Program XIII. konference IT Governance 2016

Propojenost incidentů & rizik a agilní IT

I. den - 18. října 2016

13.00 - 17.00

TUTORIAL: IoT – koncepty a praxe
Ing. Petr Hujňák Ph.D., CGEIT, CRISC; Per Partes Consulting a jeho hosté

18.00 - 21.00

Neformální společenský večer

II. den - 19. října 2016

09.30 - 11.30

WORKSHOP: Řízení bezpečnosti v agilním prostředí
Ing. Miroslav Urbánek a Ing. Marek Šottl; T-Mobile Czech Republic

11:30 – 12:30 Oběd pro účastníky workshopu
12:30 – 13:00 Registrace na konferenci
13:00 – 13:20 Slavnostní zahájení konference
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; prezident ISACA CRC
13.20 - 14.00

Propojení SIEM s analýzou rizik
Ing. Jan Kopřiva a Ing. Michal Seidl, MBA; Alef Nula

14:00 – 14:05 Přestávka
14.05 - 14.45

Incident management na zelené louce = klíč k úspěchu
Radek Živný; Cetin

14:45 – 15:00 Přestávka
15.00 - 15.45

Řízení bezpečnostních rizik a incidentů v průběhu životního cyklu IS
Ing. Jan Mészáros, Ph.D., CISA; AVG Technologies CZ

15:45 – 15:55 Přestávka
15.55 - 16.40


CoBIT 5 for Risk – užitečný nástroj?

Ing. Luboš Klečka, CISA, CRISC; Česká spořitelna

16:40 – 16:45 Přestávka
16.45 - 17.30

Novinky ISACA
Ing. Lukáš Mikeska CISA, CRISC; Ernst & Young

17:45 – 24:00 Společenský večer

III. den - 20. října 2016

09.00 - 09.45


DevOps ve velké mezinárodní korporaci

Ing. Jan Krob; KPMG

09:45 – 09:50 Přestávka
09.50 - 10.30


DevOps

Mgr. Tomáš Honzák; GoodData

10:30 – 10:45 Přestávka
10.45 - 11.20

Agilní vývoj ve velké korporaci a pro SAAS řešení
MUDr. Jiří Brambůrek; Concur

11:20 – 11:30 Přestávka
11.30 - 13.00


Panelová diskuse: Agilní vs. klasické řízení v IT

Moderátor Ing. Jan Krob, CISA a jeho hosté

13:00 – 14:00 Oběd
14.00 - 14.45


Obrázek nad tisíc slov aneb komunikace se stakeholdery pomocí ArchiMate® modelů

RNDr. Pavel Sekanina; nezávislý konzultant a Ing. Viktor Otčenášek; AutoCont CZ

14:45 – 15:00 Přestávka
15.00 - 15.30


Role, strategie a taktiky v moderní kybernetické obraně

Ing. Lukáš Kypus; CyberGym

15:30 Ukončení konference

* Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 9 CPE hodin za účast na konferenci.
** ZMĚNA PROGRAMU VYHRAZENA.

Popis k přednáškám a přednášejícím

TUTURIAL: IoT - koncepty a praxe
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; Per Partes Consulting a jeho hosté

Internet věcí (IoT) je konceptem, v němž si „věci“ reprezentované fyzickými nebo virtuálními objekty vyměňují data přes síť. Netradičně vizionářsky pojatý tutoriál se zaměří na nastupující architektury a technologie pro IoT. Nejdříve bude rozebráno, jaké jsou myšlenky v pozadí dvou hlavních směrů: decentralizovaného a centralizovaného. Decentralizované řešení nazývané „Fog computing“ představuje koncept, při kterém věci komunikují mezi sebou a až výsledky lokálního zpracování dat jsou předávány do cloudu. Jeho uplatnění očekává OpenFog Consortium zejména v průmyslovém internetu věcí (IioT). Centralizovaná koncepce upřednostňuje přímou komunikaci věcí s centrálním místem na Internetu („Cloud computing“) a podle očekávání se prosadí zejména v rámci spotřebitelského internetu věcí (CioT). Bude poukazováno na nastupující problémy s interoperabilitou, o jejichž řešení usiluje referenční architekturou např. Industrial Internet Consortium, a na problémy s bezpečností, které adresuje ISACA ve svých publikacích.

