Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS 28.8.2012 Geolocation: Risiken, Strategien und Revisionsaspekte ISACA After Hours.

Ähnliche Präsentationen


Präsentation zum Thema: "© 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS 28.8.2012 Geolocation: Risiken, Strategien und Revisionsaspekte ISACA After Hours."—  Präsentation transkript:

1 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Geolocation: Risiken, Strategien und Revisionsaspekte ISACA After Hours Seminar Urs Fischer, dipl. WP, CRISC, CISA Fischer IT GRC Beratung & Schulung

2 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Urs Fischer

3 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Agenda 1.Geolocation: Was ist es und wie funktioniert das? 2.Geschäftsvorteile 3.Risiko-, Sicherheits- und Datenschutz- Überlegungen 4.Strategien für den Umgang mit Risiken 5.Überlegungen zur Prüfung (Audit) 6.Zusammenfassung / Wrap-Up

4 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Agenda 1.Geolocation: Was ist es und wie funktioniert das? 2.Geschäftsvorteile 3.Risiko-, Sicherheits- und Datenschutz- Überlegungen 4.Strategien für den Umgang mit Risiken 5.Überlegungen zur Prüfung (Audit) 6.Zusammenfassung / Wrap-Up

5 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Definition A geolocation system is an information technology solution that ascertains the location of an object in the physical (geo-spatial) or virtual (Internet) environment. Most often, the object is a person who wants to utilise a service-based on location, while maintaining his/her privacy. Quelle: Geolocation: Risk, Issues and Strategies (ISACA Emerging Technology White Paper, Sept. 2011)

6 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Geschäftsziele Geo-Referencing or Positioning Geo-Coding Geo-Tagging

7 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Quellen für Informationen Web Browsing via IP-Adressen Mobil-Telefon GPS-Geräte Radio Frequency Identification (RFID) Kreditkarten Transaktionen Tags in Fotos Postings in Sozialen Netzwerken wie Facebook ® und Twitter

8 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Verwendung von Geolocation-Info Spezifische Anpassung von Inhalt Durchsetzung von Zugriffs-Restriktionen basierend auf geographischen Örtlichkeiten Betrugs-Prävention

9 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Verfahren zur Generierung und Sammlung von Geolocation-Daten VerfahrenMethodeTechnologie Aktiv: Benutzer-Gerät basierend Verwendet firmware und software auf dem Computer oder Wireless-Device des Benutzers Bestimmung des Ortes via GPS chip und/oder Info von Sende- Antennen Request-Response Modell GPS Assisted GPS (A-GPS) WiFi – Wireless positioning 3G/4G Mobile applications – iPhone, Android devices, BlackBerry ® In Anlehnung an: Geolocation: Risk, Issues and Strategies (ISACA Emerging Technology White Paper, Sept. 2011)

10 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Verfahren zur Generierung und Sammlung von Geolocation-Daten VerfahrenMethodeTechnologie Passiv: Data- Lookup – Server basierend Beinhaltet die Verwendung von Third- Party Geolocation Service providers, z.B. Quova ®, NetGeo, Bering Media Basiert auf nonlocation-spezifischen IP Addressen des Benutzergerätes oder auf Service Set Identifiers (SSIDs) für Wireless-Netzwerke Korrelation von gespeicherter IP oder SSID-Datenbanken erhoben von Kauf- Informationen, vom benutzer zur Verfügung gestellten Informationen, Netzwerk-Analyse von Trace Routes und Domain Name System (DNS) Host-Namen IP-Location - Whois lookup, DNS LOC, geographic names in domain name user or application information, timing data using ping inference based on routing data, e.g., traceroute monitoring of Internet service provider (ISP) networks 3G/4G WiFi – Wireless positioning In Anlehnung an: Geolocation: Risk, Issues and Strategies (ISACA Emerging Technology White Paper, Sept. 2011)

11 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Agenda 1.Geolocation: Was ist es und wie funktioniert das? 2.Geschäftsvorteile 3.Risiko-, Sicherheits- und Datenschutz- Überlegungen 4.Strategien für den Umgang mit Risiken 5.Überlegungen zur Prüfung (Audit) 6.Zusammenfassung / Wrap-Up

12 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Dienstleistungen und Applikationen Geolocation ist zur Basis für ortsabhängige Dienstleistungen und standorterkennende Technologien geworden, welche auf Smartphones wie Iphone ® - und Android-Geräten laufen. In Anlehnung an: Geolocation: Risk, Issues and Strategies (ISACA Emerging Technology White Paper, Sept. 2011)

