Program XIV. konference IT Governance 2017

IT Governance „Důvěra, soukromí & rizika“

I. den - 17. října 2017

13.00 - 17.00

TUTORIAL: GDPR a řízení rizik
Mgr. Jan Krob, CISA, CRISC; Mgr. et Mgr. Ing. Jan Tomíšek, ROWAN LEGAL; Ing. Radim Kolář, CRISC, CISM, nezávislý Data Privacy konzultant a GDPR manager

18.00 - 21.00

Neformální společenský večer

II. den - 18. října 2017

09.30 - 11.45

WORKSHOP: Jak postavit SOC
Ing. Luboš Klečka, CISA, CRISC, ISACA CRC; Petr Špiřík, PricewaterhouseCoopers; Ronald Lipták, Nationale Nederlanden; Martin Dvořák, Komerční banka; Jiří Slabý, Deloitte

11:45 – 12:45 Oběd pro účastníky workshopu
12:30 – 13:00 Registrace na konferenci
13:00 – 13:20 Slavnostní zahájení konference
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; prezident ISACA CRC
13.20 - 14.00

Trendy v oblasti kybernetických hrozeb
Doc. Dr. Ing. Petr Hanáček, Fakulta informačních technologií, VUT v Brně

14:00 – 14:05 Přestávka
14.05 - 14.45

Jak vlády posilují bezpečnost kryptomarketů
Ing. Pavol Lupták; Nethemba

14:45 – 15:00 Přestávka
15.00 - 15.45

Zavádění kultury bezpečnosti, která k organizaci "sedne"
Bjørn R. Watne BSc., MBA; Storebrand Group

15:45 – 16:00 Přestávka
16.00 - 16.45

Budování bezpečnostního povědomí a jeho testování sociálním inženýrstvím
Ing. Peter Dekýš, Ph.D., CISA, CISM; ESET

16:45 – 17:00 Přestávka
17.00 - 17.30

Digitální stopa
Ing. Aleš Padrta, Ph.D.; CESNET

18:00 – 24:00 Společenský večer

III. den - 19. října 2017

09.00 - 09.45

Interpretační pravidla pro řízení rizik podle GDPR
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; Per Partes Consulting

09:45 – 09:50 Přestávka
09.50 - 10.30


GDPR implementace: Realizace opatření v praxi

Ing. Tomáš Hettych, CISA, CRISC, CGEIT, CISM; Sanofi

10:30 – 10:45 Přestávka
10.45 - 11.20

Zkušenosti s implementací GDPR ve velké nemocnici
Ing. Jaroslav Burčík Ph.D.; ČVUT

11:20 – 11:30 Přestávka
11.30 - 13.00

Panelová diskuse: Účinnost GDPR a řízení rizik
Moderátor Mgr. Jan Krob, CISA a jeho hosté

13:00 – 14:00 Oběd
14.00 - 14.45

Anatomie kybernetického útoku a její vliv na budování účinné kybernetické obrany
Ing. Tomáš Přibyl; CORPUS Solutions

14:45 – 15:00 Přestávka
15.00 - 15.30

Anonymita a ochrana súkromia na internete
Ing. Maroš Barabas, Ph.D.; AEC

15:30 Ukončení konference

* Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 9 CPE hodin za účast na konferenci.
** ZMĚNA PROGRAMU VYHRAZENA.

Popis k přednáškám a přednášejícím

TUTORIAL: GDPR a řízení rizik

Mgr. Jan Krob, CISA, CRISC; Mgr. et Mgr. Ing. Jan Tomíšek, ROWAN LEGAL; Ing. Radim Kolář, CRISC, CISM, nezávislý Data Privacy konzultant a GDPR manager

GDPR je regulací, která skoro nikoho v business světě nenechává na pochybách, že ji bude muset řešit. Začneme od začátku, není třeba žádné předchozí znalosti o GDPR. Účastníci pochopí o čem vlastně GDPR je, jak se jich rámcově dotýká a jak se k této regulaci mohou postavit chytře tak, aby byli časově i nákladově efektivní při jejím řešení. Během prezentací a interakcí se seznámí s jednotlivými požadavky GDPR. Ukážeme, v jakých krocích lze GDPR řešit. Na praktických příkladech provedeme úvodní analýzu. Představíme právní, business i technologické pohledy a dáme prostor konkrétním dotazům v průběhu workshopu a následně v průběhu konference.

