1 / 43

Geolocation : Risiken , Strategien und Revisionsaspekte ISACA After Hours Seminar 28.8.2012

Geolocation : Risiken , Strategien und Revisionsaspekte ISACA After Hours Seminar 28.8.2012. Urs Fischer, dipl. WP, CRISC, CISA Fischer IT GRC Beratung & Schulung. Urs Fischer. Agenda. Geolocation : Was ist es und wie funktioniert das? Geschäftsvorteile

jens
Download Presentation

Geolocation : Risiken , Strategien und Revisionsaspekte ISACA After Hours Seminar 28.8.2012

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Geolocation:Risiken, Strategien und RevisionsaspekteISACA After Hours Seminar 28.8.2012 Urs Fischer, dipl. WP, CRISC, CISA Fischer IT GRC Beratung & Schulung

  2. Urs Fischer

  3. Agenda • Geolocation: Was istes und wiefunktioniert das? • Geschäftsvorteile • Risiko-, Sicherheits- und Datenschutz-Überlegungen • Strategienfür den UmgangmitRisiken • ÜberlegungenzurPrüfung (Audit) • Zusammenfassung / Wrap-Up

  4. Agenda • Geolocation: Was istes und wiefunktioniert das? • Geschäftsvorteile • Risiko-, Sicherheits- und Datenschutz-Überlegungen • Strategienfür den UmgangmitRisiken • ÜberlegungenzurPrüfung (Audit) • Zusammenfassung / Wrap-Up

  5. Definition A geolocationsystemis an informationtechnologysolutionthatascertainsthelocationof an object in thephysical (geo-spatial) orvirtual (Internet) environment. Most often, theobjectis a personwhowantstoutilise a service-based on location, whilemaintaininghis/her privacy. Quelle: Geolocation: Risk, IssuesandStrategies (ISACA Emerging Technology White Paper, Sept. 2011)

  6. Geschäftsziele • Geo-ReferencingorPositioning • Geo-Coding • Geo-Tagging

  7. Quellen für Informationen • Web Browsing via IP-Adressen • Mobil-Telefon • GPS-Geräte • Radio FrequencyIdentification (RFID) • Kreditkarten Transaktionen • Tags in Fotos • Postings in Sozialen Netzwerken wie Facebook® und Twitter

  8. Verwendung von Geolocation-Info • Spezifische Anpassung von Inhalt • Durchsetzung von Zugriffs-Restriktionen basierend auf geographischen Örtlichkeiten • Betrugs-Prävention

  9. Verfahren zur Generierung und Sammlung von Geolocation-Daten In Anlehnung an: Geolocation: Risk, IssuesandStrategies (ISACA Emerging Technology White Paper, Sept. 2011)

  10. Verfahren zur Generierung und Sammlung von Geolocation-Daten In Anlehnung an: Geolocation: Risk, IssuesandStrategies (ISACA Emerging Technology White Paper, Sept. 2011)

  11. Agenda • Geolocation: Was istes und wiefunktioniert das? • Geschäftsvorteile • Risiko-, Sicherheits- und Datenschutz-Überlegungen • Strategienfür den UmgangmitRisiken • ÜberlegungenzurPrüfung (Audit) • Zusammenfassung / Wrap-Up

  12. Dienstleistungen und Applikationen Geolocation ist zur Basis für ortsabhängige Dienstleistungen und standorterkennende Technologien geworden, welche auf Smartphones wie Iphone®- und Android™-Geräten laufen. In Anlehnung an: Geolocation: Risk, IssuesandStrategies (ISACA Emerging Technology White Paper, Sept. 2011)

  13. Geschäftsanwendungen und -vorteile • In der Werbung:Designated Market Areas (DMA) • KnowYour Customer (KYC) • Lieferungen und Asset-Management • Anpassung und Zurverfügung-stellung von Inhalten • Augmented Reality • Vehicle Ad Hoc Networks (VANS) • Betrugsaufdeckung und Prävention (auf Basis von IP-Location Technologie und Betrugsprofilen • Real-time incidentmanagement

  14. Vorteile für Benutzer • Rabatte • Promotionen • Kunden-Präferenzen • Zugang zu, für die Kaufentscheidung relevante, Informationen • Ortspezifische Discounts • Ortspezifische Dienstleistungen

