WirtschaftsprüfungRevisoren und HackerUmberto Annino, Juni 2012
Zur PersonUmberto Annino               social networks, XING, LinkedinPwC, Risk Assurance FS, OneSecurityInformation Secu...
Agenda1. IT-Revision: verschiedene Arten und Prüftiefen für IT und IT-Systeme2. Regulatorische und gesetzliche Vorgaben3. ...
IT-Revision: Ordentliche RevisionOrdentliche Revision (Full Audit, OR 728) bei Publikumsgesellschaftenzwingend;Nicht-öffen...
IT-Revision: Eingeschränkte RevisionEingeschränkte Revision (Review, OR 729),prinzipiell wenn Bedingungen für ordentliche ...
Erwartungshaltung und Realität• Wirtschaftsprüfer übernimmt volle Verantwortung für die geprüftenJahresrechnungen• “Clean ...
Rahmenbedingungen, v.a. für ordentliche undeingeschränkte Revision• Fokus auf Jahresrechnung (Bilanz und Erfolgsrechnung;J...
Vom Geschäftsprozess zur ITWesentliches Konto (Debitoren)                Geschäftsprozess (Inkasso)                      ...
Revisionsprinzipien1. Wirtschaftlichkeit: Nutzen der Revision2. Wesentlichkeit (Materiality): Dringlichkeit und Wesentlich...
COSO Würfel              Ein IKS besteht aus den              Kontrollkomponenten:              • Kontrollumfeld (… Kultur...
Was und wie wird geprüft ?• IT-Umgebung – HW, SW, Netzwerke, Schnittstellen• IKS / Risikomanagement• IT-Prozesse, IT-Gover...
Freiwillige PrüfungenISAE 3402 Controls Report / SSAE 16Dienstleister, Prüfbericht über Kontrollsysteme, freiwilligTyp1: D...
Limited Assurance – ISAE 3000 BeispielOn the basis of our procedures aimed at obtaining limitedassurance, nothing has come...
Reasonable Assurance – ISAE 3000 BeispielWe believe that our procedures provide us with anappropriate basis to conclude wi...
Prüfungsdurchführung1. Prüfungsplanung (Termine, Ansprechpersonen, Schwerpunkte)2. Vorerhebung, z.B. Interviews, “footprin...
Beispiel:Stress Points der KommunikationssicherheitBasic Vulnerabilities – Drei Kategorien1. Interception (Abhören, Abstra...
Controls – Kontrollen und MassnahmenInterceptionAccess Control und physische Sicherheit im Bereich Datacenter, Netzwerk-Sy...
Controls – Kontrollen und MassnahmenAvailabilityAngemessene NetzwerkarchitekturMonitoring und ÜberwachungRedundanz und aut...
Controls – Kontrollen und MassnahmenAccess PointsSingle Point of Entry – Flaschenhals-Prinzip Zunehmend torpediert durch ...
Beispielhafte Feststellungen                            Patchlevel nicht aktuell    Prozesse                            Be...
Gesetze und Regulatorien - FinanzinstituteBundesgesetz und Verordnung über Banken und Sparkassen• FINMA ist weisungsberech...
Haftpflicht, Sorgfaltspflicht – AlleObligationenrecht, Haftung – Voraussetzungen:• Schaden (finanziell, psychisch etc.)• R...
Strafrechtliche BestimmungenUnbefugte DatenbeschaffungArt. 143 StGB1Wer in der Absicht, sich oder einen andern unrechtmäss...
Strafrechtliche BestimmungenUnbefugtes Eindringen in ein DatenverarbeitungssystemArt. 143bis StGB1 Wer auf dem Wege von Da...
Strafrechtliche BestimmungenDatenbeschädigungArt. 144bis StGB1. Wer unbefugt elektronisch oder in vergleichbarer Weise ges...
Strafrechtliche BestimmungenBetrügerischer Missbrauch einerDatenverarbeitungsanlageArt. 147 StGB1Wer in der Absicht, sich ...
