Program XV. konference IT Governance 2018

IT Governance „Blockchain & Security Trends“

I. den - 23. října 2018

13.00 - 17.00

TUTORIAL: Úvod do Blockchain technologie
Cristiano Paris; AIEA Milano

17.30 - 21.00

Neformální společenský večer


II. den - 24. října 2018

09.00 - 11.45

WORKSHOP: Zkušenosti s provozováním SOC
Ing. Richard Michálek, nezávislý konzultant; Ing. Tomáš Filip, NAKIT; Pavel Klimeš; Dušan Krása; Ing. Tomáš Přibyl, CORPUS; Ing. Michal Novák, O2 Czech Republic; Pavol Oetter, NOVARTIS

11:45 – 12:45 Oběd pro účastníky workshopu
12:30 – 13:00 Registrace
13:00 – 13:10 Slavnostní zahájení konference
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; prezident ISACA CRC
13.10 - 13.50

Security aspects of Blockchain
Cristiano Paris; AIEA Milano

13:50 – 14:00 Přestávka
14.00 - 14.45

Blockchain use cases in supply chain management
Ing. Mikuláš Zalai a Ing. Štefan Mačica; EY

14:45 – 14:55 Přestávka
14.55 - 15.40

Examples of real-life Blockchain projects
Michael Schramm; EY Austria

15:40 – 15:50 Přestávka
15.50 - 16.35

How could blockchain based security save lives?
Martin Baroš; Cryptelo

16:35 – 16:40 Přestávka
16.40 - 17.25

Potenciál a limity blokchainu z právního pohledu
Mgr. et Mgr. Ing. Jan Tomíšek; Rowan Legal

17:30 – 24:00 Společenský večer


III. den - 25. října 2018

09.00 - 09.45

Ready for our Future is Now in Security Operations
Yann Bouvier; Devoteam

09:45 – 09:50 Přestávka
09.50 - 10.30

Data Centric Security aneb změna v pojetí ochrany toho, na čem skutečně záleží
PhDr. Jiří Kaplický; KPMG Česká republika a Ing. Pavel Běhal; T-Mobile Czech Republic

10:30 – 10:45 Přestávka
10.45 - 11.20

Jak efektivně čelit soudobým kybernetickým útokům
Ing. Petr Hummel; Privacy Experts

11:20 – 11:30 Přestávka
11.30 - 13.00

Panelová diskuse: Role rizik v trendech Security
Moderátor Mgr. Tomáš Honzák, CISM; GoodData a jeho hosté

13:00 – 14:00 Oběd
14.00 - 14.45

Využití AI v detekci hrozeb
Mgr. Jaroslav Gergič, Ph.D.; CISCO SYSTEMS (Czech Republic)

14:45 – 14:50 Přestávka
14.50 - 15.30

Bezpečnost kritické infrastruktury
Doc. RNDr. Dana Procházková, Ph.D., DrSc.; ČVUT Fakulta dopravní

15:30 Ukončení konference

* Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 9 CPE hodin za účast na konferenci.

** ZMĚNA PROGRAMU VYHRAZENA.

Popis k přednáškám a přednášejícím

TUTORIAL: Úvod do Blockchain technologie
Cristiano Paris; AIEA Milano

The success of Bitcoin proves that the technology behind it, the Blockchain, is solid and mature. As such, the Blockchain is gaining a lot of attention from different industry sector, from finance to logistics. Central Banks and other public authorities like the European Commission are also investigating the topic and budgeting investments to develop the technology. Even if appealing, Blockchain technologies often appears obscure since the concepts behind it are rooted in a wide range of fields including cryptography, game theory and distributed systems. The aim of the workshop is to provide an intuitive explanation on how the Blockchain works in its essential elements. The workshop will then move in the field of smart contracts. It will also provide a guidance on how to evaluate the use of the Blockchain in the context of an organization as well as an overview of the current frontier in terms of scalability and privacy.