  15. Praktiken Unternehmungen müssen sorgfältig über ihre Geo-Marketing Praktiken nachdenken und abwägen, ob ihre aktuellen Datenschutz-Regeln die Sammlung und die Benutzung von Geolocation-Daten abdecken. In Anlehnung an: Geolocation: Risk, IssuesandStrategies (ISACA Emerging Technology White Paper, Sept. 2011)

  16. Klassifkation von Daten

  17. Agenda • Geolocation: Was istes und wiefunktioniert das? • Geschäftsvorteile • Risiko-, Sicherheits- und Datenschutz-Überlegungen • Strategienfür den UmgangmitRisiken • ÜberlegungenzurPrüfung (Audit) • Zusammenfassung / Wrap-Up

  18. Benutzer-Bewusstsein Benutzer kennen üblicherweise die Quelle und die Ownership für die Sammlung von Daten nicht. Dies führt zu div. Fragen: • Wie werden ortsabhängige Informationen verwendet? • Von wem werden diese Informationen genutzt (Data-Sharing) • Dauer der Daten-Aufbewahrung • Daten-Vernichtung

  19. Personallyidentifiable Information (PII) Die Verwendung von Geolocation-Informationen im Zusammenhang mit weiteren persönlich identifizierten Informationen (PII) führt zu einer grossen Anzahl von Risiken im sozialen und Datenschutzbereich. In Anlehnung an: Geolocation: Risk, IssuesandStrategies (ISACA Emerging Technology White Paper, Sept. 2011)

  20. Potentielle Risiken für die Unternehmung • Datenschutz • Reputation • Komprimitierung von sensitiven Informationen

  21. Exkurs: ISACA Survey • Generell fehlende Kenntnis bezüglich der Risiken von Ortsspezifischen Apps. Dies basiert darauf, dass die Mehrheit welche solche Apps verwenden (downloaden) entweder die Vertragsbestimmung nicht lesen bzw. nicht verstehen. • Berücksichtigt man das digitale Zeitalter in dem wir leben, wo auf Twitter und Facebook mitgeteilt wird, was wir zum Frühstück gegessen haben, ist sehr erstaunlich, dass die zwei top Bedenken sind: • Preisgabe von zuviel Informationen über sich selbst • Bedenken über die persönliche Sicherheit • Mitarbeitende welche, von der Unternehmung zur Verfügung gestellte, Geräte sowohl für ‘Location-Based Apps’ als auch für persönliche Gründe verwenden, generieren Risiken für die Unternehmung.

  22. Verwendung von Location-based Apps

  23. BYOD

  24. Entwicklung

  25. Verwendung von Smartphone, Tablet oder Laptop

  26. Vertragsbestimmung beim Download von Apps

  27. Bedenken

  28. Agenda • Geolocation: Was istes und wiefunktioniert das? • Geschäftsvorteile • Risiko-, Sicherheits- und Datenschutz-Überlegungen • Strategienfür den UmgangmitRisiken • ÜberlegungenzurPrüfung (Audit) • Zusammenfassung / Wrap-Up

  29. Was ist zu tun? • Aktuelle Gesetzgebungen gehen nicht spezifisch auf Datenschutz- und Sicherheits-Aspekte von Geolocation ein. • Zwei Wege um die Risiken zu minimieren: • Durch technische Sicherheitsvorkehrungen • Durch den Benutzer

  30. Datenschutz und Sicherheit Angemessene generelle Kontrollen für Geolocation Technologie, z.B.: • Periodische Updates von System- und Anwendungssoftware • Antivirus-Software • Patches • Reguläre Back-Ups • Zugriffskontrollen auf Basis ‘Need toKnow’ • «Keep the least fortheshortestperiod» • Anonymisierungs-Techniken

  31. Daten-Klassifizierung • Wo sind die Daten? • Wem gehören die Daten? • Quelle der Daten? • Identifikation von personenbezogenen Daten • Verschlüsselung • Redaktion bzw. Anonymisierung von personenbezogenen Daten • Datenschutz-Richtlinien für ortsbezogene Dienstleistungen

  32. Governance Framework • Adressierung von Datenschutz- und Sicherheits-Implikationen • Anwendung eines durchdringenden Top-Down Approach • Strategie für die Verwendung von Geolocation (verknüpft mit anderen Technologien unter Verwendung der gleichen Sicherheitsstandards bzgl. Personenbezogenen Informationen) • Richtlinien, Prozesse und konsistente Terminologie • Kommunikation, Schulung, Awareness-Programm • Strukturen für Überwachung und Berichterstattung • Proaktive Behandlung von Belangen, Sicherheitsverstössen und Ausnahmen