Strafrechtliche BestimmungenUnbefugtes Beschaffen von PersonendatenArt. 179novies StGBWer unbefugt besonders schützenswert...
Hacker-Risiken• APT, Wirtschaftsspionage• Datenklau, Beispiele (Linkedin, SONY, Global Payments “nur 1.5 M DS”)• DoS, z.B....
(Heute ist alles) Penetration Testing1. (Automatisiertes) Monitoring, Inventory Management, Patch Status  Monitoring2. Sch...
Verantwortung und Haftung der betroffenen ParteienAnbieter / Service Provider Sorgfaltspflicht Vertragliche Leistung Ha...
VersäumnisseMaturität vs. RealitätTheorie und die Praxisgesunder Pragmatismus ^= “selektive Sicherheit”... “noch ein bissc...
Information Security BasicsAppoint a CSO - je nach Grösse des Unternehmen mit entsprechender FTEund v.a. (realen) Kompeten...
Information Security Basics, ff.Sicherheit ist das Komplementärereignis des Risiko. it matters!Nur weil es “jemand” macht,...
ZusammenfassungWas kann erkannt werden, was nicht ?• Zusammenspiel zwischen internen Kontrollen und unabhängigerÜberprüfun...
PwC - Globales Netzwerk von Spezialisten Dienstleistungen           Nordamerika             EMEA                 Branchen ...
Vielen Dank                                      PricewaterhouseCoopers AG                                      Birchstras...
Nächste SlideShare
Wird geladen in …5
×

Revisoren und hacker

1.231 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.231
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
26
Aktionen
Geteilt
0
Downloads
4
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Revisoren und hacker

  1. 1. WirtschaftsprüfungRevisoren und HackerUmberto Annino, Juni 2012
  2. 2. Zur PersonUmberto Annino  social networks, XING, LinkedinPwC, Risk Assurance FS, OneSecurityInformation Security Society Switzerland ISSSVizepräsident, Kassier www.isss.chISACA Switzerland ChapterCertification Coordinator www.isaca.chDozent und Lehrmittelautor für Informationssicherheit,verschiedene SchulenRevision & Hacking •PwC 3Umberto Annino, Juni 2012
  3. 3. Agenda1. IT-Revision: verschiedene Arten und Prüftiefen für IT und IT-Systeme2. Regulatorische und gesetzliche Vorgaben3. Hacker-Risiken4. Verantwortung und Haftung der betroffenen ParteienPwC
  4. 4. IT-Revision: Ordentliche RevisionOrdentliche Revision (Full Audit, OR 728) bei Publikumsgesellschaftenzwingend;Nicht-öffentliche AG, GmbH, Stiftungen auch, wenn eine derBedingungen erfüllt ist:>=20 MCHF Bilanzsumme >= 250 Vollzeitstellen>=40 MCHF UmsatzVorgaben:• Zugelassene Revisionsexperten oder staatlich beaufsichtigtesRevisionsunternehmen  Basis ISO 2700x, COBIT IT-Governance Framework• Weitgehende und umfassende Prüfung• Anzeige- und Informationspflichten bei Verstössen gegen Gesetz,Statuten, Organisationsreglement oder bei Überschuldung (SEC Guidelines)• Umfassender Revisionsbericht an VR und zusamenfassender an GVPwC
  5. 5. IT-Revision: Eingeschränkte RevisionEingeschränkte Revision (Review, OR 729),prinzipiell wenn Bedingungen für ordentliche Revision nicht erreicht werdensowie: keine Revisionspflicht für KleinstunternehmenVorgaben:• Zugelassener Revisor• Weniger weit gehende Prüfung, auf bestimmte Prüfungshandlungenbeschränkt• Anzeigepflicht bei Überschuldung• Zusammenfassender Revisionsbericht an GV• Keine Rotationspflicht des leitenden RevisorsPwC
