identity Management System(s) (pl./sing.)
IDPT ID Data Process Time
IRR Internal Rate of Return
IS Information System
ISO International Organisation for Standardisation
IT Information Technology
ITIL IT Infrastructure Library
ITS Information Technology Security
KPI Key Performance Indicators
LDAP Lightweight Directory Access Protocol
LE Large Enterprises
No. Number
NPV Net Present Value
OLAP Online Analytical Processing
OMG Object Management Group
PKI Public Key Infrastructure
QCA Qualitative Content Analysis
RBAC Role-Based Access Control
RLI Risk Level Indicator
ROI Return on Investment
ROSI Return on Security Investments
RSO Reduced Sign-On
RQ Research Question
SEPA System and EIdM Process Acceptance
SME Small and Medium Enterprises
SIL System Integration Level
SOX Sarbanes-Oxley Act
SSO Single Sign-On
SQ Sub-Question
TCO Total Cost of Ownership
UML Unified Modelling Language
VBA Visual Basic for Applications
VOFI Visualisation of Financial Implications
WIP Work in Progress
WWW World Wide Web
 Part I
Awareness and Suggestion

Abstract As initial starting point, the first step of this research deals with the
problem identification and the analysis of the problem relevance of the presented
research questions. Here the foundations and goals for the further research are laid
out and discussed, resulting in the design of the relevant IT artefact(s) for solving
the posed research-questions of this thesis.
Chapter 1
Introduction

Forecasting is the art of saying what is going to happen and

then to explain why it didn’t.
– Anonymous

1.1 Motivation

Looking at today’s organisations, more and more business processes are facilitated
by using (distributed) information systems (IS), such as enterprise resource plan-
ning (ERP) systems, document management systems (DMS), or human resources
management (HRM) systems. From a technical point of view, these IS consist of
distributed client/server-architectures.
Opening one’s structures to a wider infrastructure involves risks associated e.g.,
with potential security leaks or ramifications for non-compliance1 against relevant
laws and regulations.2 In order to protect3 these systems and related organisational
assets, such as customer data or personnel data, from unauthorised access, organi-
sations have the business obligation to invest into preventive technologies that can
be integrated into their processes and allow for the automation and acceleration of
the handling of access control related identity data, such as roles and permissions.
Otherwise, organisations may face losses in their productivity due to e.g., increased

1
In this context, compliance refers to corporations and public agencies and their need to ensure that
personnel is aware of, and takes and executes steps to comply with relevant laws and regulations,
such as Basel II, KonTraG, or Sarbanes-Oxley Act (Hall and Liedtka 2007).
2
Bernnat et al. (2010, p. 68) and Berghel (2005).
3
From a technical perspective, the protection goals for the systems and their assets include
confidentiality, integrity, availability, and accountability, which are presented in the relevant
literature (e.g., Bedner and Ackermann 2010, p. 323 or Rannenberg 2000, p. 490).

D. Royer, Enterprise Identity Management, Progress in IS, 3

DOI 10.1007/978-3-642-35040-5 1, © Springer-Verlag Berlin Heidelberg 2013
4 1 Introduction

costs for the subsequent or corrective management of information technology (IT)4

infrastructure.
Consequently, the interest into enterprise identity management (EIdM) and so
called enterprise identity management systems (EIdMS),5 offering adequate pro-
tective organisational and technical measures and means for fulfilling compliance
statutes, has grown in the past.6 This class of identity management systems helps
to facilitate the handling of identity data and access permissions in organisations.
Furthermore, EIdM can be analysed with regard to the following two aspects7 :
• At the technological level, a variety of technologies, which belong to the cluster
of EIdM technologies can be identified, such as single-sign-on (SSO) solutions,
directory services, public-key infrastructures (PKI), and identity and access
management (IAM) systems.
• From a process and organisational point of view, EIdM is a potential core element
in the IS infrastructure of an organisation to manage and integrate assets, users,
and systems within an organisation.
To this regard, EIdMS can be considered the missing link between productive IT
and IT security, enabling a variety of services, such as eCommerce, eGovernment,
and eServices.8

1.2 Problem Description

When evaluating9 EIdM projects, they can be seen as in-between productive IT

systems (helping to facilitate internal and external processes) and IT security
systems (securing organisational assets), which makes them hybrids. Also, the
introduction of organisation-wide EIdMS is a costly and complex endeavour that
poses high demands towards the decision makers in an organisation.10 Accordingly,
the identification and the evaluation of the relevant effects11 on an organisation and

4
Being used in many different meanings, the term information technology is used in its common
current sense as describing those technologies being used for processing, storing, and transporting
information in digital form.
5
The abbreviation EIdMS is used for plural and singular cases.
6
According to Bernnat et al., EIdMS have a growing relevance for SMEs, especially for coping
with compliance related topics (Bernnat et al. 2010, p. 68).
7
Mezler-Andelberg (2008) and Windley (2005).
8
See Chap. 3 for details.
9
Evaluation represents a central concept in the field of IS research and IS in general (Klecun and
Cornford 2005). Moreover, in the context presented here, the terms evaluation and assessment are
used synonymously. However, according to Hensen, assessment is an activity related to evaluation,
hence making evaluation the primary term to be used (Hensen 2007).
10
Royer and Meints (2009).
11
Examples are technical, financial, organisational, or social effects.
1.2 Problem Description 5

the actual decision-making to execute an EIdM project are core problems. However,
in the author’s opinion, an evaluation of investments into EIdMS can be made
possible, as some aspects of EIdM projects can be made visible directly (e.g., cost
savings), while others can be approximated indirectly (e.g., risks, indirect costs).12
The missing links are the relevant aspects, categories, and their linkages, all of which
need to be taken into consideration when analysing and deciding on investing into
EIdMS.
Furthermore, questions about the value of IT security and the investment
into related technologies are becoming increasingly important for organisational
decision-making.13 Accordingly, the ex-ante evaluation14 of IT security investments
(and IT investments in general) is a subject discussed widely and controversially
in the domains of scientific and practitioner’s literature during the past decades.15
While most of the relevant IT security-related literature focuses primarily on tech-
nical issues,16 a number of contributions in this field also focus on the establishment
of theoretical approaches, helping to facilitate the decision-making process for
evaluating investments into IT (security) technologies. A selected literature sample
is presented in Table 1.1. Moreover, further examples and an in-depth analysis of ex-
ante evaluation methods for IT (security) investments will be presented in Chap. 4.
However, little is known about the reality of today’s organisations and the ex-ante
methods being used in practice to assess the value of IT and IT security investments.
Additionally, actual requirements and foundations for decision support systems
(DSS) in this field, intended to help decision makers understand the implications
from introducing such technologies, remain a field not fully analysed yet,17 lacking
adequate theories and empirical work.18