Jan Krob
Vystudoval MFF UK v Praze, je členem výboru ISACA CRC. Má široké znalosti a zkušenosti týkající se řízení projektů, informační bezpečnosti a IT strategie. Podílel se na mnoha komplexních IT projektech dodávaných zejména pro organizace ve finančním sektoru. Kromě toho má široké profesní zkušenosti v oblastech řízení IT, řízení IT zdrojů, krizového plánování, IT služeb a auditu informačních systémů. GDPR jako regulace s velkým a komplexním dopadem do businessu, bezpečnosti, dat a IT je pro něj v současnosti logicky tématem číslo jedna.

Nahoru

WORKSHOP: Jak postavit SOC
Ing. Luboš Klečka, CISA, CRISC; ISACA; Petr Špiřík, PricewaterhouseCoopers; Ronald Lipták, Nationale Niederlande; Martin Dvořák, Komerční banka; Jiří Slabý, Deloitte

Prezentace budou věnovány koncepčním rozhodnutím tvorby, realizace a rozvoji SOC. Kam směřuje jejich rozvoj, jak vypadá budoucnost a co vše zahrnuje. Budeme se věnovat problematice škálovatelnosti, integrace a zaměření. Soustředíme se převážně na řízení, integraci procesů, automatizaci, budování týmu a cestu od nuly k použitelnému Cyber Command Center, včetně kroků hodnocení zralosti a osobních zkušeností. Hlavním cílem je usilovat o interaktivní setkání, které by umožnilo diskusi, sdílení znalostí a porovnávání různých přístupů ze zkušeností, a současně představení aktivit, které vedou k úspěšné realizaci. Technická řešení jsou specifická pro specifické dodavatele, cílem není představit úplné a dokonalé technické řešení.

Luboš Klečka
Absolvent Vojenské akademie v Brně, se zaměřením na automatizované systémy řízení a velení. Dlouhodobě se zabýval problematikou bezpečnosti IT, působil jako bezpečnostní specialista v Komerční bance. Podílel se na vytvoření a rozvoji infrastruktury veřejných klíčů, řešil otázku bezpečnosti v rámci projektových aktivit. V současné době je zodpovědný za IT audit v České spořitelně. Od roku 1999 je držitelem titulu CISA (Certified Information System Auditor). Je členem výboru české pobočky ISACA.

Nahoru

KONFERENCE: Trendy v oblasti kybernetických hrozeb
Doc. Dr. Ing. Petr Hanáček, Fakulta informačních technologií, Vysoké učení technické v Brně

Svět přichází do situace, kdy se kybernetické útoky netýkají pouze malé části populace, která je v přímém kontaktu s výpočetní technikou, ale týkají se všech obyvatel. Rozsah kybernetické bezpečnosti jde od politiky po národní bezpečnost, od chytrých domů ke globálnímu ekonomickému systému. Řešíme výzvu - jak budeme schopni ubránit náš budoucí svět s drony, umělou inteligencí, sociálními sítěmi, autonomními automobily, chytrými městy a domy, a zařízeními IoT, které všechny byly navrženy především tak, aby fungovaly, ale ne aby se byly schopny bránit útokům. Tato přednáška nebude vyjmenováním a popisem nových hrozeb, ale bude vyprávět příběh o světech, které se nebyly schopny ochránit před kybernetickými hrozbami. Nebyly schopny ochránit svou energetickou infrastrukturu, nebyly schopny ochránit svůj bankovní systém, nebyly schopny ochránit počítačové nástroje každodenního používání.

Petr Hanáček
Je docentem na Fakultě informačních technologií VUT v Brně. Zabývá se více než dvacet let bezpečností informačních systémů, analýzou rizik, aplikovanou kryptografií, elektronickými platebními systémy, bezdrátovými sítěmi. Je nezávislý konzultant v této oblasti.

Nahoru

Jak vlády posilují bezpečnost kryptomarketů
Ing. Pavol Lupták, Ph.D.; Nethemba s.r.o.

První populární kryptomarket Silk Road byl unikátní, ale poměrně jednoduchý - jeden server bez decentralizace a bez jakékoliv podpory multi-sig či kryptoměn. Prezentace demonstruje jak vládní finanční diktatura přispívá k výraznému zlepšení zabezpečení kryptomarketů. Policejní a vládní intervence jsou hlavním hnacím motorem pro kryptomarkety, které reagují zlepšením své celkové bezpečnosti, aby přežili a udržely svou činnost v provozu. Nová generace kryptomarketů používá technologii multi-sig, která prostřednictvím anonymizačných sítí I2P a Tor, zabraňuje vládám zabavit uživatelské vklady. Jsou plně decentralizované a proto je prakticky nemožné vypnout je vládními agenturami. Nové anonymní kryptoměny (Monero, Zcash) jsou připraveny k přijetí kryptomarkety bez možnosti odhalení transakční historie. Nejslabší bod představují výměny kryptoměn, které mohou vlády regulovat a vypínat. Ty mohou být posíleny použitím decentralizovaných krypto-směnáren.