  6. 6. Erwartungshaltung und Realität• Wirtschaftsprüfer übernimmt volle Verantwortung für die geprüftenJahresrechnungen• “Clean Opinion” heisst, dass der Wirtschaftsprüfer eine 100-prozentigePrüfung vorgenommen hat• Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in denKonkurs läuft• Der Wirtschaftsprüfer entdeckt mögliche Unstimmigkeiten in derJahresrechnung Diese Erwartungen können so nicht immer erfüllt werden• Primäre Verantwortung liegt klar beim Management und VR• Wirtschaftsprüfer kann keine “Konkursfreiheit” sichern, nur auf wesentliche Risiken hinweisen• Stichpropen und “professional scepticism” um Fraud zu entdeckenPwC
  7. 7. Rahmenbedingungen, v.a. für ordentliche undeingeschränkte Revision• Fokus auf Jahresrechnung (Bilanz und Erfolgsrechnung;Jahresabschluss) “Finanzsysteme” und wesentliche Wertschöpfungskette stehen im Fokus• Internes Kontrollsystem (Existenz und Wirksamkeit) und Risikobeurteilung• Wesentlichkeit der Feststellung (Finding)  Relevanz bezüglich Unvollständigkeit, Fehler (Fraud und unbewusste Fehler), Gesetzmässigkeit• Unabhängigkeit (gilt für Revisionsgesellschaft und alle Mitarbeitende!)• Keine “Selbstprüfung”• Keine Entscheide für den Kunden (management decisions)• Keine engen Beziehungen zum Kunden, keine Beteiligungen/wirtschaftliche Abhängigkeit, nicht marktkonformePwC Bedingungen (z.B. Spezialrabatte)
  8. 8. Vom Geschäftsprozess zur ITWesentliches Konto (Debitoren)  Geschäftsprozess (Inkasso)  Risiko (Abgleich der Zahlung mit Warenlieferung)  Kontrollen ELC: Autorisierungsweisung BPC: 4-Augen Prinzip ITGC: VollständigkeitskontrolleRevision & Hacking •PwC 10Umberto Annino, Juni 2012
  9. 9. Revisionsprinzipien1. Wirtschaftlichkeit: Nutzen der Revision2. Wesentlichkeit (Materiality): Dringlichkeit und Wesentlichkeit für die Unternehmensführung3. Sorgfalt: Objektivität, Vollständigkeit, UrteilsfähigkeitPwC
  10. 10. COSO Würfel Ein IKS besteht aus den Kontrollkomponenten: • Kontrollumfeld (… Kultur) • Risikobeurteilungsprozess des Unternehmens • Kontrollaktivitäten • Rechnungslegungsrelevante Informationssysteme, damit verbundene Geschäftsprozesse und Kommunikation • Überwachung der KontrollenPwC
  11. 11. Was und wie wird geprüft ?• IT-Umgebung – HW, SW, Netzwerke, Schnittstellen• IKS / Risikomanagement• IT-Prozesse, IT-Governance; business alignment• Kontrollen (aka Massnahmen, Sicherheitsmassnahmen)• SOLL und IST; Planung, Konzepte, Projekte, Testverfahren,Betrieb;Projektbegleitende Revision z.B . Bei Migrationsprojekten in BankenvorgeschriebenIT General Controls: ITGCLogical Access Control System Development Lifecycle SDLCChange Management Datacenter Physical SecurityBackup Controls Computer Operation ControlsPwC
  12. 12. Freiwillige PrüfungenISAE 3402 Controls Report / SSAE 16Dienstleister, Prüfbericht über Kontrollsysteme, freiwilligTyp1: Design der Kontrollen, Typ2: Umsetzung/Effektivität der KontrollenISO 27001 (z.B. Zertifizierung, auch „nur“ ISMS)Jegliche Unternehmen, Gewährleistung der Informationssicherheit, freiwilligCOBITJegliche Unternehmen, Werkzeug zur Steuerung der IT (Aufbau, Ablauf)FIPS / EAL, Common CriteriaProdukt- und Funktionsstandards „Security“Revision & Hacking •PwC 14Umberto Annino, Juni 2012
  13. 13. Limited Assurance – ISAE 3000 BeispielOn the basis of our procedures aimed at obtaining limitedassurance, nothing has come to our attention that causes usto believe that the information in the Report does not comply withthe above mentioned reporting criteria.Kontrollprozeduren, Umfang und Bedingungen werdenoffengelegt im Bericht.Full text:http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperformancedata/pages/assurancereportfromernstyoungas.aspxRevision & Hacking •PwC 15Umberto Annino, Juni 2012