12
Martin (2007, p. 16).
13
Hitt and Brynjolfsson (1996), Martinsons et al. (1999), and Ward et al. (2007).
14
To this regard, ex-ante evaluations refers to the weighing of costs, benefits, and other constructs
in forecasting or decision support scenarios (Klecun and Cornford 2005, p. 229; Nowey et al. 2005,
p. 15).
15
Example literature being used in this thesis includes articles from: Bacon (1992, p. 335), Carr
(2003), Cavusoglu et al. (2004), Jonen and Lingnau (2007), Magnusson et al. (2007), Martin 2007,
p. 17, Sonnenreich et al. 2006, and Walter and Spitta 2004. On a more general level, Klecun and
Cornford discuss the evaluation of information systems and a set of derived principles, based on a
critical theory approach (Klecun and Cornford 2005, p. 230).
16
E.g., Dhillon and Backhouse (2001), Gordon and Loeb (2002), and Siponen and Oinas-Kukkonen
2007.
17
Royer and Meints (2009).
18
Ryan and Ryan (2006, p. 587) and Siponen and Willison (2010, p. 1556).
6 1 Introduction

Table 1.1 Selected literature on the evaluation of IT security investments and IT security risks
(Adapted from Royer and Meints (2009))
Author Evaluation approach/results
Brocke et al. The authors present a framework based on a capital budgeting (visualisation
(2007) of financial implications – VOFI) approach to calculate the return on security
investments (ROSI). Potential cash inflows are simulated on the basis of
capital risk investments to derive decision scenarios
Cavusoglu The model by Cavusoglu et al. employs a game theory-based approach,
et al. (2004) supporting the choice for a security technology. The estimated parameters are
used to determine potential cost savings implied by a security technology. The
technology yielding the maximum savings is chosen
Farahmand In their approach, Farahmand et al. are assessing IT security risks, based on
et al. (2005) the analysis and evaluation of qualitative risks. The risks are translated into
monetary values, representing the expected losses of a security incident
Magnusson Analysis of different ROSI approaches with regard to their theoretical foun-
et al. (2007) dation and their value for the measurement of value creation. The authors
conclude that ROSI is not sufficiently utilisable in value creation (Net Present
Value, ROI) calculations
Gordon and This paper presents a conceptual economic model to derive the optimal level
Loeb (2002) of information security investment decisions. The presented approach is based
on a mathematical risk-model, which is described in theory
Purser (2004) Purser proposes a ROI measure for security managing, incorporating the value
of changed risks. The author argues that by incorporating such measure into
the control framework cost savings can be achieved
Riepl (1998) The author gives a critical assessment of the Total Cost of Ownership (TCO)
and the ROI approach for the evaluation of general IT investments. As a
result the author advises decision makers to challenge such methods and to
thoroughly assess IT infrastructures based on extended methods
Sonnenreich Sonnenreich et al. analyse the ROSI and the problems related to acquiring
et al. (2006) the necessary data, such as risk exposure, risk mitigated, or solution costs,
to actually calculate a “meaningful” ROSI. Furthermore, they suggest the
usage of the NPV to factor in the time-value of money. Their result is a
ROSI calculation scheme, focusing on lost productivity, risk exposure, and
risk mitigation

Alongside various inherited problems of general IT investments, such as the

controversially debated IT productivity paradox19 or the complex nature of IT
investment decisions in general,20 IT security investments suffer from additional
problems, including21:

19
Wan et al. (2007).
20
Dörner (2003, p. 13) and Jonen and Lingnau (2007, p. 246). To this regard, Dörner denotes
the following five characteristics of general IT investments: (1) high degree of uncertainty about
costs and benefits, (2) quantification of benefits, (3) short technology cycles, (4) interdependencies
between already implemented and planned IT solutions, and (5) interactions with organisational
conditions.
21
Magnusson et al. (2007, p. 26), Mercuri (2003, p. 15), and Sonnenreich et al. (2006).
1.2 Problem Description 7

1. The identification of (possible) revenues or costs generated by an IT security

investment (e.g., identification of appropriate and accurate metrics).
2. The optimal level of the total security investments that are dependent on iden-
tifying what security risks exist by performing risk-analysis and subsequently
deciding upon the imposition of controls (processes that are arbitrary and highly
context-sensitive).22
3. Furthermore, IT security investments are carried out to mitigate risks and to
prevent possible losses.23 If indeed the risks are mitigated and occurrences of
security incidents and potential losses are prevented (e.g., users accessing IS
in an organisation without permission), it seems difficult to assess whether an
investment can be established cost-effective due to the preventive nature of IT
security investments.
As initially stated, EIdMS can be considered hybrids, as they are situated
between productive IT and IT-security investments. Moreover, for the decision
makers this means that the above described problems do exist for EIdM projects as
well. However, in the author’s opinion an assessment of investments into EIdMS
can be made possible, as some aspects can be made visible directly (e.g., cost
savings), while others can be assessed indirectly (e.g., risks) if knowledge exists
about the impacts and connection between these aspects. Consequently, the initial
questions “how the decision making is taking place” and “what needs to be
taken into consideration” need to be answered beforehand. However, as derived
from the literature, current ex-ante evaluation approaches and models do not
seem to accommodate this kind of technology in a meaningful way.24 Prominent
examples are the commonly used Return on Investment (ROI)25 or the Return on
Security Investments (ROSI),26 which are discussed controversially in the relevant
literature.27 Furthermore, a lack of appropriate methods and tools for the evaluation
of IT investments is stated, especially with regard to the impacts stemming from of
large-scale IT architectures (ERP, EIdM, etc.).28
A selected literature sample and a summary of its findings and results are listed in
Table 1.1.29 Moreover, the relevant aspects for EIdM projects need to be identified
and put into relation to explain the impacts on an organisation.

22
Similar thoughts towards general IT investments can be found in Carr (2003).
23
Sonnenreich et al. (2006, p. 46).
24
Royer and Meints (2009).
25
Davis et al. (2008, p. 21).
26
Davis et al. (2008), Lorenz (2005), and Pohlmann (2006).
27
Cf. Franklin (2002), Jacobson (1987), Martin (2007, p. 17), and Mott and Granata (2006, p. 48).
28
Uwizeyemungu and Raymond (2009, p. 252). While situating their study in the field of ERP
systems, Uwizeyemungu and Raymond are looking at the problem of evaluating IT systems from
a general point of view.
29
More on this topic can be found in Chap. 4.
8 1 Introduction

1.3 Objective of This Thesis

Following the motivation and the problem description of the previous chapters, the
objective of this thesis is to answer the question30:
Research Question (RQ): “How can the decision-making process and the evaluation
concerning investments into EIdM be supported?”

In order to answer the posed research question, four sub-questions were derived.
These sub-questions are used in the course of the thesis to structure the research
approach presented in Sect. 2.2.2.
Sub-Question 1 (SQ 1): Which are the methods that can be used to evaluate investments
into EIdM?

Sub-Question 2 (SQ 2): Which of these methods are applied in practice (e.g., in the
corporate field for decision support) and what are their shortcomings?

Sub-Question 3 (SQ 3): What is the information about the requirements and properties
actually needed to assess investments into EIdM, in order to address the shortcomings of
existing methods?

Sub-Question 4 (SQ 4): How can the information about the requirements and properties
be applied into a decision support instrument/model for the evaluation of EIdM investments
(and how can the instrument/model be evaluated)?