  33. Wo gibt es Unterstützung?

  34. Was muss der Benutzer tun • Kenntnis über Abschaltung und Opt-Out von Services • Verständnis über die Möglichkeiten der Technologie

  35. Agenda • Geolocation: Was istes und wiefunktioniert das? • Geschäftsvorteile • Risiko-, Sicherheits- und Datenschutz-Überlegungen • Strategienfür den UmgangmitRisiken • ÜberlegungenzurPrüfung (Audit) • Zusammenfassung / Wrap-Up

  36. 4 Aspekte • Frameworks als Basis für Risiko-Mgmt, Compliance und korrekte Verwendung von von ‘Geolocation-Informationen’ • Zertifizierung von Dienstleistern (z.B. SSAE16, VeriSign®, TRUSTe®, CC und TOE) • Sicherheitsbewertungen technischer Möglichkeiten von mobilen Anwendungen (z.B. iPhone- und Android-Anwendungen, korrekte Verwendung von HTML5 und ‘Geolocation APIs’) • Compliance mit Datenschutz und weiteren Gesetzen und Bestimmung • Prüfung bezüglich Datenschutz • Sicherheitsüberprüfungen von Third-Party Anwendungen und Entwicklern

  37. Assurance Strategie • Korrekte Richtlinien, Prozesse und Prozeduren • Integrität der zugrunde liegenden Technologien • Sicherheit von Geräten • Analyse des Benutzerverhaltens bezüglich Compliance

  38. Agenda • Geolocation: Was istes und wiefunktioniert das? • Geschäftsvorteile • Risiko-, Sicherheits- und Datenschutz-Überlegungen • Strategienfür den UmgangmitRisiken • ÜberlegungenzurPrüfung (Audit) • Zusammenfassung / Wrap-Up

  39. Die richtigen Fragen • Wie haben mobile Geräte, Netzwerke und ortsabhängige Dienstleistungen unsere Werte bezüglich Datenschutz, Daten-Sammlung und Verwendung von Daten verändert? • Welche Rechte haben Personen und Unternehmungen bezüglich der gesammelten Daten? • Welche anerkannten internationalen Rechte bestehen und wie können diese eingehalten werden (Compliance)? • Welche Standards gelten bezüglich Zugriff auf und Sammlung von ‘Location Data’ für öffentliche Einrichtungen? • Welches sind die wesentlichsten internationalen Unterschiede bezüglich Gesetzgebung und Regelunge bezüglich ‘Geolocation’?

  40. Take the ROUTE Approach

  41. Fragen / Diskussion

  42. Urs Fischer, CPA (Swiss), CRISC, CISA Fischer IT GRC Beratung & Schulung Mail: fiur@bluewin.ch Xing: https://www.xing.com/profile/Urs_Fischer12?sc_o=mxb_p Linkedin: http://www.linkedin.com/profile/edit?trk=hb_tab_pro_top

  43. Urs Fischer • CPA (Swiss) by origin, CRISC, CISA & CIA • 5 year external auditor • Switch to IT Audit – In IT Audit for 13 years incl. Head of IT Audit • 2004-2010 Head IT Governance & Risk Mgmt • Since 2011 independent IT GRC Consultant and Trainer • Co-Author of CobiT4 and now participant of the development of COBIT5 • Co-Developer of CobiT Control Practices • Co-Developer of ISACA’s “IT Control Objectives for Cloud Computing” • Board member of ISACA CH Chapter for about 8 years • Member of the CobiT Steering Committee for 3 years • Member and Chair of ISACA’s EuroCACS Conference Programme Committee for 6 years • 2008 – 2009 Chair of ITGI’s 'Risk IT' Task Force • 2009 – 2010 Chair of ISACA’s CRISC Task Force • 2006 – 2011 Member of ISACA Audit Committee (since 2008 – 2011 Chairman) • 2010 – 2011 Member of ISACA’s Guidance and Practice Committee • 2009 – 2012 Member of ISACA’s Credentialing Board • 2010 – 2012 Chair of ISACA’s CRISC Committee • 2012 Member of ISACA/ITGI’s Nomination Committee • 2010 Receiver of the ‘John W. Lainhart IV – Common Body of Knowledge Award’

More Related