Druhá část tutoriálu přinese praktický pohled formou vybraných ukázek konkrétních řešení pro IoT. Bude dán prostor vedoucím společnostem a zajímavým řešením přítomným v ČR, která se již dostala ze stádia experimentů v laboratorních podmínkách a začínají se prosazovat v reálném provozu.

Ing. Petr Hujňák, Ph.D., CGEIT, CRISC
Je ředitelem společnosti Per Partes Consulting soustředěné na ICT poradenství. K jeho odborným zájmům patří expertní systémy a Complexity Science. Je soudním znalcem na informatiku, certifikovaným ředitelem programů a portfolií IPMA „A“ (CPD), certifikovaným odborníkem ISACA na řízení podnikové informatiky (CGEIT) a řízení rizik a IT kontrol (CRISC). Dlouhou dobu působil jako vedoucí partner divize Consulting ve společnosti Ernst&Young. Je prezidentem ISACA Česká republika a předsedou konference IT Governance.

Nahoru

WORKSHOP: Řízení bezpečnosti v agilním prostředí
Ing. Miroslav Urbánek a Ing. Marek Šottl; T-Mobile Czech Republic

Dopolední workshop na téma bezpečnosti v agilním vývoji webových aplikací bude moderován dvojicí bezpečnostních konzultantů z ICT společnosti T-Mobile Czech Republic a.s. Úvodem bude krátce představeno kompetenční centrum na IT bezpečnost provozované koncernem Deutsche Telekom, které je situováno v Praze a poskytuje bezpečnostní služby ve střední a východní Evropě. Nosným tématem workshopu bude porovnání waterfall a agile metodik z pohledu bezpečnosti a prezentace základních principů bezpečného agilního vývoje včetně nezbytných organizačních i technologických prerekvizit v pojetí Deutsche Telekomu. Zmíněno bude rovněž využití bezpečnostního nástroje WAF, programu pro etické hackery Bug Bounty a kontinuální bezpečnostní vzdělávání pro týmy vývojářů. Workshop bude doprovázen řadou příkladů a praktických ukázek.

Ing. Miroslav Urbánek, Ph.D.
Vystudoval aplikovanou matematiku na VUT v Brně. Od roku 2003 působí jako bezpečnostní konzultant ve společnosti T-Mobile Czech Republic a.s., kde aktuálně vede regionální tým bezpečnostních služeb. Má rozsáhlé zkušenosti s analýzou a řízením rizik, provozem certifikovaného ISMS a auditem IS. Odpovídá za bezpečnostní evaluace nových služeb a změn zaváděných waterfallem i agilem. V T-Mobilu prosadil a provozuje program Bug Bounty pro etické hackery. Dlouhodobě se zaměřuje zejména na oblast rozvoje a správy IAM řešení.

Ing. Marek Šottl
Absolvent systémového inženýrství na Mendelově univerzitě v Brně. Profesní dráhu zahájil jako PHP developer se zaměřením na front end aplikace a pokračoval jako analytik a specialista IT bezpečnosti ve společnostech Airbank a Homecredit. Má zkušenosti také jako manažer informační bezpečnosti ve společnosti Hypoteční banka a.s., kde řídil implementaci SIEM řešení. Od roku 2015 působí mezinárodně jako konzultant pro aplikace a infrastrukturu na projektech skupiny Deutsche Telekom ve společnosti T-Mobile Czech Republic a.s. Je expertem v bezpečnosti aplikačního vývoje, v penetračním testování, v produktových evaluacích a architektuře informační bezpečnosti.

Nahoru

Propojení SIEM s analýzou rizik
Ing. Jan Kopřiva a Ing. Michal Seidl, MBA; Alef Nula

Systémy SIEM jsou běžnou součástí bezpečnostního ekosystému moderních organizací. Přestože se potenciálně jedná o velmi silné analytické nástroje, je často možné setkat se se stavem, kdy je SIEM v organizaci nasazen, ale jeho výstupy nejsou reálně využívány. Důvodem bývá především generování vysokého počtu false-positive detekcí a související vysoké požadavky na údržbu korelačních pravidel a neschopnost operátorů detekce korektně prioritizovat. Jedním ze způsobů, jak se lze uvedeným úskalím vyhnout, je propojení SIEM s výstupy analýzy rizik, což vede k zaměření detekce hrozeb pomocí SIEM primárně na kritické části infrastruktury. Počet falešných poplachů je v takovém případě omezen v důsledku snížení počtu infrastrukturních prvků, na něž jsou pravidla zaměřena (pouze kritické prvky), a schopnost operátorů i systému samotného korektně prioritizovat jednotlivé detekce se výrazně zvyšuje. V rámci přednášky budou posluchači seznámeni s možnostmi a výhodami propojení SIEM s výstupy analýzy rizik a s příkladem reálného řešení systému, který takové propojení využívá.