  14. 14. Reasonable Assurance – ISAE 3000 BeispielWe believe that our procedures provide us with anappropriate basis to conclude with a reasonable level ofassurance for Statoils HSEaccounting.Kontrollprozeduren, Umfang und Bedingungen werdenoffengelegt im Bericht.Full text:http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperformancedata/pages/assurancereportfromernstyoungas.aspxRevision & Hacking •PwC 15Umberto Annino, Juni 2012
  15. 15. Prüfungsdurchführung1. Prüfungsplanung (Termine, Ansprechpersonen, Schwerpunkte)2. Vorerhebung, z.B. Interviews, “footprinting”3. Sammlung und Auswertung von Informationen (evidence collection, Stichprobenauswertung, statistische Analysen)4. Berichterstattung und Berichtabstimmung5. Review des Audit (Nachvollziehbarkeit!)PwC
  16. 16. Beispiel:Stress Points der KommunikationssicherheitBasic Vulnerabilities – Drei Kategorien1. Interception (Abhören, Abstrahlung), auch Manipulation2. Availability - Verfügbarkeit, bei stark genutzten Netzwerkverbindungen; global3. Access/entry points (Schnittstellen); any device, from anywhereRevision & Hacking •PwC 17Umberto Annino, Juni 2012
  17. 17. Controls – Kontrollen und MassnahmenInterceptionAccess Control und physische Sicherheit im Bereich Datacenter, Netzwerk-Systemen und Büroräumlichkeiten Zunehmende Verbreitung von Wireless-Technologien macht physischeMassnahmen weniger effektivEffektivste Massnahme: VerschlüsselungApplikatorisch oder auf Netzwerk-Ebene (IPsec, TLS)Revision & Hacking •PwC 18Umberto Annino, Juni 2012
  18. 18. Controls – Kontrollen und MassnahmenAvailabilityAngemessene NetzwerkarchitekturMonitoring und ÜberwachungRedundanz und automatisiertes RoutingNOC Network Operation Center 24/7Revision & Hacking •PwC 19Umberto Annino, Juni 2012
  19. 19. Controls – Kontrollen und MassnahmenAccess PointsSingle Point of Entry – Flaschenhals-Prinzip Zunehmend torpediert durch BYOD bring your own device sowie generellerTrend zur “Aufweichung” der Netzwerk-GrenzenAccess Control ListsTraffic ShapingDeep Packet Inspection; Antimalware, Content Protection,Leakage Protection and PreventionHärtung der SystemeRevision & Hacking •PwC 20Umberto Annino, Juni 2012
  20. 20. Beispielhafte Feststellungen Patchlevel nicht aktuell Prozesse Bewilligung und Durchführung von Änderungen nicht nachvollziehbar Account-Profil Einstellungen zu schwach oder nicht den Benutzern zugeordnet Zugriffsrechte Benutzergruppe mit Administrationsrechten ist zu gross Zugriffsrechte von technischen Benutzer für Applikationszugriffe zu wenig eingeschränkt Standard-Benutzer und -Passwörter vorhanden Logging nicht aktiviert oder entspricht nicht den Anforderungen Konfiguration Hardening Verwendung unverschlüsselter Verbindungen zwischen Clients und Datenbank Unverschlüsselte Kanäle nicht deaktiviert Dokumentation Dokumentation nicht vorhanden (Konfigurationsstandard, wiederkehrende Prozesse)Revision & Hacking •PwC 21Umberto Annino, Juni 2012
  21. 21. Gesetze und Regulatorien - FinanzinstituteBundesgesetz und Verordnung über Banken und Sparkassen• FINMA ist weisungsberechtigt (z.B. Verschärfung von Kontrollen)• Organisation muss “wesentliche” Risiken erfassen, begrenzen undüberwachen, inkl. Internes Kontrollsystem (IKS) • Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit• Ordnungsgemässe Führung und Aufbewahrung der Geschäftsbücher(Archivierung)• Fokus auf “Finanzsysteme”FINMA Bestimmungen• Rundschreiben 2008/21: Operationelle Risiken Banken (Eigenmittel)• Rundschreiben 2008/7: Auslagerung von Geschäftsbereichen(Outsourcing)PwC