Cristiano Paris
Senior Market Infrastructure Expert in the Directorate General Market Infrastructure and Payments of the European Central Bank, specialising in Cyber Security and Cyber Resilience Topics. Previously, he spent 10 years in the Internal Audit Department of Banca d'Italia as an IT Auditor, focusing on Information Security and Risk Management activities. He is an expert in cryptography and co-author of a patent related to Digital Signatures that is applied to products used by the Italian Government and Public Administration. Since 2017 he is teaching technical workshops on Blockchain-related technologies, both at the introductory and advanced level. He is also teaching on Blockchain topics in the Master "Innovation & Cyber Law" of the Università degli Studi di Milano Bicocca.

Nahoru

WORKSHOP: Zkušenosti s provozováním SOC
Ing. Richard Michálek, nezávislý konzultant a jeho hosté: Ing. Tomáš Filip, NAKIT; Pavel Klimeš; Dušan Krása; Ing. Tomáš Přibyl; CORPUS; Ing. Michal Novák; O2 Czech Republic; Pavol Oetter, NOVARTIS

Nákup technologií a její implementace do prostředí organizace, které jsme se věnovali na loňském workshopu „Jak postavit SOC“, je prvním krokem k úspěšnému zvládání kybernetických bezpečnostních incidentů. Druhým neméně důležitým krokem je zajistit funkčnost SOCu v každodenní rutině. Provozní model SOCu může mít různé podoby, velkým dilematem bývá, zda provoz SOCu zajišťovat interními silami anebo dodavatelem jako službu.
Samotný provoz SOCu není jednoduchý a proto bude letošní Workshop zaměřen na zkušenosti s provozováním SOCu o které se s vámi podělí kvalifikovaní odborníci, kteří mají s provozováním SOCu mnohaleté zkušenosti z velkých organizací i z oblasti státní správy. Budete moci si vyslechnout jejich zkušenosti z pohledu interních pracovníků provozujících vlastní SOC, z pohledu interního pracovníka i z pohledu dodavatele provozujícího SOC jako službu. Dotkneme následujících témat z každodenního provozu i inovativních a pokročilých způsobů detekce kyberútoků které budeme dále interaktivně diskutovat:
• Radosti a strasti komerčních a státních SOCů
• Definování kvality SOC, aneb když dva řeší totéž, výsledek nemusí být tentýž …“.
• Použití situační analýzy k detekci potencionálních útoků
Cílem workshopu je sdílení dobrých zkušeností i objevování slepých uliček, které by vám mohli pomoci zlepšit provoz SOCu ve vaší organizaci anebo se inspirovat jak a kterým směrem pokročit dále.
Workshop je rovněž vhodný i pro ty, kteří SOC ještě nemají. Informace, které zde zazní, vám pomohou učinit rozhodnutí jaký model SOCu bude pro vaši organizaci nejvhodnější a umožní upřesnit zadání na jeho implementaci.

Richard Michálek
Vystudoval VVTŠ v Liptovském Mikuláši, je členem výboru ISACA CRC. Zaměřuje se na praktické výstupy systémů řízení bezpečnosti informací a zajištění kontinuity činností organizace a na použití bezpečnostních technologií. V současné době využívá své více než 20 leté zkušenosti z vedoucích a technických pozic jako nezávislý konzultant pro kybernetickou bezpečnost a oblast zajištění kontinuity činností organizace.

Nahoru

KONFERENCE:

Security aspects of Blockchain
Cristiano Paris; AIEA Milano

The success of Bitcoin proves that the technology behind it, the Blockchain, is solid and mature. As such, the Blockchain is gaining a lot of attention from different industry sector, from finance to logistics. Central Banks and other public authorities like the European Commission are also investigating the topic and budgeting investments to develop the technology. Even if appealing, Blockchain technologies often appears obscure since the concepts behind it are rooted in a wide range of fields including cryptography, game theory and distributed systems. The aim of the workshop is to provide an intuitive explanation on how the Blockchain works in its essential elements. The workshop will then move in the field of smart contracts. It will also provide a guidance on how to evaluate the use of the Blockchain in the context of an organization as well as an overview of the current frontier in terms of scalability and privacy.