Pavol Lupták
Vystudoval FEI-STU v Bratislavě a FEL-ČVUT v Praze obor informatika s diplomovou prací zaměřenou na ultra-bezpečné systémy. Je držitelem prestižních bezpečnostních certifikaci CISSP a CEH, vede slovenskou OWASP pobočku. Je zakladatelem společnosti Nethemba, spoluzakladatelem Hacktrophy a také spoluzakladatelem organizací Progressbar a SOIT, kde vede sekci pro IT bezpečnost. V minulosti demonstroval možnost zneužití SMS jízdenek ve všech velkých městech Evropy, spolu s kolegou Szeteiem demonstroval masivní prolomení čipových karet Mifare Classic.

Má mnohaleté zkušenosti v oblasti IT bezpečnosti, penetračního testování a tvorby nejrůznějších bezpečnostních auditů včetně sociálního inženýrství či forenzní analýzy. Je spoluautor testovací příručky OWASP Testing Guide v3, detailně ovládá OSSTMM, ISO17799/27001, má dlouholeté zkušenosti s manuálním vyhledáváním zranitelností a různými bezpečnostními nástroji. Věnuje se také VoIP a výzkumu v oblasti IT bezpečnosti.
Nahoru

Zavádění kultury bezpečnosti, která k organizaci "sedne"
Bjørn R. Watne BSc., MBA; Storebrand Group

Přednáška se zaměřuje na klíčové akce, které je třeba podniknout pro sladění kultury bezpečnosti se zájmy představenstva, managementu a všech v organizaci. Diskutovaná témata zahrnují případovou studii o akcích uskutečněných ve skupině Storebrand - finanční společnosti působící v Norsku a ve Švédsku; Hypotézy vs. "skutečný svět" s doplněním ponaučení a lekcí z praxe.

Bjørn R. Watne
Vystudoval Computer Science na Agder University v Norsku a MBA získal na ESCP v Paříži. Má více než 15 let zkušeností v oblasti informační bezpečnosti. Momentálně je zaměstnán jako CISO ve Storebrand Group, která poskytuje bankovní a pojišťovací služby na skandinávském trhu. Před tím, než začal působit ve finančním sektoru, zastával několik různých pozic v telekom společnostech a také jako konzultant v různých oblastech průmyslu. Získal certifikace CISSP, ISSMP, CISM, CRISC a CGEIT. V současnosti je prezidentem ISACA Norway chapteru.

Nahoru

Bezpečnostné povedomie a sociálne inžinierstvo v podnikovom prostředí
Ing. Peter Dekýš, Ph.D., CISA, CISM; ESET

Cieľom príspevku je podeliť sa so skúsenosťami s budovaním bezpečnostného povedomia u zamestnancov v podnikovom prostredí a s jeho testovaním formou sociálneho inžinierstva. Práve projekty testovania sociálnym inžinierstvom sa ukazujú ako jedna z najlepších ciest zvyšovania bezpečnostného povedomia. Poslucháči získajú praktické poznatky z našich projektov a takisto budú mať možnosť si vypočuť viac o realizácii zaujímavých scenárov sociálneho inžinierstva.

Peter Dekýš
Pracuje jako konzultant a riaditeľ ESET Services, ESET spol. s r.o. Bratislava. Štúdium ukončil na Elektrotechnickej fakulte na Slovenskej technickej univerzite v Bratislave. Neskôr pracoval ako pedagóg na STU Bratislava a následne vo viacerých spoločnostiach, kde sa venoval informačnej bezpečnosti, počítačovým sieťam a ďalším riešeniam informačných technológií. Od roku 2009 v ESET riadi služby informačnej bezpečnosti pre externých zákazníkov, internej bezpečnosti a ako konzultant sa podieľa na vybraných auditoch a konzultačných projektoch riadenia informačnej bezpečnosti. V poslednej dobe sa venoval rozbehu služieb Threat Intelligence v ESET.

Nahoru

Digitální stopa
Ing. Aleš Padrta, Ph.D.; CESNET

Prezentace se bude věnovat problematice digitální stopy. Představeny budou jak technické, tak právní aspekty, které souvisejí se vznikem, udržováním a předáváním digitální stop v případ interakce uživatele a světa ICT. Pozornost bude také věnována "dobrovolnému" předávání informací o uživatelích na straně jedné a snahám o ochranu těchto uživatelů prostředky práva (např. GDPR aj.).