In order to answer these questions, the goal is to design a decision support

approach for assessing EIdM investments in organisations. This will be done by
using the design-science paradigm as a basis.31 The outline of the research approach
and the resulting IT artefact(s)32 will be presented in the following chapters.

1.4 Structure of This Thesis

The research proceeded along the four sub-questions (SQ 1–SQ 4) and is visualised
in Fig. 1.1, summarising the structure. Moreover, this figure also maps the individual
chapters to the design-science cycle presented by Vaishnavi and Kuechler33 and the
individual steps (Step 1–3) of the taken research approach. Further details can be
found in Sect. 2.2.1. The remainder of this document is organised as follows:

30
Cf. Royer (2008b).
31
Cf. Hevner et al. (2004) and Sect. 2.2.2.
32
The terms IT artefact, as introduced by Hevner et al., and artefact will be used synonymously
throughout the text.
33
Vaishnavi and Kuechler (2008).
1.4 Structure of This Thesis 9

Fig. 1.1 Structure of this thesis

• Following this introduction, Chap. 2 presents the scientific positioning (Sect. 2.1)
and the research approach (Sect. 2.2) that was used to conduct the various steps
of this research. The research approach itself was constructed based on the Sub-
Questions.
• Chapter 3 introduces the various aspects towards the domain of enterprise
identity management, including the goals of EIdM introductions, the relevant
technologies, and the stakeholders. This is done to outline the domain this
research is situated in and to define the relevant technical terms being used.
Another random document with
no related content on Scribd:
faltan allegados que, aunque en segunda fila, toman parte, siquiera
con la atención, en los debates de la primera. Habrá seguramente
entre los allegados un señor muy fino y muy risueño, con bastón y
gafas. No se moverá de la silla, no pedirá un fósforo, no hará una
pregunta, sin despepitarse en excusas y cumplidos. «Usted
dispense», «¿me hace usted el obsequio?» «con permiso de
usted», etc., etc... y no habrá dicho en todo el año cosa más
substanciosa. Pero, en una ocasión, trajo usted á la porfía (y note
que no digo conversación), un apellido que hasta entonces no había
sonado allí. Óyelo el de las gafas, y, clavándolas en usted, le
pregunta, con una voz muy dulce y una cara muy risueña:
—¿Verduguillos ha dicho usted, caballero?
—Verduguillos, sí señor,—responde usted parándose en firme.
—¿Sabe usted—insiste el otro,—(y usted perdone si le interrumpo
un momento), si ese señor de Verduguillos tiene parientes en
Cuzcurrita de Río Tirón?
—¿Por qué he de saber yo eso, si jamás allá estuve, ni conozco á
ese señor más que de vista?—replica usted con el sosiego y la
amabilidad que eran de esperarse.
—Perdone usted, caballero—dice el intruso hecho unas mieles,—y
verá por qué me he tomado la libertad de interrumpirle.
Y en esto, deja la silla, sale al centro, encárase con el grupo
principal, afirma las gafas en el entrecejo, carraspea, sonríese y
dice:
—Pues, señor, verán ustedes por qué me ha interesado tanto el oir
á este caballero nombrar á ese señor de Verduguillos. Por el mes de
septiembre del año treinta y ocho, salí yo de Zamora (donde nací y
me crié y radican los pocos ó muchos bienes que heredé á la
muerte de mis padres, y los que he podido adquirir después acá con
el fruto de mis especulaciones modestas), con el propósito de hacer
un largo viaje, por exigirlo así los asuntos de la familia, y también, si
he de ser franco, el estado de mi salud...
Así comienza este señor la relación de un viaje por media España,
con largas detenciones en todos los puertos y plazas del tránsito, y
minuciosas observaciones estadísticas y climatéricas, sin pizca de
interés, ni método, ni estilo, ni substancia, hasta venir á parar, al
cabo de tres mortales cuartos de hora, á Logroño, en la cual ciudad
conocía al comerciante don Fulano de Tal; y decirnos que, yendo á
visitarle á su escritorio, hallóse allí con un caballero, muy amigo
también del don Fulano, el cual don Fulano le dijo á él al despedirse
el otro:
—Este señor que acaba de salir, es don Pacomio Verduguillos,
natural y vecino de Cuzcurrita de Río Tirón.
Al llegar aquí con el cuento el de las gafas, espera usted el toque de
efecto, el desenlace sorprendente, la gracia del suceso; porque es
de saberse que el narrador se ha quedado en silencio y mirando de
hito en hito á los resignados oyentes. Pero el silencio sigue y la
sorpresa no asoma. Alguien se aventura, y pregunta al del bastón:
—Pero ¿por qué le chocó á usted tanto el oir nombrar á este
Verduguillos?
—Hombre—responde el interpelado, con candidez angelical,—
porque podía muy bien ser pariente del otro Verduguillos que yo
conocí en Logroño.
¡Y para eso interrumpió un animado y sabrosísimo debate; y estuvo,
durante cerca de una hora, ensartando insulsez tras de insulsez,
simpleza tras de simpleza, adormeciendo á unos, quemando la
sangre á otros y aburriéndolos á todos! Y usted llevó la cruz con
paciencia, y yo también; y lo mismo al día siguiente, porque el
bueno del zamorano, desde que pierde la cortedad con el primer
relato, ya no cierra boca en la tertulia, y siempre tan ameno,
divertido y oportuno. Pero nos permitimos los dos un desahoguillo
en un aparte.
—Amigo—dije, ó me dijo usted,—¡este hombre es insufrible:
estando él no se puede venir aquí! Y se oyó el rumor del desahogo,
y ¡qué caras nos pusieron los señores tolerantes, que estaban tan
aburridos como nosotros!
Al día siguiente asoma usted la cabeza á la puerta, ve al de las
gafas en el uso de la palabra, retrocede y no vuelve; ni yo tampoco.
Y porque no volvemos, y además decimos lo que mejor nos parece
del motivo, ¡qué ponernos de intolerantes y hasta de inciviles!...
¡Caramba, protesto contra la enormidad de esta injusticia! En este
caso no hay más intolerantes que el señor de Zamora, que
interrumpe toda conversación racional y obliga á hombres de buen
sentido á que oigan las interminables boberías que él enjareta sin
punto de reposo, y los forzados tolerantes que le escuchan con
paciencia, y no la tienen para oir que otros carecen de ella.
Trátase ahora de un embustero, que un día y otro día le abruma á
usted con narraciones autobiográficas, sin principio ni fin, como la
eternidad de Dios; pero muy punteadas, muy comeadas y con más
espacios que un libro de malos versos. Oye usted una historia, y
dos, y tres, ya con mala cara; pero, al fin, se acaba la paciencia, y
un día interrumpe usted al sujeto de los á propósitos, y le dice:
—Mire usted, hombre: en primer lugar, la mayor parte de lo que
usted me cuenta se lo he contado yo á usted en cuatro palabras; en
segundo lugar, le sucedió á un condiscípulo mío en Oviedo, y no á
un amigo de usted en Zaragoza; en tercer lugar, no pasó como
usted lo refiere, sino del modo contrario: mi condiscípulo no adquirió
una capa aquella noche, sino que perdió la que llevaba, y, además,
el juicio, con costas, á los pocos días...
—Pues lo mismo da...
—Justo: media vuelta á la derecha es lo mismo que media vuelta á
la izquierda, sólo que es todo lo contrario.
—¡Caramba, es usted lo más intolerante!... No se puede hablar con
usted...
¡Todavía le parece poco, al ángel de Dios, la tolerancia que se ha
tenido con él!
Media docena de mujeres, ó menos, si á usted le parecen muchas
seis, se pasan una tarde entera desollando con la lengua al lucero
del alba. ¡Eso sí, con las mejores formas y la intención más santa!
De una dirán que es un dolor que, siendo tan bonita, sea tan charra
en el vestir, tan tosca en el hablar, tan inconsecuente en sus
amistades, tan desleal en sus amores; de otra, que es mordaz y
maldiciente, en lo cual se perjudica mucho, porque teniendo esta
falta, y la otra, y la de más allá, da pie para que cualquiera que se
estime en tan poco como ella, se las saque á relucir; de otra, que es
una desgraciada, porque el marido la ha puesto á ración, así en el
vestir como en el bailar, á causa de que fué algo despilfarrada
siempre en estos dos ramos de buena sociedad; de otra, que ya no
halla modista que la haga un traje si no paga adelantadas las
hechuras, y que no le venden nada en las tiendas, sino con el dinero
en la mano, etc., etc., etc... En esto, entra usted (es un suponer) y,
continuando el desuello, llegan á preguntarle si conoce á cierta
señora de éstas ó las otras señas; y como la tal es mujer de historia,
y usted la sabe de corrido, repítela allí con comentarios, creyendo
hacer á su auditorio un señalado servicio. Yo creo también que
usted se le hace, pues no fué á humo de pajas la preguntita; pero es
lo cierto que todas aquellas señoras, después de oirle á usted,
exclaman, con el más sincero de los asombros:
—¡Jesús!... Con razón dicen que es usted temible.
—¡Yo temible, señoras mías?—responde usted.—¿Y por qué?
—¡Porque es usted lo más intolerante y lo más!...
¡Vaya usted á convencer á aquellas damas de que viven
constantemente encenagadas en el pecado que á usted le cuelgan!
No hay inconveniente en que, abandonando estos tiquis-miquis que
ocurren en el ordinario trato social, dirijamos el anteojo unos grados
más arriba.
Todos los días halla usted en periódicos, en folletos y en libros,
sátiras, burlas y disertaciones en serio contra ideas, sentimientos y
hasta personas muy de la devoción de usted. Ocúrresele mirar al
campo de donde parten tantos proyectiles, y le ve usted sembrado
de ridiculeces, farsas y toda clase de miserias; saca usted al palo
media docena de ellas, por vía de muestra, en un papel, en un
folleto ó en un libro; y ¡Virgen María, cómo le ponen á usted de
intolerante y de mordaz, los mismos que tienen la mordacidad y la
intolerancia por oficio!
Así andan, amigo, las cosas de justicia en el ordinario comercio de
las gentes; así se ataja al más inofensivo en el trayecto social en
que pasea su nombre, y así se pretende conducirle al extremo á que
no llegan en el mundo más que las bestias... y los que tienen la
manía de la tolerancia (siendo lógicos en ella): á ver, oir y callar... es
decir, á matar la sed con petróleo, allí donde haya un extravagante
que tal haga delante de usted.
Usted es hombre de sencillas y ordenadas costumbres (es también
un suponer): ni el mundo le tira, ni sus pompas y algaradas le
seducen. Éstos son gustos lícitos y racionales. Ajustándose á ellos,
en paz y en gracia de Dios, se da usted con un baile en los ojos:
tuerce usted el camino; tropieza usted más allá con una mascarada
de calaveras del gran mundo: echa usted por otro lado; allí topa
usted con la misma gente haciendo cuadros plásticos y animados
acertijos: cambia usted de rumbo; aquí asaltos, en el otro lado
conciertos... pues á la otra acera. Ni usted apedrea á los que bailan,
ni apostrofa á los que jiran, ni se ríe de los que se descoyuntan para
remedar á Cristo en la agonía, ni silba á los que reciben una
sorpresa, anunciada quince días antes, ni influye con el Gobernador
para que meta en la cárcel á toda esa gente: limítase á huir de lo
que le aburre, y á hacer lo que más le divierte ó menos le incomoda.
No haría otra cosa un santo.
Pero es el caso que los señores tolerantes no se conforman con
esto, y quieren que les diga usted por qué no concurre á los bailes, y
á las jiras, y á los cuadros vivos, y á los asaltos... y aquí está el
intríngulis precisamente; y si estos rasguños que trazo no fueran,
como he dicho, un inocente desahogo entre nosotros dos, y en
reserva, me atrevería á llamar la atención del lector hacia el
aparente fenómeno, cuya explicación es sencillísima, por lo cual, no
es fenómeno, aunque por tal le toman algunos.
Cuando á usted se le pregunta por qué no piensa como su vecino
sobre determinados puntos de transcendencia, á buen seguro que
se le ocurra á nadie que oiga la respuesta, agarrarse á ella para
llamarle á usted intolerante; pero que se le pregunte por qué no
baila, por qué no jira, etc., etc... y no bien ha contestado usted, ya
tiene encima el Inri de la intolerancia. Y ¿por qué en este caso y en
el otro no? Porque no está el intríngulis en la persona, ni en sus
razones, ni en el modo de exponerlas, sino en la cosa de que se
trata, que, muy á menudo, es, de por sí, ridícula, ó impertinente, ó
pueril cuando menos, y no resiste, sin deshacerse entre las manos,
el análisis de un hombre de seso; al cual hombre, no pudiendo
replicársele en buena justicia, en venganza se le pone un mote.
Por eso llevan el de intolerantes tantos caracteres dóciles, y creen
poner una pica en Flandes, y hasta se llaman guapos chicos y
excelentes sujetos en la sociedad, los que en ella entran con todas,
como la romana del diablo, menos con el sentido común. Quod erat
demonstrandum.
Á pesar de ello, y aun de la mucha saliva, que al propio asunto
hemos consagrado en nuestras conversaciones verbales, júzgole
apenas desflorado. ¡Cuánto me queda todavía que oir de los
inofensivos labios de usted!
Entre tanto, y dicho lo dicho, despidámonos por hoy, con la íntima
satisfacción, bien añeja en nosotros, de haber pasado juntos, en
espíritu, un agradable rato, sin murmurar de nadie ni ofender al
prójimo con hechos, con dichos ni con deseos.