Cristiano Paris
Senior Market Infrastructure Expert in the Directorate General Market Infrastructure and Payments of the European Central Bank, specialising in Cyber Security and Cyber Resilience Topics. Previously, he spent 10 years in the Internal Audit Department of Banca d'Italia as an IT Auditor, focusing on Information Security and Risk Management activities. He is an expert in cryptography and co-author of a patent related to Digital Signatures that is applied to products used by the Italian Government and Public Administration. Since 2017 he is teaching technical workshops on Blockchain-related technologies, both at the introductory and advanced level. He is also teaching on Blockchain topics in the Master "Innovation & Cyber Law" of the Università degli Studi di Milano Bicocca.

Nahoru

Blockchain use cases in supply chain management (LMi)
Ing. Mikuláš Zalai a Ing. Štefan Mačica; EY

Přednáška ukáže možné využití Blockchain technologie nad rámec „pouhých“ kryptoměn a detailněji představí koncept využití Blockchain pro zdokonalení řízení dodavatelsko odběratelského řetězce, včetně inovativního způsobu transparentního a bezpečného financování jednotlivých transakcí „Cashbot“. Součástí přednášky bude také živá ukázka prototypu tohoto řešení.

Mikuláš Zalai
Senior manažér na oddelení Advisory v EY Slovensko s viac ako 17 ročnými skúsenosťami v poskytovaní služieb poradenstva a auditu. Zameriava sa na audit a riadenie informačnej bezpečnosti a informačných technológií, IT governance a riadenie súladu, projektové riadenie a riadenie kvality, riadenie rizík a kontrolných mechanizmov ako aj na riadenie výkonnosti IT a biznis procesov. Mikuláš je držiteľ certifikátov CISA, CGEIT, CRISC, PRINCE2 a ITIL a viedol množstvo projektov pre klientov z rôznych odvetví v súkromnom a verejnom sektore. V súčasnosti sa aktívne venuje skúmaniu potenciálnych aplikácií využívajúcich technológiu blockchain a ich informačnej bezpečnosti.

Štefan Mačica
Senior konzultant na oddelení Advisory v EY Slovensko s viac ako 15 ročnými skúsenosťami s navrhovaním a prevádzkou IT a komunikačných riešení. Zameriava sa na Service management, kvalitu a dostupnosť služieb, jej meranie a zlepšovanie príslušných procesov. Štefan je držiteľ certifikátu ITIL a viedol množstvo projektov pre klientov z rôznych odvetví v súkromnom a verejnom sektore. V súčasnosti sa aktívne venuje skúmaniu potenciálnych aplikácií využívajúcich technológiu blockchain.

Nahoru

Examples of real-life Blockchain projects
Michael Schramm, EY Austria

Examples of real-life Blockchain projects
Blockchain is not anymore the „potential big next thing” which runs only on Powerpoint only. There are already real-life projects in the market. This session talks about projects developed by the EY Blockchain Competence Centre in Vienna, which are implemented on public and private Blockchains, like the City of Vienna, and others.

Michael Schramm
Michael is currently leading the Blockchain Competence Center for Germany/Switzerland/Austria at EY located in Vienna. He studied Computer Science at University of Technology in Vienna, worked for 12 years in Software Development projects, and spent 8 years in international management and business development esp. in the areas of Smarter Cities and Cloud Computing. He also founded a StartUp and is a strong supporter of the StartUp eco-system in Austria.

Nahoru

How could blockchain based security save lives? (A case study of Ján Kuciak)
Martin Baroš, Cryptelo

V rámci prezentace bude představen inovativní technologický a procesní koncept, který je v současnosti v hledáčku mediálních domů a neziskových organizací, které vytváří zázemí pro kvalitní investigativní žurnalistiku. Nabízí řešení, jak vytvořit bezpečné prostředí pro schraňování a práci s extrémně citlivými daty díky propojení kryptografických konceptů jako Shamirovo schéma, využití výhod blockchainu a správnému nastavení interních procesů.