Ing. Jan Kopřiva
Jan Kopřiva vystudoval Bezpečnost informačních a telekomunikačních technologií na ČVUT v Praze. Od roku 2015 vede ve společnosti Alef Nula tým pro řešení kybernetických bezpečnostních incidentů ALEF CSIRT. Je autorem řady článků věnujících se problematice IT a bezpečnosti a provozuje portál UntrustedNetwork.cz, zaměřený na novinky v oblasti kybernetické bezpečnosti.

Ing. Michal Seidl, MBA
Michal Seidl vystudoval obor Telekomunikační technika na ČVUT v Praze a získal titul MBA - Master of Business Administration na Sheffield Hallam University, UK. Téměř 15 let se věnuje managementu provozu IT v různých společnostech, dodávajících služby systémové integrace. Od roku 2011 řídí divizi Managed Services ve společnosti Alef Nula, jejíž součástí je i tým pro řešení kybernetických bezpečnostních incidentů ALEF CSIRT. Mimo jiné je držitelem certifikace ISMS Auditor 27001:2013.

Nahoru

Incident management na zelené louce = klíč k úspěchu
Radek Živný; Česká telekomunikační infrastruktura a.s.

Prezentace Vás provede stavem řešení Incident managementu ve společnosti Cetin. Vysvětlíme si, co nás vedlo k postavení nového řešení včetně procesů tzv. na zelené louce, a jak efektivně nastavit vstupy a výstupy. V rámci prezentace proběhne živá ukázka řešení s demonstrací propojení incident managementu na aktiva a jejich rizika s reakcí na hrozby a proces Vulnerability managementu. V neposlední řadě ukážeme vnímání Incident managementu jako integrační platformy, včetně komunikačních schémat zajištujících komunikaci s okolním světem s důrazem na efektivitu.

Radek Živný
Radek Živný působí ve společnosti CETIN (Česká telekomunikační infrastruktura a.s.) od roku 2015 na pozici Chief Security Officer. V předchozích letech působil ve společnostech Český Telecom, a.s., Eurotel a Telefonica na odborných a vedoucích pozicích v oblasti bezpečnosti. Od roku 2000 se specializuje se na bezpečnost informačních technologií, bezpečnostní testy a řízení bezpečnosti.

Nahoru

Řízení bezpečnostních rizik a incidentů v průběhu životního cyklu IS
Ing. Jan Mészáros, Ph.D., CISA; AVG Technologies CZ

Příspěvek je věnován propojení oblastí řízení bezpečnostních rizik a incidentů v souvislosti s moderními metodami řízení rizik a s častým opakováním procesu řízení rizik. Autor se zaměří na problematiku proaktivního a reaktivního přístupu k řízení rizik ve vztahu k oblasti řízení incidentů. Dále bude autor diskutovat typické aktivity a úlohy spojené se zvládáním bezpečnostních rizik a s řešením incidentů v průběhu různých fází životního cyklu informačního systému.

Ing. Jan Mészáros, Ph.D., CISA
V současné době působí na pozici Information Security Architect ve společnosti AVG Technologies CZ. Na VŠE v Praze získal doktorát v oblasti informační bezpečnosti a podílí se zde na výuce témat souvisejících s bezpečností IS/IT. V minulosti pracoval mimo jiné ve společnosti KPMG jako penetrační tester a auditor bezpečnosti IS/IT. Má rozsáhlé zkušenosti s bezpečnostními aspekty v různých fázích životního cyklu IS, ve své odborné praxi se věnuje zejména bezpečnostním hrozbám a rizikům v oblastech návrhu, architektury, tvorby, testování a provozu IS.