  22. 22. Haftpflicht, Sorgfaltspflicht – AlleObligationenrecht, Haftung – Voraussetzungen:• Schaden (finanziell, psychisch etc.)• Rechtswidrigkeit• Adäquater Kausalzusammenhang, Kausalität (Verhältnis von Ursache undWirkung)• Verschulden (schuldhafte Verursachung durch Schädiger)Sorgfaltspflicht bei der Erfüllung von Leistungen aus Obligationen(Verträgen) Treu und Glaube, Umstände und Wissen sowie Können(Noch) Wenig Klagen bezüglich Datenverlust, ICT-Ausfällen etc. durch“Endanwender, Benutzer und Kunden”  pain-level lowPwC
  23. 23. Strafrechtliche BestimmungenUnbefugte DatenbeschaffungArt. 143 StGB1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sichoder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oderübermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinenunbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe biszu fünf Jahren oder Geldstrafe bestraft.2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oderFamiliengenossen wird nur auf Antrag verfolgt.PwC
  24. 24. Strafrechtliche BestimmungenUnbefugtes Eindringen in ein DatenverarbeitungssystemArt. 143bis StGB1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in einfremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs-system eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oderGeldstrafe bestraft.2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmenmuss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendetwerden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe biszu drei Jahren oder Geldstrafe bestraft.PwC
  25. 25. Strafrechtliche BestimmungenDatenbeschädigungArt. 144bis StGB1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oderübermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag,mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einemJahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt.2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt,anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitunggibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünfJahren erkannt werden.PwC
  26. 26. Strafrechtliche BestimmungenBetrügerischer Missbrauch einerDatenverarbeitungsanlageArt. 147 StGB1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durchunrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarerWeise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oderDatenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebungzum Schaden eines andern herbeiführt oder eine Vermögensverschiebungunmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oderGeldstrafe bestraft.2Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahrenoder Geldstrafe nicht unter 90 Tagessätzen bestraft.3 Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigenoder Familiengenossen wird nur auf Antrag verfolgt.PwC
  27. 27. Strafrechtliche BestimmungenUnbefugtes Beschaffen von PersonendatenArt. 179novies StGBWer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, dienicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mitFreiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.PwC
  28. 28. Hacker-Risiken• APT, Wirtschaftsspionage• Datenklau, Beispiele (Linkedin, SONY, Global Payments “nur 1.5 M DS”)• DoS, z.B. gegen Konkurrenzunternehmen (e-commerce)• Manipulation von Daten• Racheakt – vergrämte (ehemalige) Mitarbeiter• Betrug (Phishing, Scams; Vermögensverschiebung)• Social Engineering (als Mittel)• Phishing, Spearphishing (als Mittel)Status-Quo – inhärentes Risiko durch Sicherheitslage, IKS WirksamkeitPwC