Martin Baroš
Technologické znalosti v oboru získal během 14-ti letého působení v oblasti IT bezpečnosti a vývoji software. Je spoluzakladatelem a výkonným ředitelem společnosti Cryptelo, která vyvíjí špičková softwarová řešení využívající poznatky z oblasti moderní kryptografie zajištující bezpečnou komunikaci a práci s daty. Působil také jako vedoucí vývojového týmu pro jádro bankovního sytému AirBank, jako projektový manažer v Astra Systems či programátor v Accenture ČR.

Nahoru

Potenciál a limity blokchainu z právního pohledu
Mgr. et Mgr. Ing. Jan Tomíšek; Rowan Legal

Jen málo technologií má takový potenciál změnit různé obory lidské činnosti, jako blokchain. Jeho dopady se nevyhýbají ani oblasti práva. Technologie smart contracts umožňuje automatizovat jednoduché transakce, znamená to však, že právníky nahradí programátoři? Na druhou stranu se právo všemožnými způsoby pokouší blokchain regulovat – od prostých pravidel odpovědnosti, přes ochranu soukromí a osobních údajů, až po regulaci platebních služeb a finančních nástrojů. Dokáže se však právo s tak komplexním fenoménem a jeho decentralizovaností vyrovnat, nebo bude jeho reakcí vytěsnění blokchain u jako „anarchistické“ technologie na okraj společnosti? Cílem tohoto příspěvku je představit potenciál i limity blokchainu z pohledu právníka a otevřít diskuzi o možném dalším vývoji technologie i regulace.

Jan Tomíšek
Vystudoval fakultu informatiky Masarykovy univerzity, kde pokračuje ve studiu kybernetické bezpečnosti. Zároveň absolvoval Právnickou fakultu Masarykovy univerzity a pokračuje zde v doktorském studiu v oboru právo informačních technologií. Na Ekonomicko-správní fakultě Masarykovy absolvoval studium podnikové ekonomie management. V rámci týmu ROWAN LEGAL se věnuje zejména oblasti ochrany osobních údajů, kybernetické bezpečnosti a duševního vlastnictví. V těchto oblastech se specializuje na problematiku cloud computingu, softwarového práva, eHealth a transakcí v oblasti IT.

Nahoru

Ready for our Future is Now in Security Operations
Yann Bouvier, CISSP; Devoteam

Practical presentation how we are partnering with ServiceNow to help organisations identify, prioritize and respond to threats faster. Security Operations is a modern security orchestration, automation and response engine built on intelligent workflows with business context due to deep collaboration with IT and the entire Enterprise.

Yann Bouvier
He graduated from Computer Science at E.S.GI in Paris. He has over 15 years of experience in information security. He is currently employed as a cybersecurity manager in the consulting company Devoteam in Prague, which provides transformation programs, change management, technology expertise and cloud solutions integration for European clients. Prior to joining the consulting sector, he held several different positions in banking and telecom companies and as a consultant in various areas of industry. He has obtained CISSP certifications and he is currently the president of the CISSP Czech chapter.

Nahoru

Data Centric Security aneb změna v pojetí ochrany toho, na čem skutečně záleží
PhDr. Jiří Kaplický; KPMG Česká republika a Ing. Pavel Běhal; T-Mobile Czech Republic

Data jsou nejcennějším bohatstvím znalostní společnosti v 21. století. S tím jak postupuje toto uvědomění, vzrůstá i potřeba jejich ochrany. Pro jednu skupinu dat zavedla v tomto roce řada organizací i zcela novou roli - DPO (Data Protection Officer), nové procesy a současně i spousta organizací zjistila, jak obtížné je takové bohatství střežit. Pro ochranu dat a to nejen v kontextu osobních údajů a GDPR je nutné aplikovat tomu odpovídající koncepty zabezpečení. Tato přednáška ve své první části popíše tyto koncepty a přístupy k ochraně dat a to nejen ve vztahu ke GDPR. Ve druhé části pak budou prezentovány konkrétní zkušenosti z aplikace přístupu Data Centric Security v nadnárodní společnosti.

