Každá firma chce být úspěšná. Úspěšná bude tehdy, když dosáhne svých cílů. Aby svých cílů dosáhla, musí definovat strategii, která ukáže cestu a vymezí mantinely. To, že všichni jdou po vymezené cestě, zajišťuje GOVERNANCE. Governance je systém pravidel a opatření, která nastaví dílčí cíle, sledují jejich plnění a poskytují zpětnou vazbu. To nám umožní buď korigovat naši cestu nebo způsob, jak po ní jdeme. K tomu jsou potřeba informace. A tady se dostáváme ke COBITu. COBIT je rámec, který pomáhá zajistit efektivní řízení firemních informací a technologií (I&T), které je poskytují a spravují. V rámci tohoto tutoriálu se podíváme co to COBIT (ve verzi 2019) je, z čeho se skládá a jakým způsobem je možné na jeho základě vytvořit governance systém ve firmě.

Martin Vitouš
Většinu své profesní dráhy strávil jako zaměstnanec nadnárodních společností na různých pozicích (od technických až po manažerské) v různých zemích všech kontinentů. V současné době působí jako konzultant, lektor a mentor v oblasti strategického, projektového, procesního, osobního a IT řízení. Pomáhá firmám řešit jejich problémy a využívat příležitosti poskytnutím zkušeností získaných za 30 let v IT, znalostí různých rámců a metodik jako například COBIT, ITIL, PRINCE2, Agile, DevOps apod. a nástrojů, které k tomu potřebují.
Nahoru

Table-top cvičení představují vhodný nástroj pro navyšování povědomí v oblasti kybernetické bezpečnosti, a to zejména (ale ne pouze) u pracovníků působících na strategické úrovni. Podobné cvičení již v minulosti pracovníci NÚKIB připravili například pro energetický sektor v ČR, Kurz Generálního štábu ČR, americký Kongres nebo U.S. Cyber Command.

Workshop umožní účastníkům projít krizovou situací, která se odehrává, či má původ, v kyberprostoru, přičemž připravený scénář bude vycházet z reálných útoků a incidentů.

Hlavním cílem je odpoutat pozornost od čistě technického vnímání řešení kybernetických incidentů, a naopak poukázat na nutnost jejich komplexního vnímání a kontextu realizace. Bez znalosti širšího kontextu je velmi těžké chránit kybernetický prostor. Scénář cvičení tak bude kombinovat nejrůznější vektory útoků, které jsou provázané, v čase eskalují a svým dopadem často přesahují do roviny strategické, politické, ekonomické, mediální, právní a dalších.

Mezi další cíle table-top cvičení patří:
• Procvičit rozhodovací procesy během krizové situace, s nedostatkem informací a v časovém
tlaku.
• Poukázat na význam mediální komunikace v kontextu kybernetického bezpečnostního incidentu a koordinaci této komunikace s partnery.
• Zprostředkovat porozumění dopadům kybernetických útoků majících za následek nefunkčnost klíčových informačních a komunikačních systémů.
• Seznámit se s pohledy rozličných subjektů na řešení kybernetického bezpečnostního incidentu a pochopit řešení problému z různých perspektiv.
• Upozornit na dopady v případě ztráty důvěry v informační a komunikační systémy.
• Poukázat na možné důsledky kompromitace dat útočníkem.
• Cílem cvičení primárně není posuzovat odpovědi na základě jejich (ne)správnosti.
K účasti na table-top cvičení nejsou nutné hlubší technické znalosti v oblasti ICT či kybernetické bezpečnosti. Cvičení je koncipováno jako netechnické, s důrazem na rozhodovací procesy.

Pavlína Jedličková
Absolventka Pedagogické fakulty Masarykovy univerzity v Brně. Od roku 2018 pracuje na Národním úřadu pro kybernetickou a informační bezpečnost, kde v roce 2015 začínala jako stážistka. V začátcích svého působení na NÚKIB začínala jako referentka vzdělávání se zaměřením na základní školy. Nyní působí na oddělení cvičení, kde se věnuje přípravě a realizaci kybernetických cvičení.
Petr Novotný
Absolvent Fakulty sociálních studií Masarykovy univerzity v oboru Bezpečnostní a strategická studia. Pracuje na Národním úřadě pro kybernetickou a informační bezpečnost jako člen oddělení cvičení. Hlavní náplní jeho práce je příprava a vedení cvičení v oblasti kybernetické bezpečnosti. Podílí se také na tvorbě jejich scénářů a vyhodnocování. V rámci své agendy se rovněž věnuje vzdělávání zaměstnanců ve veřejném sektoru prostřednictvím workshopů a interaktivních seminářů.
Nahoru

Příspěvek se zaměří na praktickou využitelnost nových myšlenek objevujících se v inovovaných metodických rámcích s primárním zaměřením na COBIT 2019 a ITIL 4. Bude diskutována preskriptivnost klasických metodických přístupů v kontrastu na agilní přístupy a možnosti jejich rozumné kombinace v praxi.