  29. 29. (Heute ist alles) Penetration Testing1. (Automatisiertes) Monitoring, Inventory Management, Patch Status Monitoring2. Schwachstellen-Analyse, Vulnerability Assessment (automatisiert)3. Eindringversuch – penetration testing4. Ethical Hacking – inkl. Social Engineering (aka CTF)• Scoping: was testen, was nicht; Kommunikation, GO/NO-GO• Einwilligung (schriftlich)  Befugnis für Auftragnehmer• Incident Handling  CERT/CSIRT informieren, ev. Behörden• Haftbarkeit  v.a. für Auftragnehmer; Schaden bei Dritten• Lizenzierungsfragen: eingesetzte Angriffs-Software, SW-ManipulationPwC
  30. 30. Verantwortung und Haftung der betroffenen ParteienAnbieter / Service Provider Sorgfaltspflicht Vertragliche Leistung Haftung und Einhaltung von StrafnormenKunde / Betroffene Person Informationspflicht, Zumutbare MassnahmenRevisionsunternehmen, VR: Organhaftung Haftung für Testat-Inhalt, Geschäftsbericht, AufsichtPwC
  31. 31. VersäumnisseMaturität vs. RealitätTheorie und die Praxisgesunder Pragmatismus ^= “selektive Sicherheit”... “noch ein bisschen compliance...” - c’mon. requirements engineering!Misstrauen ggü. Mitarbeitende,false incentives, (falsches) micro managementRevision & Hacking •PwC 28Umberto Annino, Juni 2012
  32. 32. Information Security BasicsAppoint a CSO - je nach Grösse des Unternehmen mit entsprechender FTEund v.a. (realen) Kompetenzen!Verknüpfen der Information (!) Security Risks mit dem OpRisk  CRO-levelRisk-aware business decisions – nicht so einfach in der Praxis (AbwägungRisiko vs. Profit/Gain)Zertifizierung, Maturität etc. ist OK (Referenz, baseline hilft) - aber passierentut “es” in der Realität gehen Sie an die Front, reden (!) Sie mit den Leuten, wissen (!) sie was“draussen” abgehtRevision & Hacking •PwC 29Umberto Annino, Juni 2012
  33. 33. Information Security Basics, ff.Sicherheit ist das Komplementärereignis des Risiko. it matters!Nur weil es “jemand” macht, macht er es nicht (unbedingt) besser. CloudComputing Security.You get what you pay for!But don’t pay too much - know what you pay for!Verbote und Weisungen sind OK, aber wer den Schaden hat... (love yourself.Intrinsische Motivation)Best Practise nicht immer “best match” !Revision & Hacking •PwC 30Umberto Annino, Juni 2012 33
  34. 34. ZusammenfassungWas kann erkannt werden, was nicht ?• Zusammenspiel zwischen internen Kontrollen und unabhängigerÜberprüfung• High-End APT sind schwierig zu entdecken, konsequente und ev.Unwirtschaftliche Durchsetzung der KontrollenWas kann dagegen unternommen werden ?• Compliance = OK, “reale Sicherheit” = relevant• Einfache und wirksame Massnahmen  80/20 Kultur- und Kommunikation!PwC
  35. 35. PwC - Globales Netzwerk von Spezialisten Dienstleistungen Nordamerika EMEA Branchen 37’700 Mitarbeiter 74’600 Mitarbeiter Consulting Detailhandel und Konsumgüter Technologie, Telco und Medien Steuer- und 161’800 Mitarbeiter in 154 Ländern Life Science and Rechtsberatung Über 2’900 Sicherheitsspezialisten Gesundheitswesen Bank und Versicherungen Lateinamerika APAC Energie und Wirtschaftsprüfung Versorgung 10’400 Mitarbeiter 39’100 MitarbeiterRevisoren und Hacker •PwC 35Umberto Annino, Juni 2012
  36. 36. Vielen Dank PricewaterhouseCoopers AG Birchstrasse 160 Postfach, 8050 Zürich Direct: +41 58 792 20 91 Mobile: +41 79 679 00 96 umberto.annino@ch.pwc.com Umberto Annino Manager OneSecurityThis publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publicationwithout obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, tothe extent permitted by law, PricewaterhouseCoopers AG, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you oranyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it.© 2011 PwC. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers AG which is a member firm of PricewaterhouseCoopers International Limited, each member firm of whichis a separate legal entity.

×