Jiří Kaplický 
Vystudoval FF UK v Praze. Kybernetickou bezpečností a systémovou integrací se zabývá na různých pozicích více než 15 let. V posledních letech působí především v rolích architekta, team lídra a v dalších manažerských rolích. Podílel se na implementacích několika SIEM/DLP řešení, řešení databázového monitoringu, dodávek řešení infrastruktury veřejného klíče, Fraud Detection a AML.

Pavel Běhal
Už skoro dvě desítky let se pohybuje v oblasti bezpečnosti informačních technologií, poslední dekádu pak řeší v různých podobách hrozby, zranitelnosti a opatření na ochranu informací v české pobočce Deutsche Telekom, v T-Mobile CR. Aktuálně působí na pozici manažera tzv. korporátní bezpečnosti, kde je jeho úkolem vést naplňování zákonných povinností při ochraně dat a služeb, udržování souladu se standardy, rozvíjení systémů a procesu řízení identit a přístupů, preventivní působení, monitorování stavu opatření a řešení incidentů.

Nahoru

Jak efektivně čelit soudobým kybernetickým útokům
Ing. Petr Hummel; Privacy Experts

Přednáška se bude zabývat přehledem dnešních technik kybernetických útoků a kybernetických skupin působící ve světě. Hlavní část přednášky se bude věnovat jednomu z nových možných směrů, jak lze přistupovat k ochraně před fatálními kybernetickými útoky. Představí se nové principy a na praktických ukázkách bude demonstrovat, jak lze účinnost takových ochran ověřovat.

Petr Hummel
Vystudoval elektrotechnickou fakultu na ČVUT. V oblasti projektování informačních systémů, sítí a bezpečnosti se pohybuje bezmála 20 let. Mimo jiné stál u architektury několika generací a provozu SOC center a ví, jak těžké je se vypořádávat s dennodenním návalem bezpečnostních událostí. V současné době se jako spoluzakladatel společnosti Privacy Experts s.r.o. věnuje zvyšování kybernetické odolnosti firem i novým zpracováváním a vytěžováním big data ve farmaceutickém výzkumu a bioinformatice s důrazem na dodržování privacy a etiky dat. Bez nadsázky říká, že vždy je nejdůležitější zachování zdravého rozumu a vyváženosti jak u technologií, tak i v používání standardů a norem.

Nahoru

Panelová diskuse: Role rizik v trendech bezpečnosti
Moderátor Mgr. Tomáš Honzák, CISM; GoodData a jeho hosté

Nosným tématem prezentací letošní konference je vedle moderních technologií poukázat na přesun pohledu na bezpečnost a řízení IT obecně co nejblíže k tomu nejdůležitějšímu: datům. Nastal čas promyslet: Jak přistupovat k ochraně dat a zavést účinné řízení na datové vrstvě bezpečnosti? Jak tyto nové trendy ovlivňují vlastní analýzu, ocenění a řízení rizik? Jak zabezpečit data, která už nejsou ukryta za bezpečnostními perimetry v chráněném prostoru? Bude se s rostoucí orientací bezpečnosti na konkrétní hodnotná data organizace měnit i pojetí řízení rizik? Vystačíme s formálním posouzením rizik prováděným v praxi po hříchu za účelem dosažení shody s požadavky norem ISO řady 27000? Jak bezpečnostní manažeři zjistí, která data jsou skutečně kritická z hlediska ochrany a kde se v systémech vyskytují? Jak zacílit opatření proti působení rizik identifikovaných nad kritickými daty v pohybu mimo zabezpečený prostor? Čeká nás v oblasti rizik evoluce, nebo máme očekávat revoluci zcela nových přístupů? Toto jsou některé z otázek pro hosty letošní panelové diskuse, jejímž cílem by mělo být především propojení témat a myšlenek z prezentací s praktickými zkušenostmi odborníků na řízení rizik z panelu i publika.