13 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Geschäftsanwendungen und -vorteile In der Werbung: Designated Market Areas (DMA) Know Your Customer (KYC) Lieferungen und Asset- Management Anpassung und Zurverfügung- stellung von Inhalten Augmented Reality Vehicle Ad Hoc Networks (VANS) Betrugsaufdeckung und Prävention (auf Basis von IP-Location Technologie und Betrugsprofilen Real-time incident management

14 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Vorteile für Benutzer Rabatte Promotionen Kunden-Präferenzen Zugang zu, für die Kaufentscheidung relevante, Informationen Ortspezifische Discounts Ortspezifische Dienstleistungen

15 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Praktiken Unternehmungen müssen sorgfältig über ihre Geo- Marketing Praktiken nachdenken und abwägen, ob ihre aktuellen Datenschutz-Regeln die Sammlung und die Benutzung von Geolocation-Daten abdecken. In Anlehnung an: Geolocation: Risk, Issues and Strategies (ISACA Emerging Technology White Paper, Sept. 2011)

16 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Klassifkation von Daten

17 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Agenda 1.Geolocation: Was ist es und wie funktioniert das? 2.Geschäftsvorteile 3.Risiko-, Sicherheits- und Datenschutz- Überlegungen 4.Strategien für den Umgang mit Risiken 5.Überlegungen zur Prüfung (Audit) 6.Zusammenfassung / Wrap-Up

18 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Benutzer-Bewusstsein Benutzer kennen üblicherweise die Quelle und die Ownership für die Sammlung von Daten nicht. Dies führt zu div. Fragen: Wie werden ortsabhängige Informationen verwendet? Von wem werden diese Informationen genutzt (Data-Sharing) Dauer der Daten-Aufbewahrung Daten-Vernichtung

19 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Personally identifiable Information (PII) Die Verwendung von Geolocation-Informationen im Zusammenhang mit weiteren persönlich identifizierten Informationen (PII) führt zu einer grossen Anzahl von Risiken im sozialen und Datenschutzbereich. In Anlehnung an: Geolocation: Risk, Issues and Strategies (ISACA Emerging Technology White Paper, Sept. 2011)

20 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Potentielle Risiken für die Unternehmung Datenschutz Reputation Komprimitierung von sensitiven Informationen

21 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Exkurs: ISACA Survey Generell fehlende Kenntnis bezüglich der Risiken von Ortsspezifischen Apps. Dies basiert darauf, dass die Mehrheit welche solche Apps verwenden (downloaden) entweder die Vertragsbestimmung nicht lesen bzw. nicht verstehen. Berücksichtigt man das digitale Zeitalter in dem wir leben, wo auf Twitter und Facebook mitgeteilt wird, was wir zum Frühstück gegessen haben, ist sehr erstaunlich, dass die zwei top Bedenken sind: –Preisgabe von zuviel Informationen über sich selbst –Bedenken über die persönliche Sicherheit Mitarbeitende welche, von der Unternehmung zur Verfügung gestellte, Geräte sowohl für Location-Based Apps als auch für persönliche Gründe verwenden, generieren Risiken für die Unternehmung.

22 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Verwendung von Location-based Apps

23 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS BYOD

24 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Entwicklung

25 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Verwendung von Smartphone, Tablet oder Laptop

26 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Vertragsbestimmung beim Download von Apps

27 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Bedenken

28 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Agenda 1.Geolocation: Was ist es und wie funktioniert das? 2.Geschäftsvorteile 3.Risiko-, Sicherheits- und Datenschutz- Überlegungen 4.Strategien für den Umgang mit Risiken 5.Überlegungen zur Prüfung (Audit) 6.Zusammenfassung / Wrap-Up

29 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Was ist zu tun? Aktuelle Gesetzgebungen gehen nicht spezifisch auf Datenschutz- und Sicherheits-Aspekte von Geolocation ein. Zwei Wege um die Risiken zu minimieren: –Durch technische Sicherheitsvorkehrungen –Durch den Benutzer

30 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Datenschutz und Sicherheit Angemessene generelle Kontrollen für Geolocation Technologie, z.B.: –Periodische Updates von System- und Anwendungssoftware –Antivirus-Software –Patches –Reguläre Back-Ups –Zugriffskontrollen auf Basis Need to Know –«Keep the least for the shortest period» –Anonymisierungs-Techniken

31 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Daten-Klassifizierung Wo sind die Daten? Wem gehören die Daten? Quelle der Daten? Identifikation von personenbezogenen Daten Verschlüsselung Redaktion bzw. Anonymisierung von personenbezogenen Daten Datenschutz-Richtlinien für ortsbezogene Dienstleistungen

32 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Governance Framework Adressierung von Datenschutz- und Sicherheits-Implikationen Anwendung eines durchdringenden Top-Down Approach Strategie für die Verwendung von Geolocation (verknüpft mit anderen Technologien unter Verwendung der gleichen Sicherheitsstandards bzgl. Personenbezogenen Informationen) Richtlinien, Prozesse und konsistente Terminologie Kommunikation, Schulung, Awareness-Programm Strukturen für Überwachung und Berichterstattung Proaktive Behandlung von Belangen, Sicherheitsverstössen und Ausnahmen

33 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Wo gibt es Unterstützung?