Aleš Padrta
Po absolování magisterského a doktorského studia na Fakultě aplikovaných věd Západočeské univerzity (ZČU) začal v roce 2005 pracovat pro Centrum informatizace a výpočetní techniky jako administrátor počítačových systémů se zaměřením na bezpečnost. Od roku 2006 je zakládajícím členem bezpečnostního týmu typu CSIRT pro ZČU. Dále, od roku 2007 pracuje pro sdružení CESNET, z. s. p. o. se zaměřením na vzdělávání uživatelů v oblasti bezpečnosti a od roku 2011 přibývá také práce na projektu forenzní laboratoře FLAB a analytická činnost. V roce 2014 mu bylo svěřeno vedení této laboratoře.

Nahoru

Interpretační pravidla pro řízení rizik podle GDPR
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; Per Partes Consulting

Očekává se, že konkrétní interpretační pravidla pro analýzu rizik z hlediska práv a svobod subjektů údajů podle GDRP nastaví až v praxi judikáty evropských soudů. Soudy se v takových případech obrací na odborníky, soudní znalce, aby posoudili správnost a přiměřenost provedené rizikové analýzy a opatření, která z ní vyplynula. Přitom nepůjde jen o výklad v místě a čase obvyklého nastavení rizikového apetitu z perspektivy subjektu údajů, ale i o posouzení správnosti práce s riziky. Příspěvek poukáže na klíčové interpretační problémy, vhodné přístupy k jejich řešení podle mezinárodních standardů, v čele s COBIT 5 for Risk, a praktická doporučení, čeho se vyvarovat a co nikdy neopomenout pečlivě v rámci řízení rizik provést.

Petr Hujňák
Je ředitelem společnosti Per Partes Consulting soustředěné na ICT poradenství. K jeho odborným zájmům patří umělá inteligence a Complexity Science. Je soudním znalcem v oborech ekonomika, kybernetika a výpočetní technika, certifikovaným projektovým ředitelem IPMA (Level A CPD), certifikovaným projektovým manažerem na oblast projektové kvality (ISO 10006), certifikovaným odborníkem ISACA na řízení podnikové informatiky (CGEIT) a řízení rizik a IT kontrol (CRISC). Dlouhou dobu působil jako vedoucí partner divize Consulting ve společnosti Ernst&Young. Je členem Komory soudních znalců, SPŘ, ČSSI, IASA, výboru konference Data a znalosti, prezidentem ISACA Česká republika a předsedou konference IT Governance.

Nahoru

GDPR implementace: Realizace opatření v praxi

Ing. Tomáš Hettych, CISA, CRISC, CGEIT, CISM; Sanofi

Praktická implementácia GDPR v lokálnych pobočkách globálnej farmaceutickej firmy. Spojenie dvoch rôznych národných legislatív – Česka a Slovenska do jedného spoločného európskeho rámca. GDPR určite zmení firemné procesy a pohľad na údaje, nielen na osobné. Je to pre nás implementácia opatrení hrozba, alebo výzva?

Tomáš Hettych
Absolvent Fakulty elektrotechniky a informatiky STU v Bratislave, odbor Automatizované systémy riadenia. Aktuálne pôsobí ako Data Privacy Officer a Business Continuity Manager českej a slovenskej pobočky nadnárodnej farmaceutickej skupiny Sanofi (Zentiva). Predtým pôsobil ako vedúci IT oddelenia a Security Officer. Svoju profesionálnu kariéru začal ako Projektový manažér a neskôr IT riaditeľ v personálnej agentúre. Jeho špecializáciou je Business Continuity, Ochrana osobných údajov, riadenie IT služieb, informačná a fyzická bezpečnosť a IT nákup. Riadil lokálne aj medzinárodné IT a ITSM projekty, implementácie ERP a BI riešení. Je držiteľom viacerých medzinárodných certifikátov, vrátane: ITIL v3 Expert, M_o_R Practitioner, CISA, CISM, CGEIT, CRISC, ISO/IEC 20000 Auditor, Prince2. Je členom Rady Isaca Slovensko, zodpovedným za podujatia, marketing a komunikáciu. Tiež je zakladajúcim členom a predsedom slovenskej pobočky itSMF.

Nahoru

Zkušenosti s implementací GDPR ve velké nemocnici
Ing. Jaroslav Burčík, Ph.D.; ČVUT

Přednáška se věnuje implementaci Obecného nařízení EU o ochraně osobních údajů (GDPR) v prostředí velkého lékařského zařízení. Představí techniky a nástroje, které byly využity pro implementaci GDPR a jejich provázání s požadavky zákona o kybernetické bezpečnosti.

