Program odborné konference IT Governance - 2013

Jakkoliv se zdá, že řízení rizik je zaběhnutou disciplínou, nejednoznačnost metodických přístupů a standardů k řízení rizik a jejich nevhodné míchání je podle našich zjištění zdrojem omylů a chyb v praxi. Uznávané standardy jsou postaveny na rozdílných zásadách a používají také rozdílné pojmy pro vyjádření analogických věcí. Ke shodě nedochází ani nad samotným pojmem rizika.
Rizikem je nejistá událost nebo podmínka, která pokud nastane, má negativní vliv na dosažení cíle. Může mít riziko i pozitivní vliv, nebo pak mluvíme o příležitosti? Jsou rizika a příležitosti vztahovány ve všech metodikách k cílům? Je správné formulovat riziko jako nejistou událost či jako dopad nejisté události? Je dobrou praxí alokovat rizika k aktivům a cílům řízení aktiv? K čemu slouží rizikový scénář a jak se liší od vlastního rizika? Proč se některé metodiky řízení rizik vyhýbají samotnému pojmu rizika a pracují raději výhradně s rizikovým scénářem?
Klíčovou charakteristikou rizika/příležitosti je to, že se při něm vždy vyžaduje rozhodnutí/výběr, jak se s nejistotami ve scénáři vypořádat. Rizikový apetit vyjadřuje chuť riskovat a je to míra/úroveň akceptovatelnosti rizik. Která či které zainteresované strany stanovují rizikový apetit a kdo určuje, kam až je správné ošetřit konkrétní riziko? Není příležitostí snížit míru ošetření některých rizik? Jen v teorii si můžeme dát předpoklad, že rizika nemají vzájemné souvislosti. Proč dochází (nevědomky) k zásadnímu zvýšení rizikového apetitu vedoucímu ke krizi, aniž by to manažeři vůbec zaregistrovali? Moderní pojetí řízení rizik a/nebo příležitostí nezůstává (v teorii ani praxi) na úrovni individuálně pojatého řízení jednotlivých izolovaných rizik, ale na profilaci rizik do celku a řízené predikci jejich průběhu v toku času. Propojená rizika vytvářejí příčinné podmínky pro uplatnění agregovaného rizika. Řídit vazby agregovaných sekundárních rizik na primární rizika (jak vyžaduje např. ISO 31000) nás nutí aplikovat zcela nový pohled na řízení rizik.
Workshop bude zaměřen na poukazování zásadních odlišností pocházejících od desítky metodických standardů k řízení rizik a příležitostí využívaných v různých oborech, na diskuzi a hledání smyslu těchto odlišností a na aplikovatelnost přístupů standardů pro praktické použití. Současně bude poukazováno na nejčastější chyby a omyly řízení rizik s důrazem na agregaci vzájemně propojených rizik. Jako etalon bude samozřejmě využit přístup RISK IT od ISACA (2009) a již získané zkušenosti s jeho využíváním v praxi.

Řízení zranitelností a provádění auditu bezpečnosti ICT lze poskytovat jako službu typu SaaS. Zkušenosti s cloudovým řešením pro řízení a správu technických zranitelností překonávají skepsi modelu „security-as-a-service“. Jaká koncepce je vtělena do úspěšné cloud architektury od Public přes Community až po Privátní Cloud řešení v různých modelech centralizované správy s využitím virtualizace?  Jaké přináší poskytování této služby z cloudového prostředí výhody? Jaká rizika vnímají uživatelé služby a jak jim čelit? Přednáška bude rozebírat konkrétní zkušenosti s implementací řízení bezpečnosti z prostředí cloudu ve firmách různých velikostí a typů. Bude také vysvětleno, jaké limity či omezení musela společnost Qualys nebo její zákazníci řešit při implementaci tohoto řešení do různých prostředí.

MAREK SKALICKÝ
Nastoupil do společnosti Qualys v roce 2008 jako Regional Account Manager for Eastern Europe, se zaměřením na rozvoj trhu východní Evropy, avšak se společností Qualys spolupracoval již od roku 2003. Před nástupem do Qualysu pracoval 5 let ve společnosti Risk Analysis Consultants, kde řídil projekty v oblasti Information Security pro řadu významných zákazníků v České republice se zaměřením na projekty Information Risk Management, Vulnerability Management a implementace procesu ISMS pomocí norem ISO/IEC 2700X. Nyní zastává pozici Managing Director for Central Eastern Europe a je držitelem certifikátů CRAMM, ISO 27001 Lead Auditor, CISM a CRISC.
Nahoru