1880.
 EL CERVANTISMO

El Diccionario de la Academia no contiene este vocablo; pero es uno

de los propuestos por el último de los individuos del insigne cuerpo
literario para la edición que está imprimiéndose. Por si la Academia
no le acepta, conste que entiendo yo por
Cervantismo: La manía de los cervantistas; y por
Cervantista: El admirador de Cervantes, y el que se dedica á
ilustrar y comentar sus obras.
En rigor, pues, estos párrafos debieran haberse incluido entre los
que, bajo el rótulo de Manías, quedan algunas páginas atrás; pero
son tantos, y de tal índole la enfermedad á que se refieren, que bien
merecen vivir de cuenta propia y establecerse capítulo aparte.
Dice Chateaubriand, hablando de los españoles como soldados, que
nuestro empuje en el campo de batalla es irresistible; pero que nos
conformamos con arrojar al enemigo de sus posiciones, en las
cuales nos tendemos, con el cigarrillo en la boca y la guitarra en las
manos, á celebrar la victoria.
Si despojamos á esta pintura del colorido francés que la califica, nos
queda en ella un exactísimo retrato del carácter español, no sólo en
la guerra, sino en todas las imaginables situaciones de la vida.
Ya que no la guitarra, la pereza nacional nos absorbe los cinco
sentidos, y sólo cuando el hambre aprieta, ó la bambolla empuja, ó
la curiosidad nos mueve, sacudimos la modorra. Entonces
embestimos con el lucero del alba para estar donde él estuvo,
medrar de lo que medró y hacer todo cuanto él hizo. Pero de allí no
pasamos. Nuestra política, nuestra industria y nuestra literatura
contemporáneas lo declaran bien alto. Todo el mundo nos lleva la
delantera, y siempre estamos imitando á todo el mundo, menos en
andar solos y por delante; vivimos de sus desechos, y cada trapo
que le cogemos nos vuelve locos de entusiasmo, como si se hubiera
cortado para nosotros. Así estamos llenos de conquistas y de
«títulos á la admiración de las naciones extranjeras»; todos somos
ilustres estadistas, invictos guerreros, sabios hacendistas, insignes
literatos, laboriosos industriales y honrados obreros; hemos tenido
códigos á la francesa, códigos á la inglesa, códigos á la americana;
revoluciones de todos los matices, reacciones de todas castas,
triunfos de todos calibres, progresos de todos tamaños; y á la
presente fecha, el ciudadano que tiene camisa propia se cree muy
rico; la escasa industria desaparece antes que la Hacienda la
devore; los bufos imperan en el teatro; el hijo de Paul de Kock en la
novela; los Panchampla en desfiladeros y caminos reales, y la
navaja del honrado menestral desbandulla en las plazas públicas, á
la luz del mediodía, las víctimas á pares. De manera que quien nos
comprara por lo que decimos y nos vendiera por lo que hacemos,
buen pelo iba á echar con el negocio. Á hacer cosas nuevas y útiles
nos ganará cualquiera; pero á ponderar lo que hacemos no hay
quien nos eche la pata, ni á hacerlo mal y fuera de sazón, tampoco.
—Pero ¿qué tiene que ver todo esto con el cervantismo?—
preguntará el lector, oliéndole lo dicho á artículo de oposición más
que á otra cosa.
—No sé—respondo—por cuál de los lados encajará mejor en el
asunto prometido; pero lo cierto es que á las mientes se me ha
venido con él y como eslabón de la misma cadena de ideas. Acaso
en el cervantismo vea yo algo de la intemperancia, que, entre
nosotros, lleva en todo lo demás hasta el ridículo las cosas más
serias y respetables; quizá esa manía me ha hecho recordar la
tendencia española á perder en escarbar el huerto del vecino, el
tiempo que necesitamos para cultivar el propio; quizá me asaltó las
mientes el dicho de Chateaubriand pensando en los valientes que
conquistan el Quijote, y no pasan de allí, y allí se quedan,
rebuscando hasta las polillas, como si ya no hubiera otra cosa que
leer ni que estudiar en el mundo; acaso coinciden los dos asuntos
por el lado de la facilidad con que pasamos de la apatía al asombro,
de la indiferencia al entusiasmo, de la fiebre al delirio... ¡Quién
sabe? Pero el hecho existe, y ya no borro lo escrito, aunque el lector
me diga que soy uno de tantos como en España malgastan sin fruto
la hacienda, echando siempre los garbanzos fuera de la olla... Y
vamos al caso.
Y el caso es que ya estaba el mundo cansado de admirar á
Cervantes y de reproducir las ediciones del Quijote en todas las
lenguas que se hablan sobre la haz de la tierra, y aún eran muy
contadas en España las librerías en que se vendiera la obra inmortal
del ilustre soldado, que vivió de las limosnas de los próceres y fué
enterrado de caridad. Conocíanla los literatos, poseíanla los menos
de ellos, y veíase de vez en cuando en los mezquinos estantes de
algún particular, al lado de Bertoldo cuyos chistes saboreaba con
preferencia la patriarcal familia. Los nombres de don Quijote y
Sancho Panza eran populares; pero contadísimas las personas que
conocían á estos personajes más que de oídas: teníanlos unas por
históricos, las menos por novelescos; pero ni unas ni otras habían
oído jamás el nombre del padre que los engendró en su fantasía.
De pronto, ayer, como quien dice, alguien, y no español ciertamente,
nos aguija y nos apunta el Quijote con el dedo; sacudimos la
tradicional modorra, y allá vamos en tropel, y caemos como espeso
granizo sobre la obra señalada; las prensas gimen vomitando
ediciones populares del libro insigne, entre los cuadernos de Jaime
el Barbudo y Las cavernas del crimen, y aunque las masas de levita
siguen prefiriendo estas creaciones para solaz del espíritu, el
nombre de Cervantes suena en todas partes y á todas horas, y las
plumas y las lenguas ya no saben decir sino «el Cautivo de Argel» y
«el Manco de Lepanto».
¡Qué baraúnda! ¡Qué vocerío! Hay hombre, ya con canas, que
acaba de leer á saltos el Quijote, y se escandaliza de buena fe al
saber que un mozo imberbe no le conoce todavía; otro no le ha visto
ni por el forro, y mira con lástima á quien declara noblemente que no
ha podido adquirir un ejemplar para leerle... ¡Y cómo abunda esta
clase de admiradores!
—«Pero ¡qué hombre!... Pero ¡qué libro!... Pero ¡qué tiempos
aquéllos en que se morían de hambre tan preclaros ingenios! Como
esa obra no hay otra... El mundo la admira, y España no necesita
más que ella para su gloria... ¡Ah, Cervantes! ¡Ah, el Manco de
Lepanto!... ¡Ah, el Cautivo de Argel!».
Verdades como puños, enhorabuena; pero que tienen suma gracia
dichas por una generación, ya vieja, que no ha reparado en ellas
hasta que se las han metido por los ojos; y aun así no las ha visto
bien.
Y sigue el estrépito, y llena los ámbitos de la patria, y se conmueven
los poetas de circunstancias y los periodistas de afición y hasta los
filántropos de la usura; y allá van odas Al Manco de Lepanto, y
sonetos Al Cautivo de Argel, y llega á verse el nombre de Cervantes
en la popa de un falucho carbonero, y en el registro de una mina de
turba, y en los membretes de una sociedad anónima, y hasta en la
muestra de una zapatería; y hoy se celebra el aniversario de su
muerte, y mañana el de su nacimiento, y al otro día el de su
redención por los frailes trinitarios, y al otro, el de su casamiento; y
aquí brota una Academia cervantina, y allí un Semanario cervantino
y un Averiguador cervantesco; y en los unos y en los otros, y acá y
allá, no se trata sino de Cervantes y sus obras; y Cervantes aparece
en discursos, en gacetillas, en charadas, en rompe-cabezas y en
acertijos.
Lo que era de temer, sucede al cabo: la fiebre se propaga, hácese
peste asoladora, y no se libran de ella ni los que tienen el juicio más
aplomado; caen hasta los cervantistas de buena casta, y caen sobre
el Quijote y sobre la memoria de su autor, como antes cayera el
servum pecus, y allí se están cual si hubieran jurado, en el
paroxismo de su manía, gastar en la empresa hasta el último soplo