Jaroslav Burčík
Jaroslav Burčík vystudoval mikroelektroniku na Fakultě elektrotechnické ČVUT v Praze (ČVUT). Později zde získal titul Ph.D. v oboru telekomunikační technika. Od roku 2008 pracuje na různých vedoucích pozicích. Získal řadu zkušeností jako zakladatel a ředitel Centra pro spolupráci s průmyslem a následně Inovacentra - hlavním subjektem pro transfer technologií na ČVUT (2008 - 2015). Má bohaté zkušenosti s mezinárodní spoluprací jak s podniky, tak s neziskovými sektory. V současné době buduje ITU centrum excelence pro kybernetickou bezpečnost a motivuje studenty středních škol ke studiu inženýrských oborů.

Nahoru

Panelová diskuse: Účinnost GDPR a řízení rizik
Moderátor Mgr. Jan Krob, CISA, CRISC a jeho hosté

GDPR je jedno z velkých témat nejen této konference. Po všech předchozích prezentacích, tutoriálu, ale také květnovému ISACA večeru, věnujeme panelovou diskusi dotazům a tématům mapující aktuální stav naší připravenosti na GDPR den D v květnu 2018.

Nahoru

Anatomie kybernetického útoku a její vliv na budování účinné kybernetické obrany
Ing. Tomáš Přibyl; CORPUS Solutions

V rámci přednášky bude vysvětlena podstata úspěšného pronikání moderních hrozeb (tzv. APT) bezpečnostními systémy zákazníků. Budou podrobně vysvětleny jednotlivé fáze kybernetického útoku a uvedeny příklady častých chyb z praxe, které dokumentují skutečnost, že zákazníci nepracují se znalostí anatomie kybernetického útoku. Prezentace ukáže posluchačům komplexní pohled na budování účinných bezpečnostních opatření (technologie, procesy, dovednosti lidí). Tento pohled na budování obrany je podřízen účinné detekci a zvládání kybernetických incidentů v kontextu celkové vyspělosti zákazníka. V prezentaci se opíráme o naše praktické znalosti anatomie kybernetického útoku a zkušenosti z provozu významných SOC.

Tomáš Přibyl
Absolvoval elektrotechnickou fakultu ČVUT Praha obor technická kybernetika. V oblasti kybernetické bezpečnosti se pohybuje již od roku 1996. Je zakladatelem, spolumajitelem a ředitelem společnosti Corpus Solutions, a.s. Ve své práci aktivně propaguje potřebnost změny přístupu zákazníků k řešení kybernetických rizik. Společně s nimi hledá cestu k zaintegrování kybernetické bezpečnosti jako nedílné součásti jejich firemní kultury. Ve své práci klade velký důraz na vzdělávání a praktický trénink dovedností spojených s detekcí a zvládáním kybernetických incidentů. Je předsedou výboru sdružení EuCybSec, které je odbornou platformou pro sdílení nejnovějších poznatků v oblasti kybernetické bezpečnosti.

Nahoru

Anonymita a ochrana súkromia na internete
Ing. Maroš Barabas, Ph.D.; AEC

Pri pripojení na web si často myslíme, že sme anonymní, dôverujeme stránkam, ktoré navštívime a veríme, že naše súkromie je v bezpečí. Čo všetko ale navštívené stránky o nás zisťujú, zbierajú a odhaľujú? Pravda môže spôsobiť, že sa na webe budeme cítiť nahí. Dnešné technológie o nás môžu prezradiť viac, ako sami o sebe vieme. Aké riziká to vytvára, aká je úroveň našej dôvery a čo z nášho súkromia ostáva skryté? Ako ovplyvní zber týchto informácií príchod GDPR?

Maroš Barabas
Vedie divíziu bezpečnostných technológií v spoločnosti AEC a pracuje ako výskumný pracovník na Fakultě informačních technologií Vysokého učení technického v Brně, kde získal Ph.D. v oblasti behaviorálnej bezpečnosti v IT. Maroš má viac ako 10 rokov skúseností v oblasti IT bezpečnosti, ktorá zahŕňa etický hacking, vedenie tímu IT bezpečnostných špecialistov so zameraním na bezpečnostné technológie, definovanie bezpečnostných požiadaviek, a návrh a audit bezpečnostných aspektov rôznych prostredí a architektúr. V rámci posledných rokov sa hlavne zameriava na pokročilé bezpečnostné technológie.

Nahoru