Petr Hujňák
Dlouhodobě se zabývá metodickými přístupy v informatice a jejich aplikací v praxi. Je soudním znalcem na informatiku ve třech oborech, certifikovaným projektovým ředitelem IPMA (Level A), certifikovaným projektovým manažerem na oblast projektové kvality (ISO 10006), certifikovaným odborníkem ISACA na řízení podnikové informatiky (CGEIT) a řízení rizik a IT kontrol (CRISC). Dlouhou dobu působil jako vedoucí partner divize Consulting ve společnosti Ernst&Young. Dnes působí jako CEO společnosti Per Partes Consulting soustředěné na nezávislé ICT poradenství, je prezidentem ISACA Česká republika a předsedou konference IT Governance.
Nahoru

Prezentace se bude věnovat srovnání typických implementačních přístupů pro implementaci tzv. „On Premise“ informačních systémů a tzv. „Cloud“ resp. „SaaS - Software as service“. Zaměříme se na klíčové faktory úspěchu jak v rámci přípravy zadání projektu a přípravy organizace před samotným projektem přechodu na „Cloud“, tak i kritické faktory úspěchu a rizika samotné realizace.

Petr Böhm
Studoval na ČVUT a na B.I.B.S. v Brně - program MBA for Senior Executives. Získal mnoho
profesních certifikací CISA, PRINCE2, PRINCE2 Agile, PMI-PMP, AgilePM apod. Nyní zastává roli Senior Project managera ve společnosti ORACLE Czech. Během své kariéry pracoval mimo jiné také jako Change manager a vedoucí týmu IS Security a podílel se na tvorbě metodiky analýzy rizik pro Národní bezpečnostní úřad. Má více jak 20 let zkušeností v oblasti implementací ERP (SAP, Oracle) včetně Cloud HCM, dále s poradenstvím v oblasti procesního řízení, řízením organizačních změn, definici strategie IT atd. Je členem komory projektových manažerů a ISACA.
Nahoru

Správné a efektivní řízení konfigurací významně snižuje rizika spojená se správou IT. Dynamické prostředí cloudových služeb, které umožňují pružné škálování, tedy nasazování nových aktiv i jejich vyřazování bez zásahu operátora, s sebou přineslo nutnost fundamentální změny implementace řízení konfigurací. Společně se zaváděním agilních metodik, především DevOps přístupu, se ujalo jako standardní přístup řízení infrastruktury jako zdrojového kódu. V přednášce si vysvětlíme, jak tento přístup naplňuje požadavky konfiguračního managementu, v čem spočívají jeho hlavní výhody a rizika a představíme si některé další oblasti, kde se konfigurace jako kód dá úspěšně využít.

Tomáš Honzák
Dlouholeté zkušenosti v oblasti metodologie vývoje software, procesního řízení a řízení informační bezpečnosti získal v globálních společnostech. V současné době působí jako Chief Information Security Officer v česko-americkém startupu GoodData, kde vybudoval systém řízení informační bezpečnosti v souladu s požadavky ISO 27002:2013, certifikovaný SOC 2 a naplňující požadavky HIPAA a GDPR. Zaměřuje se na hledání synergií mezi agilními metodikami vývoje a provozu IT a požadavky standardů řízení bezpečnosti a kvality. Je členem výboru české pobočky ISACA a držitelem certifikace CISM.
Nahoru

Mnoho organizací staví CERTy a CSIRTy nebo využívaá služeb SOCu, ipmplementuje technologii, detekuje, vyhodnocuje a řídí kybernetické bezpečnostní incidenty. Brání organizaci a honí hackery. Kdo však řekl, že právě to co řeší jsou bezpečnostní incidenty skutečně ohrožující organizaci? Byla ohrožena informační bezpečnost, IT nebo dodavatel SIEMu? Vskutku se organizace brání před incidenty, které ji ohrožují anebo se jen honí za fantomy? Z praxe mé vlastní i z praxe mnoha SOC poskytujících služby zákazníkům vyplývá, že určit co je skutečným bezpečnostním incidentem není snadné. Tato přednáška Vám pomůže přehodnotit přístup k bezpečnostním incidentům, definovat skutečné bezpečnostní incidenty a připravit zadání jak tyto incidenty poznat, vyhodnotit a jak je zvládat.

Richard Michálek
Vystudoval VVTŠ v Liptovském Mikuláši, je členem výboru ISACA CRC. Zaměřuje se na praktické výstupy systémů řízení bezpečnosti informací a zajištění kontinuity činností organizace a na použití bezpečnostních technologií. V současné době využívá své více než dvacetileté zkušenosti z vedoucích a technických pozic jako nezávislý konzultant pro kybernetickou bezpečnost a oblast zajištění kontinuity činností organizace.
Nahoru

Během vyhodnocení budou odhaleny reálné incidenty a útoky, kterými se scénář cvičení inspiroval. Rovněž dojde k vyhodnocení odpovědí cvičících ve světle jak pozitivních, tak také negativních historických příkladů a zkušeností pracovníků NÚKIB. Odpovědi přitom nebudou primárně hodnoceny na ose dobré/špatné, ale právě například ve světle historických událostí či jejich časové a vnitřní konzistentnosti. Součástí vyhodnocení bude nakonec i sdílení doporučení, dobré praxe a tzv. „lessons learned“ ze strany NÚKIB.