de la vida; porque cada cual cree encontrar en aquellas páginas
inmortales lo que más se acomoda á sus deseos y aficiones.
Imagínomelos yo como aquellos sabios resucitados de que nos
habla Balmes, husmeando el amplísimo establecimiento, y tráenme
á la memoria el caso de Mabillon despistojándose sobre un viejo
pergamino para descubrir algún renglón medio borrado, cuando
llega un naturalista y tira hacia sí del pergamino, para ver si halla en
él huevos de polilla.
Merced á estas faenas sobrehumanas, sabemos hoy, por otros
tantos señores cervantistas, cuyas plumas lo han afirmado en
sendos escritos, á cual más serio y pespunteado, que de las obras
de Cervantes resulta que fué éste sobresaliente
Teólogo,
Jurisperito,
Cocinero,
Marino,
Geógrafo,
Economista,
Médico,
Liberal (¡patriotero!)
Administrador militar (!!!!),
Protestante (¡¡¡!!!),
Viajero, etc., etc., etc.
Es decir, Cervantes omniscio, y sus obras la suma de los humanos
conocimientos.
Pero ni con todo esto, ni con más de otro tanto por el estilo, que no
hay para qué mentar, ni con el pintoresco catálogo de los
cervantómanos que han contado las veces que dice sí don Quijote,
ó Sancho vuesa merced, y otros admiradores de parecida ralea,
hemos llegado al delirium tremens de la enfermedad; puesto que
hay un español que ha dicho, y dice sin tregua ni descanso, porque
sospecho yo que por eso y para eso alienta y ha nacido:
—Caballeros, nada de lo que el mundo ha leído en el Quijote es la
obra de Cervantes.
Asombró el aserto, y preguntósele:
—Pues ¿qué otra cosa puede ser?
—Quiero decir—repuso el crítico,—que hasta ahora nadie ha sabido
leer el Quijote. No hay tal Dulcinea, ni tal Sancho Panza, ni tales
molinos, ni tales yangüeses, ni tal Ínsula Barataria, ni nada de lo que
allí aparece tal como suena. El Quijote, en suma, es una alegoría.
—¡Canastos! Y ¿quién se lo ha dicho á usted?
—Me lo han dicho treinta años de estudio incesante de esa obra
maravillosa, y lo demuestro en catorce volúmenes de comentarios,
que he escrito y tengo en casa esperando un editor que se atreva
con ellos.
—¡Tendrán que leer! Y diga usted, señor sabio, ¿qué especie de
alegoría es ésa que usted ha visto en el famoso libro?
—Es, como si dijéramos, el siglo xix hablando en profecía en el siglo
xvii; la luz de nuestras libertades columbrada por un ojo sutil, á tan
larga distancia; la protesta de un alma generosa contra la cadena de
la tiranía y las mazmorras de la Inquisición.
—¡Cáspita! Luego Cervantes...
—Cervantes fué un libre-pensador; un demócrata que nos precedió
cosa de tres siglos.
—Pero, hombre, aquellas declaraciones terminantes de neto y
fervoroso católico, que á cada instante hace; aquél su único
propósito, que jamás oculta, de escribir el Quijote para matar los
libros de caballerías...
—No hagan ustedes caso de ello. También dice (no lo niega al
menos) que lo de cabalgar Sancho en el Rucio después de
habérsele robado Ginés de Pasamonte, fué un lapsus de su
memoria, si no descuido del impresor, y, sin embargo, se le ha
demostrado todo lo contrario... Á Cervantes hay que saber leerle,
desengáñense ustedes.
—Corriente; pero ¿cómo teniendo ese hombre tanto talento no logró
hacerse entender de sus lectores?
—Porque temía á la Inquisición y al tirano.
—Callárase entonces, y ahorrárase el riesgo y la fatiga.
—No debía callar, porque había nacido para escribir.
—Pero no alegorías; pues, por las trazas, no le daba el naipe para
ellas.
—¡Cómo que no?
—Hombre, me parece á mí que una alegoría que no halla en cerca
de tres siglos más que un sabio que la desentrañe, no es cosa
mayor que digamos.
—¿Y qué son tres siglos en la vida de la humanidad?
—Trescientos años nada más; y aunque á usted le parezcan pocos,
pienso yo que, para desentrañar un libro, sobran de ellos casi todos,
aunque el libro esté en vascuence, cuanto más en neto castellano...
No se eche á broma el precedente diálogo, porque es la quinta
esencia de las polémicas sostenidas en la prensa, todos los días,
por el desenredador único de la supuesta maraña del Quijote, contra
los defensores del servum pecus, que no ha visto ni verá jamás en
las páginas del áureo libro otra cosa ¡y no es poco, en gracia de
Dios! que lo que en ellas se dice y se enseña.
¡Ah! y si al pasar esto—porque ha de pasar como pasan las
epidemias y las tempestades—nos viéramos libres de las
extravagancias del cervantismo, pudiéramos darnos con un canto en
los pechos; pero, no obstante lo impresionables que somos y lo
propensos, por ende, á olvidar mañana lo que hoy nos alborota,
como el mal deja semillas, éstas germinarán andando los años, y,
cuando menos menos, ha de nacer de ellas una raza que,
empezando por ver zurcidos en el Quijote, acabe por negar la
existencia de su autor.
Todos los grandes hombres van teniendo, en la posteridad, su fama
roída por este género de gusanos. Yo no sé qué demonios anda por
la mollera de ciertos sabios cuando examinan las obras que admira
el mundo, que, no bien las contemplan, cuando ya exclaman: «esto
nació ello solo». ¡Como si no fueran más maravillosas estas
producciones espontáneas que la existencia de un padre que las
engendrara! Á Homero le niega ya el último zarramplín de la crítica,
y hay una Escuela antihomérica, á la cual se van arrimando todos
los catasalsas del helenismo; se está negando también á Hesiodo, y
hasta á Gutenberg y á Dante, y luego se negará la luz del mediodía.
Y ¿por qué no? ¿No hay historiador que niega toda autoridad á los
cinco siglos de Roma? Y la maña es vieja: cien años hace aseguró
el P. Harduino, y hasta intentó probarlo, que todos los libros griegos
y latinos, excepción hecha de unos pocos de Cicerón, Plinio,
Horacio y Virgilio, habían sido forjados en el siglo xii por una
comunidad de frailes.
¡Y qué luz derraman estos sabios negativos en las obscuridades con
que van topando en sus investigaciones! ¡Con qué primor
reconstruyen lo que derriban de un voleo! Paréceles mucha obra la
Ilíada para un hombre solo, de tan remotos siglos; niegan la
existencia de Homero fundándose en aquella potísima razón:
pregúntaseles entonces cómo se formó ese admirable poema, y
responde uno de ellos, Dissen, por ejemplo:
—De la manera más fácil: se reunió una especie de academia de
cantores que se propusieron hacer una epopeya; encargóse cada
cual de un canto, y el resultado de esta asociación fué la Ilíada.
De modo que nos salen, por esta cuenta, veintiséis Homeros, por lo
menos. ¡Y al sabio que los presenta le asombraba, por su grandeza,
un Homero solo!
Dos cuartos de lo mismo ocurre con los sabios de otra catadura,
cuando nos hablan del Universo. Le niegan un Autor, porque no les
cabe en la cabeza la idea de tanto poder, y se le adjudican al átomo,
y sudan y se retuercen entre los laberintos de una tecnología
convencional y de unos procedimientos fantasmagóricos, para venir
á demostrar... que no saben lo que traen entre manos, y que, á
pesar de sus humos de gigantes, no pasan de gusanillos de la tierra,
como el más indocto de los que en ella moramos.
Por eso creo yo que á los sabios de la crítica les pasa algo grave en
la mollera, cada vez que se las han con otras de gran calibre. No
diré que este algo, y aun algos, sean tufillos de la envidia; pero
tampoco aseguro que lo sean de la caridad.
Volviendo al asunto, digo que nacerá quien niegue la existencia de
Cervantes, apoyando el aserto en la autoridad, por supuesto, de otro
sabio, necesariamente francés. Este tal habrá descubierto que en el
siglo xvii no sabían leer ni escribir en España sino los frailes, á los
cuales se debió la traducción, del francés al castellano, de aquel
teatro admirable que ha estado pasando tantísimos años por
español de pura raza; que los nombres de Lope, Moreto, Tirso,
Calderón, etc., etc., no son otra cosa que seudónimos con que se
disfrazaban los traductores temiendo á la Inquisición, que prohibía el