34 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Was muss der Benutzer tun Kenntnis über Abschaltung und Opt-Out von Services Verständnis über die Möglichkeiten der Technologie

35 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Agenda 1.Geolocation: Was ist es und wie funktioniert das? 2.Geschäftsvorteile 3.Risiko-, Sicherheits- und Datenschutz- Überlegungen 4.Strategien für den Umgang mit Risiken 5.Überlegungen zur Prüfung (Audit) 6.Zusammenfassung / Wrap-Up

36 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Aspekte Frameworks als Basis für Risiko-Mgmt, Compliance und korrekte Verwendung von von Geolocation-Informationen Zertifizierung von Dienstleistern (z.B. SSAE16, VeriSign ®, TRUSTe ®, CC und TOE) Sicherheitsbewertungen technischer Möglichkeiten von mobilen Anwendungen (z.B. iPhone- und Android-Anwendungen, korrekte Verwendung von HTML5 und Geolocation APIs) Compliance mit Datenschutz und weiteren Gesetzen und Bestimmung Prüfung bezüglich Datenschutz Sicherheitsüberprüfungen von Third-Party Anwendungen und Entwicklern

37 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Assurance Strategie Korrekte Richtlinien, Prozesse und Prozeduren Integrität der zugrunde liegenden Technologien Sicherheit von Geräten Analyse des Benutzerverhaltens bezüglich Compliance

38 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Agenda 1.Geolocation: Was ist es und wie funktioniert das? 2.Geschäftsvorteile 3.Risiko-, Sicherheits- und Datenschutz- Überlegungen 4.Strategien für den Umgang mit Risiken 5.Überlegungen zur Prüfung (Audit) 6.Zusammenfassung / Wrap-Up

39 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Die richtigen Fragen Wie haben mobile Geräte, Netzwerke und ortsabhängige Dienstleistungen unsere Werte bezüglich Datenschutz, Daten- Sammlung und Verwendung von Daten verändert? Welche Rechte haben Personen und Unternehmungen bezüglich der gesammelten Daten? Welche anerkannten internationalen Rechte bestehen und wie können diese eingehalten werden (Compliance)? Welche Standards gelten bezüglich Zugriff auf und Sammlung von Location Data für öffentliche Einrichtungen? Welches sind die wesentlichsten internationalen Unterschiede bezüglich Gesetzgebung und Regelunge bezüglich Geolocation?

40 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Take the ROUTE Approach

41 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Fragen / Diskussion

42 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Urs Fischer, CPA (Swiss), CRISC, CISA Fischer IT GRC Beratung & Schulung Mail: Xing: https://www.xing.com/profile/Urs_Fischer12?sc_o=mxb_phttps://www.xing.com/profile/Urs_Fischer12?sc_o=mxb_p Linkedin:

43 © 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS Urs Fischer CPA (Swiss) by origin, CRISC, CISA & CIA 5 year external auditor Switch to IT Audit – In IT Audit for 13 years incl. Head of IT Audit Head IT Governance & Risk Mgmt Since 2011 independent IT GRC Consultant and Trainer Co-Author of CobiT4 and now participant of the development of COBIT5 Co-Developer of CobiT Control Practices Co-Developer of ISACAs IT Control Objectives for Cloud Computing Board member of ISACA CH Chapter for about 8 years Member of the CobiT Steering Committee for 3 years Member and Chair of ISACAs EuroCACS Conference Programme Committee for 6 years 2008 – 2009 Chair of ITGIs 'Risk IT' Task Force 2009 – 2010 Chair of ISACAs CRISC Task Force 2006 – 2011 Member of ISACA Audit Committee (since 2008 – 2011 Chairman) 2010 – 2011 Member of ISACAs Guidance and Practice Committee 2009 – 2012 Member of ISACAs Credentialing Board 2010 – 2012 Chair of ISACAs CRISC Committee 2012 Member of ISACA/ITGIs Nomination Committee 2010 Receiver of the John W. Lainhart IV – Common Body of Knowledge Award


Herunterladen ppt "© 2012 All rights reserved Fischer IT GRC Beratung & Schulung ISACA AHS 28.8.2012 Geolocation: Risiken, Strategien und Revisionsaspekte ISACA After Hours."

Ähnliche Präsentationen


Google-Anzeigen