Nahoru

CoBIT 5 for Risk – užitečný nástroj?
Ing. Luboš Klečka CISA, CRISC; Česká spořitelna

Příspěvek je zaměřený na možnosti využití nástroje vytvořeného ku prospěchu nejenom specialistů bezpečnosti IT a auditu IT, ale i manažerům odpovědným za zvládáním procesů řízení rizik. Jak pojmy analýza rizik, ocenění rizik, rizikové scénáře souvisí s Cobit 5? Co vše nám může „zjednodušit“ život? Odpověď se pokusíme nalézt z materiálů souvisejících s Cobit 5 for Risk.

Ing. Luboš Klečka CISA, CRISC
Absolvent Vojenské akademie v Brně, se zaměřením na automatizované systémy řízení a velení. Dlouhodobě se zabýval problematikou bezpečnosti IT, působil jako bezpečnostní specialista v Komerční bance. Podílel se na vytvoření a rozvoji infrastruktury veřejných klíčů, řešil otázku bezpečnosti v rámci projektových aktivit. V současné době je zodpovědný za IT audit v České spořitelně. Od roku 1999 je držitelem titulu CISA (Certified Information System Auditor). Je členem výboru české pobočky ISACA.

Nahoru

DevOps ve velké mezinárodní korporaci
Ing. Jan Krob; KPMG

Prezentace bude doplněna.

Ing. Jan Krob
IT profesionál s mnohaletou mezinárodní praxí v IT.

Nahoru

DevOps
Mgr. Tomáš Honzák; GoodData

GoodData jsou společností, která jednak zažívá bouřlivý rozvoj, jednak zaměstnává lidi, kteří nejsou úplně běžnými zaměstnanci, a to ani v IT společnostech. Jsou výkonní a zároveň nároční na efektivní pracovní prostředí; nespokojí se s průměrnou firmou a rigidními procesy. Zavádět a rozvíjet principy DevOps je tak pro GoodData nejen nutnost, ale především zajímavá práce.

Mgr. Tomáš Honzák
Tomáš má dlouholeté zkušenosti v oblasti metodologie vývoje software, procesního řízení a řízení informační bezpečnosti v globálních společnostech. V současné době působí jako Director, Security & Compliance v nejúspěšnějším českém startupu GoodData, kde vybudoval systém řízení informační bezpečnosti certifikovaný americkým standardem SOC 2 a naplňující požadavky HIPAA. Zaměřuje se především na hledání synergií mezi agilními metodikami vývoje a provozu IT a požadavky standardů řízení bezpečnosti a kvality. Je členem ISACA a Komory projektových manažerů.

Nahoru

Agilní vývoj ve velké korporaci a pro SAAS řešení

Prezentace se zaměří na zkušenosti s agilním vývojem, jeho výhodami, úskalími, omezeními i radostmi.
MUDr. Jiří Brambůrek
Jiří má dlouholeté zkušenosti jako vývojář vícevrstvých aplikací i jako konzultant a architekt v oblasti informačních systémů. V současné době pracuje jako hlavní softwarový inženýr ve společnosti Concur. Věnuje se agilním metodikám vývoje aplikací, automatizaci testů a automatizaci nasazování agilně vyvíjeného softwaru.

Nahoru

Panelová diskuse: Panelová diskuse: Agilní vs. klasické řízení v IT
Moderátor Ing. Jan Krob, CISA a jeho hosté

Agilita je dnes zejména v řízení IT často skloňovaným slovem doprovázeným řadou emocí v celém spektru od pozitivního až k negativnímu. Být agilní je dnes cílem většiny společností. Není to ale jen „buzzword“ pocházející z business a IT strategií? Být agilní je dnes výhoda nebo je to už nutnost? Je to téma rezervované pouze pro IT, resp. jak hodně se agilita týká také businessu? Jak velký je přechod na agilní řízení kulturní šok pro dnešní firmy a jejich pracovníky? Ve třech samostatných blocích postupně odpovíme na tyto otázky a budeme připraveni s vámi diskutovat různé pohledy a zkušenosti na budoucnost řízeni IT.

Nahoru

Obrázek nad tisíc slov aneb Komunikace se stakeholdry pomocí ArchiMate® modelů
RNDr. Pavel Sekanina; nezávislý konzultant a Ing. Viktor Otčenášek; AutoCont CZ

Komunikace strategie vedení společnosti a vysvětlování návazností mezi stanovenými cíli a konkrétními opatřeními bývá často velmi složité. Příkladem může být snaha získat souhlas CEO s implementací kroků potřebných k zajištění business kontinuity. Nám hodně pomohly modely vytvářené v jazyku ArchiMate®, díky nim se nám dařilo propojit jazyk businessu s jazykem IT. V neposlední řadě se s modely v jazyku ArchiMate budeme setkávat v příštích letech v rámci naplňování Národní architektury ICT ve veřejné správě ČR.