culto de las bellas letras á la gente de cogulla.—En cuanto al Quijote
(seguirá diciendo el sabio de mañana), basta examinarle una vez
para convencerse de que no pudo ser la obra de un hombre solo. La
novela de Crisóstomo, la de Dorotea y Luscinda, la del Curioso
impertinente, la del Cautivo, la del Mozo de mulas, etc., intercaladas
violentamente en la primera parte, y desenlazadas, con otros varios
sucesos, en la Venta de Juan Palomeque el Zurdo, en una sola
noche, lo prueban hasta la evidencia. Esas historias las narrarían los
ciegos por las calles al ronco son de la guitarra, ó las recitarían los
inquisidores en las tertulias de los señores de horca y cuchillo,
mientras las segnoritas y las monjas bailaban el zapateado y el
Jaleo de Jerez. Algún fraile ingenioso las recogió, engarzólas en las
populares aventuras de un loco legendario, llamado, según doctas
pesquisiciones de un bibliómano cochinchino, don Fidalgo de la
Manga, y lo publicó todo bajo el rótulo con que se conoce la obra del
supuesto Cervantes. Por lo que toca á la segunda parte de la
misma, ¿quién ignora que se debe á los frailes Agustinos, que la
escribieron en odio al autor de otro Quijote falsificado, al P.
Abellaneda, Prior de los Jerónimos del Escorial?
Cosa parecida se dirá de las Novelas ejemplares, del Persiles y la
Galatea: tradiciones popularísimas en España, aunque de
procedencia francesa, recogidas y dadas á luz por frailes codiciosos
que explotaban el prestigio del imaginario Cervantes, hecho célebre
desde la aparición de la primera parte del Quijote.
—Pero—seguirá diciendo el futuro bibliófilo francés—¿qué mayor
prueba de la no existencia de Cervantes que la que nos dan los
cervantistas españoles del siglo xix, en el que ya comenzaba á leer
y escribir la clase media, porque se había secularizado la
enseñanza? En el último tercio de aquel siglo no trataron los
escritores de España más que de Cervantes, y, sin embargo, no
pudieron hallar un solo rastro de su persona. Quién le supuso
soldado en Lepanto; quién cautivo en Argel; quién teólogo; quién
marino; quién abogado; quién cocinero; quién médico; quién
ardiente propagandista de la Reforma; quién afirmó que había
nacido en Madrid; quién que en Alcalá; quién que estuvo preso en
Argamasilla; quién que en Valladolid; y nada se prueba en limpio, ni
nadie supo jamás en qué punto de la tierra descansan sus cenizas.
La misma confusión de pareceres se observa en lo relativo al texto
primitivo y á la intención generadora de la novela. Cada edición de
ella en aquel siglo salía ilustrada por un nuevo comentarista, que
quitaba y añadía, á su antojo, frases y períodos, so pretexto de
enmendar así los errores tipográficos del impresor Juan de la
Cuesta. Esto nos hace creer que el Quijote que salió del siglo xix no
se parece en nada al que, por primera vez, publicaron los frailes del
xvii, de cuyas ediciones no ha llegado un solo ejemplar á nuestros
días. Afortunadamente, se conservan catorce volúmenes de un
literato andaluz de aquella centuria, en cuya obra se pone de
manifiesto la verdadera importancia del libro del supuesto
Cervantes. El tal libro es una ingeniosísima alegoría, según afirma el
intérprete feliz de los catorce volúmenes; y á su parecer nos
adherimos, no sin declarar que si el perspicuo andaluz sudó tinta
para dar con la clave del enigma, nosotros hemos sudado pez para
acomodar nuestro criterio á las angosturas, nebulosidades y
retortijones de sus ingeniosos razonamientos. Pero á gimnasias más
abstrusas y complicadas nos tiene avezados el intelecto la filosofía
alemana; y al influjo de esa ciencia, madre de la actual sabiduría,
debemos este descubrimiento portentoso. De modo que bien
podemos decir, con otro ingeniosísimo comentarista,
contemporáneo del de los catorce volúmenes (el cual comentarista
se jactaba de poseer el autógrafo del famoso libro): «Ni Cervantes
es Cervantes, ni el Quijote es el Quijote».
Éstos y otros tales dichos del sabio francés de los futuros siglos,
llegarán á formar escuela; y esta escuela se acreditará en España; y
habrá españoles que se pasarán la vida cotejando el fárrago
cervantista del siglo xix con los asertos de la escuela; y al fin
perderán el juicio, y quizás den origen á una nueva orden de
cervantistas andantes, que saldrán por el mundo á buscar las
aventuras, deshaciendo escolios y enderezando notas al Quijote y á
la dudosa vida de su autor, que es cuanto queda ya que ver.
Entre tanto, cosa es que abruma el espíritu la contemplación del
cervantismo de nuestros días, malgastando lo mejor de la vida en
resobar, sin pizca de respeto, al más ilustre de los nombres y á la
más hermosa de las creaciones del humano ingenio; apesta y
empalaga ese fervor monomaníaco con que todo el mundo se da
hoy á buscar misterios en el fondo del libro, y habilidades en el
autor. Debémosle admiración, y es justo que se la tributemos; pero
no con cascabeles ni vestidos de payasos. Popularícese el Quijote,
y, si es necesario, declárese de texto en las escuelas; pero no el que
nos ofrezca, arreglado á su caletre, el cervantismo al uso.
Si las investigaciones hechas por doctos y respetables literatos,
desde Navarrete hasta Hartzenbusch, no bastan á poner en claro
cuáles son, en las primeras ediciones de Juan de la Cuesta, errores
del impresor, y cuáles descuidos de Cervantes, inténtese esa
empresa; pero una sola vez y por gentes erigidas en autoridad
literaria; y lo que resulte del expurgo, sin más notas que las precisas
para aclarar la significación de palabras poco conocidas hoy del
vulgo, ó para mostrar los pasajes en que Cervantes parodia escenas
y trozos de los libros de caballerías, algo, en suma, de lo que hizo
Clemencín (y no digo todo, porque este comentarista cayó también
en la impertinente tentación de meterse en pespuntes y reparos
gramaticales, como si quisiera enmendar la plana á Cervantes),
guárdese como oro en paño y sea el modelo á que se ajusten
cuantas ediciones del Quijote se hagan en lo sucesivo; pues el mal
no está en que un literato de autoridad y de juicio meta su escalpelo
en las páginas del áureo libro, sino el precedente que de ese modo
se sienta para que todos nos demos á expurgadores de faltas y á
zurcidores de conceptos. Y aun sin este riesgo, ¿qué se saca en
limpio de las enmiendas de los doctos, si cada uno de estos señores
está tan discorde con las de los demás, como lo están todos ellos
con el asendereado Juan de la Cuesta? Y si ya entran por miles las
confesadas alteraciones hechas en el texto de las primeras
ediciones por esos respetables literatos, ¿qué lector, al poner el
dedo sobre una palabra del Quijote, se atreve hoy á asegurar que
esta palabra sea de Cervantes y no de alguno de sus correctores? Y
¿quién se atreverá mañana si á la afición reinante no se le ponen
trabas?
Volviendo al cervantismo inconsciente é intemperante, digo que no
mezcle berzas con capachos, ni confunda tan lastimosamente lo
serio con lo bufo. Elévese una estatua en cada plaza pública
española al príncipe de nuestros novelistas, y sea cada edición de
sus obras un monumento tipográfico; pero, por el amor de Dios, no
pidamos fiestas nacionales para cada uno de sus aniversarios, ni
nos demos todos á académicos cervantinos, ni estampemos el
egregio nombre en desvencijadas diligencias, ni en sociedades de
bailes públicos, ni salgamos á la calle con cara de parientes del
ilustre difunto, ni asociemos su memoria á todas nuestras
debilidades y sandeces. Léase y estúdiese la inmortal obra, que
deleite y enseñanzas contiene para doctos é indoctos en todas las
edades de la vida; pero no pretenda cada lector imponerse á los
demás con el fruto de la tarea; pues cada hombre es un carácter, y,
como dijo un insigne escritor, disputando sobre reparos hechos, y no
del todo mal, á unas enmiendas suyas al Quijote,