Pavlína Jedličková
Absolventka Pedagogické fakulty Masarykovy univerzity v Brně. Od roku 2018 pracuje na Národním úřadu pro kybernetickou a informační bezpečnost, kde v roce 2015 začínala jako stážistka. V začátcích svého působení na NÚKIB začínala jako referentka vzdělávání se zaměřením na základní školy. Nyní působí na oddělení cvičení, kde se věnuje přípravě a realizaci kybernetických cvičení.
Petr Novotný
Absolvent Fakulty sociálních studií Masarykovy univerzity v oboru Bezpečnostní a strategická studia. Pracuje na Národním úřadě pro kybernetickou a informační bezpečnost jako člen oddělení cvičení. Hlavní náplní jeho práce je příprava a vedení cvičení v oblasti kybernetické bezpečnosti. Podílí se také na tvorbě jejich scénářů a vyhodnocování. V rámci své agendy se rovněž věnuje vzdělávání zaměstnanců ve veřejném sektoru prostřednictvím workshopů a interaktivních seminářů.
Nahoru

Pozrieme sa na pokročilých útočníkov, ich nástroje, techniky a metódy, ktoré používajú pri cielených útokoch. Medzi ich obete patria rovnako vládne inštitúcie a významné spoločnosti, ako aj zaujímaví jednotlivci. Keďže útočník si môže vybrať formu útoku podľa vlastného uváženia a schopností, uvidíme ich celé spektrum -- od jednoduchého phishingu až po komplikovné supply-chain útoky a zero-day zraniteľnosti.

Peter Košinár
Pracuje v spoločnosti ESET viac ako desaťročie, je kľúčovým developerom v tíme zastrešujúcom technológiu detekcie a taktiež popredným výskumníkom. V súčasnosti sa zaoberá predovšetkým investigatívou kybernetických útokov – vrátane kryptoanalýzy, neštandardnými vektormi útokmi či cielenými útokmi. Taktiež pomáha pri odhaľovaní páchateľov kybernetických zločinov, na čom spolupracuje aj s vyšetrovacími orgánmi. O IT bezpečnosti a analýze malvéru často prednáša vysokoškolským aj stredoškolským študentom. Pred ESETom pôsobil niekoľko rokov ako nezávislý výskumník v oblasti počítačovej bezpečnosti.
Nahoru

Z pohledu řízení bezpečnosti ve vývoji software představuje rychlost a agilita DevOps týmů značnou výzvu. Integrace automatizovaných nástrojů do vývoje zkrátila vývojový cyklus a manuální procesy již nedokáží udržet krok s frekvencí změn. Odpovědí na tuto výzvu je automatizace bezpečnostního testování do vývojové pipeline a přenesení části odpovědnosti na vývojové týmy. Zaměříme se na výběr vhodných automatizovaných nástrojů, způsoby jejich použití a přínosy pro organizaci. Také se podíváme na procesy, které je potřeba vytvořit, aby automatizace byla efektivní.

Josef Krýcha
Je specialista bezpečnosti ve společnosti AEC a zaměřuje se na řízení bezpečnosti ve vývoji aplikací. V posledních pěti letech spolupracoval s řadou vývojových týmů adaptujících DevOps a DevSecOps a nasbíral cenné zkušenosti z jejich úspěchů i nevyhnutelných nezdarů. V současné době se věnuje zejména vývoji metodiky pro bezpečný vývoj aplikací a školením vývojových týmů.
Nahoru

Agilní prostředí s filosofií “selhávej často, ale brzy” a s důrazem na interakci, fungující software, spolupráci s klienty a reakci na změny (namísto procesů, dokumentace, vyjednávání a plánování) zvyšuje efektivitu práce a zapojení vývojářů do celého životního cyklu software, ale co když na agilně fungující společnost dopadne povinnost prokazovat shodu s přísnými regulacemi finančního světa? V případové studii popíše Ing. David Doležal, Security Officer ve společnosti Zonky, cestu, kterou se Zonky dostalo od “neřízeného” agile do firmy, která prochází všemi audity, a přitom si uchovala maximum flexibility, inovací a efektivity, které agilní metodiky přináší.

David Doležal
Zkušenosti s bezpečností začal sbírat již na Vojenské Akademii, tehdy schováno pod názvy předmětů "spolehlivost systémů, přenos informací" a podobně. Po získání ostruh jako Ředitel bezpečnosti PPF Banky okusil agile prostředí startupu GoodData jako security architekt. Po malé zastávce ve zdravotnictví (Novartis, security manager) nyní zkušenosti z obou pólů světa (striktně regulovaná banka VS startup) zužitkovává v Zonky jako security manager.
Nahoru

Žijeme již druhý rok ve světe s GDPR a stále některé oblasti zůstávají nevyjasněné, resp. různě interpretované. Právě vztahy a spolupráce mezi Správci, Zpracovateli a Příjemci jsou jednou z těchto oblastí. V panelu zasednou reprezentanti businessu, práva, bezpečnosti i IT.