RNDr. Pavel Sekanina
Více než 30 let praxe v IT, zejména při velkých projektech a poradenství. Jeho současná praxe jako nezávislého konzultanta zahrnuje propojení metodik (TOGAF, PEAF, IT4IT, ITIL, ArchiMate, BPMN) do praktických přístupů při řízení Enterprise architektury ve velkých organizacích. Spolupracuje dále s Open group jako auditor. V současné době pracuje mimo jiné jako poradce představenstva pro strategii IT v SPP distribúcia a.s. a Stredoslovenská Energetika a.s.

Ing. Viktor Otčenášek
Více než 20 let praxe v IT. Vytváří a provozuje bezpečnostní dohledové systémy. Prostřednictvím penetračních testů a incident handlingu zlepšuje svět. Považuje se za univerzála, který řeší problém tak dlouho dokud není vyřešen. Komunikuje, naslouchá potřebám a své zkušenosti pak promítá do řešení. Aktuálně pracuje na pozici Security Solution Architect ve společnosti AutoCont CZ a.s.

Nahoru

Role, strategie a taktiky v moderní kybernetické obraně
Ing. Lukáš Kypus; CyberGym Europe

Dnes již nikdo nepochybuje o tom, že kybernetický prostor se stal velmi účinnou zbraní - za útoky mohou stát státy a jejich silové složky. Profesionální kybernetické útoky mají strategické a taktické vedení stejně jako klasické války. Bohužel statistiky kybernetických útoků jednoznačně ukazují, že zatímco útočníci po několikaměsíční přípravě dokáží kompromitovat kybernetické prostředky svých obětí v řádu několika hodin, zákazníci mají povětšinou schopnost detekce těchto útoků ve svých infrastrukturách v řádu měsíců. To fakticky vypovídá o tom, že zákazníci zjistí útok až v okamžiku, kdy útočník naplní svůj cíl. Abychom dobře pochopili, jak se proti těmto útokům bránit, musíme dobře porozumět tomu, jak útočníci strategicky a takticky přemýšlí, abychom je dokázali včas detekovat. Každá včasná detekce je ovlivněna správným používáním bezpečnostních technologií a praktickou zkušeností s identifikací vzorců chování útočníků. V rámci prezentace bychom rádi představili praktický pohled na tuto problematiku reflektující zkušenosti z reálných prožitků kybernetických útoků.

Ing. Lukáš Kypus
Vystudoval obor telekomunikace na elektrotechnické fakultě VUT v Brně. Posledních 15let pracoval u IT integrátorů, implementoval bezpečnost síťových technologií v ICT projektech a řídil informační bezpečnosti jako ISR. Od informační bezpečnosti postupně přesunul svůj zájem k tréninkům obrany proti kybernetickým útokům. Nyní má na starosti přípravu a realizaci tréninků pro oblast kybernetické obrany. Pokračuje také v doktorském studiu na ČVUT v Praze.

Nahoru

Novinky ISACA
Ing. Lukáš Mikeska CISA, CRISC; EY

ISACA jako jedno z mála profesních sdružení věnuje dlouhodobě velké úsilí vlastnímu vývoji prostřednictvím IT Governance institutu a pravidelně publikuje publikace a články, pořádá školící kurzy a webináře. Mimo výzkum zaměřený na IT Governance ISACA sleduje, diskutuje a předvídá trendy také v mnoha dalších oblastech světa informačních technologií. V rámci přednášky se podíváme na dvě oblasti, které se stávají v poslední době středem mnoha diskusí – DevOps a Cyber Security, kde ISACA vytvořila novou znalostní platformu a programy profesního rozvoje pod názvem Cybersecurity Nexus (CSX).

Ing. Lukáš Mikeska CISA, CRISC
Vystudoval Vysokou školu ekonomickou v Praze, je členem výboru ISACA CRC. V současné době pracuje jako senior manažer ve společnosti EY v Praze a věnuje se IT poradenství pro finanční instituce. Je také členem redakční rady časopisu DSM – Data Security Management.

Nahoru