«Cada uno tiene, don Zacarías,

Sus aprensiones y sus manías».

¡Y adónde iríamos á parar si se diera, como se va dando, en la

gracia de remendar é interpretar el libro, al tenor de esa suma de
aprensiones, y conforme al parecer de cada aprensivo?
Dudo mucho que el Gobierno de la nación permitiera á los
aficionados á la arquitectura poner sus manos en determinados
detalles artísticos de un monumento público, so pretexto de que así
lo quiso el arquitecto, á quien no deben achacarse los errores de los
canteros. ¿Ha habido pincel que se atreva á borrar el tercer brazo
con que aparece en el Museo uno de los mejores caballos de
Velázquez? Antes al contrario, ¿no se lleva el respeto al gran pintor
al extremo de hacerse las copias de tal cuadro hasta con ese
glorioso arrepentimiento?
¿Por qué no ha de merecernos iguales deferencias y
consideraciones el blasón de nuestra nobleza literaria?
Por lo que á mí toca, desde luego aseguro que, si tuviera poder para
ello, declaraba el Quijote monumento nacional, y no consentiría,
bajo las penas más severas, que se alterara en una sola tilde el
texto de la edición que, por los medios indicados, ó por otros
análogos que se juzgasen mejores, se hubiera declarado oficial, con
todas las solemnidades y garantías apetecibles.
¿Que tiene erratas?... Que las tenga. ¿Que lo del Rucio?... Mejor
que mejor. ¿Habrá trastrueque de párrafos, ni razonamientos que
valgan lo que dice del caso el mismo Cervantes en la segunda parte
de la novela? ¿No son estos descuidos y aquellos arrepentimientos
y los otros deslices gramaticales, el mejor testimonio de la frescura y
espontaneidad de la obra? ¿O creen los químicos del cervantismo
que un libro como el Quijote puede hacerse con regla, compás y
tiralíneas?
Si Cervantes hubiera tenido que estar atento á cuantos tiquis-miquis
le quieren sujetar sus admiradores; si lo que dijo de herir de soslayo
los rayos del sol á su personaje al lanzarse al mundo de las
aventuras, lo dijo para que la posteridad no dudara que salía de
Argamasilla de Alba y no de otro lugar manchego; si no fueron
donaires de su pluma y primores de lengua otros mil pasajes de su
libro, sino estudiados disfraces de otros tantos propósitos
transcendentales; si cada frase es un jeroglífico y cada nombre un
anagrama; si, amén de esto y mucho más, necesitó trabajar con el
calendario á la vista, y encarrilar á su caballero por cualquiera de los
itinerarios que le han trazado sus comentaristas de hogaño, y
conocer á palmos los senderos para no dar con una aventura en
martes, cuando, por el cómputo del mapa y del almanaque, podía
demostrársele que la fazaña debió tener lugar en miércoles, día de
vigilia además, con otros muy curiosos pormenores que el lector
habrá visto, tan bien como yo, en escolios, notas y folletos; si á todo
esto, y á lo de la cocina, la teología, la jurisprudencia, el
protestantismo (!!!), la economía política, etc., etc., etc... y otro tanto
más, tuvo que estar atento, repito, el glorioso novelista, más le
valiera no haber salido nunca del cautiverio de Argel; que entre
escribir un libro con tales trabas, ó arrastrar las de hierro bajo la
penca de un moro argelino, aun con el ingenio de Cervantes optara
yo por el cautiverio, y saldría mejorado en tercio y quinto.
¡Dichoso día aquél en que el cervantismo pase y vuelva á reinar el
Quijote en la patria literatura sin enmiendas, reparos ni aditamentos,
y su autor perínclito sin habilidades ni misterios! Venga, pues, la
inmortal obra sin teologías, náutica ni jurisprudencia, y, sobre todo,
sin claves ni itinerarios ni almanaques; venga, en fin, como la hemos
conocido los que peinamos ya canas, cuando en ella aprendimos á
leer, á pensar y á sentir; que así, al pie de la letra y hasta con las
erratas y garrafales descuidos de los primeros impresores, ha sido
admirada de todos los hombres y traducida á todas las lenguas, y
servido de pedestal á la fama de Cervantes, que ya no cabe en el
mundo.
1880.