Tomáš Honzák
Dlouholeté zkušenosti v oblasti metodologie vývoje software, procesního řízení a řízení informační bezpečnosti získal v globálních společnostech. V současné době působí jako Chief Information Security Officer v česko-americkém startupu GoodData, kde vybudoval systém řízení informační bezpečnosti v souladu s požadavky ISO 27002:2013, certifikovaný SOC 2 a naplňující požadavky HIPAA a GDPR. Zaměřuje se především na hledání synergií mezi agilními metodikami vývoje a provozu IT a požadavky standardů řízení bezpečnosti a kvality. Je členem výboru české pobočky ISACA.

Nahoru

Využití AI v detekci hrozeb
Mgr. Jaroslav Gergič, Ph.D.; CISCO SYSTEMS (Czech Republic)

Umělá inteligence (AI) je téma, které hýbe mnoha obory, a stejně tak jsou s jejím nasazením spojená velká očekávání i v informační bezpečnosti. Jenomže aby AI přinášelo bezpečnosti skutečnou hodnotu, musí být neustále o krok napřed před útočníky. Spolupráce s armádou, úzké partnerství s vědci na univerzitách, celosvětový monitoring bezpečnostních hrozeb a cloudové technologie jsou jen některé z klíčových ingrediencí koktejlu, díky kterému může behaviorální analýza chování agentů v síti skutečně účinně detekovat a odhalovat nejen známé typy útoků, ale i pokročilé APT hrozby.

Jaroslav Gergič
Získal doktorský titul na Karlově Univerzitě v Praze v oboru softwarové systémy. Nyní pracuje na pozici v​edoucí R&D týmu Cognitive Intelligence ve společnosti CISCO SYSTEMS (Czech Republic). J​e zkušený manažer z rozsáhlými znalostmi a zkušenostmi s vývojem software, který působí v oboru informačních technologií již více než 20 let. V průběhu předchozí profesní kariéry pracoval mimo jiné v GoodData jako generální ředitel dceřinn​é společnosti GoodData Česká republika, ve společnosti Ariba (nyní součást SAP) nebo IBM Watson Research.

Nahoru

Bezpečnost kritické infrastruktury
doc. RNDr. Dana Procházková, Ph.D., DrSc.; ČVUT Fakulta dopravní

Přednáška zahrne odstavce: struktura infrastruktur patřících do KI; jevy působící selhání KI; dopady selhání KI na veřejná aktiva – příklady z oblasti kybernetické infrastruktury; základní funkce státu a požadavky na KI; požadavky EU na KI; zásadní problémy, které je třeba řešit při zajištění bezpečnosti KI (zajišťuje ochranu); odborné principy pro zajištění bezpečnosti (projektování, provoz); nástroje pro řízení bezpečnosti atd. Požádal jsem jí aby tam dala příklady o selhání taková, která jsou dostupná a příklady na kritická místa v infrastrukturách, popř. postup, jak se vyhledávají.

Dana Procházková
Vystudovala MFF UK; obor fyzika. Nyní pracuje na ČVUT, Fakulta dopravní v oboru bezpečnost, řízení rizik, řízení bezpečnosti a ochrana lidí, majetku a kritické infrastruktury. Odborná praxe – ČSAV; SÚJB; PA ČR, ČVUT. Je autorkou 21 monografií, cca 500 odborných článků a cca 300 příspěvků na konferencích. Řešitel projektů od r. 2000: ČR–18; EU-3: bezpečnost, řízení rizik, krizové řízení, bezpečnost kritické infrastruktury atd.

Nahoru