Internet je divoké a nebezpečné místo pro provoz aplikací a IT služeb. Sofistikované hrozby jsou dnes velmi dobře organizovány a automatizovány, nikdy nespí a mohou zaútočit prakticky kdykoli a odkudkoliv, s využitím vícenásobných přístupových vektorů a to zejména v rozsáhlých a distribuovaných ICT prostředích. Společnost AVG Technologies se rozhodla čelit těmto hrozbám proaktivním, systematickým a automatizovaným způsobem, aplikací compliance procesu a řízení zranitelností pomocí využívání bezpečnostních služeb v SaaS modelu z prostředí cloudu. Přednáška bude zaměřena na to, jaké konkrétní důvody rozhodly ve společnosti AVG o využívání cloudové služby QualysGuard pro centralizované řízení technických zranitelností, jak si společnost AVG služby uzpůsobila na své potřeby (critical security intelligence on demand) a jakým způsobem tyto služby pomáhají k zabezpečení web aplikací a ICT systémů.

JASON GAMAGE
Jason Gamage je vedoucím globálního enterprise řídícího procesu uvnitř společnosti AVG a zodpovídá za celkovou informační bezpečnost a její strategii. Ve funkci senior security managera je zodpovědný za tvorbu a prosazení Bezpečnostní politiky IS a interních bezpečnostních norem a procesů. Jason je zároveň také vedoucím interního IT auditního týmu zodpovědného za IT General Controls Framework, jejich testování a audit vůči požadavkům Sarbanes-Oxley a dále je členem řídícího výboru AVG pro IT Governance, Risk and Compliance. Před nástupem do AVG v roce 2010 Jason pracoval 20 let na různých bezpečnostních a IT pozicích.
Nahoru

V každé organizaci jsou uživateli využívány veřejné cloudové služby. V naprosté většině s tichým souhlasem IT, ale bez jakékoliv kontroly. Jak dostat public cloud pod kontrolu a jaké možnosti dnes public cloud nabízí pro firemní IT? Co bychom měli vědět, než se do cloudu pustíme? Jaké jsou odlišnosti oproti privátnímu řešení, kde jsou umístěna data a jaké nástroje kontroly cloud poskytovatele lze očekávat. Ukážeme si několik best practices jak postupovat a odpovíme na otázky, co pro IT management znamená veřejný cloud z dlouhodobého pohledu.

BOHUSLAV DOHNAL
Působí jako Managing Partner ve společnosti netmail, kde se zabývá architekturou a nasazením veřejných cloudových služeb a vývoje cloud aplikací ve středních a velkých organizacích. V současné době spolupracuje se společností Google na několika projektech nasazení Google Cloud Platform v zemích střední a východní Evropy.
Nahoru

Zajištění požadovaných služeb za neustálého snižování provozních nákladů je jeden z úkolů, které řeší dnešní CIO. Cloud může být jedním z východisek. Na druhou stranu si každý CIO uvědomuje důležitost ochrany informací. Pokud ve vaší organizaci zvažujete využití cloudových služeb, je nezbytné zmapovat existující rizika a tyto odpovídajícím způsobem řídit. Je to však vůbec možné, pokud se vaše data nacházejí ve veřejném cloudu? Lze získat dostatek informací od poskytovatele cloudového řešení? A lze těmto informacím důvěřovat? Na tyto a řadu dalších otázek se pokusí odpovědět tato prezentace zabývající se problematikou risk managementu cloudového řešení z pohledu uživatele.

VÁCLAV ŽID
Vystudoval obor Technická kybernetika na Elektrotechnické fakultě ČVUT. Od roku 2000 pracuje v oblasti IT ve veřejné správě. Odborně se zaměřuje na strategické řízení IT a na řízení informační bezpečnosti. Je absolventem Advanced Management Program a Chief Information Officer Certificate Program na National Defense University v USA.
Nahoru

Cloudy se nám v IT slovníku usídlili, jak se zdá, již nadobro. Proč se o nich ale stále více diskutuje, než koná? Je snad řízení IT organizace, která má své zdroje v cloudu jiné než klasické? Liší se nějak hrozby? Nebo snad dnešní cloudy nemají moc co nabídnout? Co přechod do cloudu znamená pro IT pracovníky? Příspěvek přiblíží zcela otevřenou formou pohled na nejčastější námitky zákazníků a argumenty poskytovatelů.

ALEŠ VOCÁSEK
Vystudoval aplikovanou informatiku a poté informační management na Univerzitě Hradec Králové. IT se profesionálně věnuje více než deset let, během kterých pracoval v mezinárodních firmách na různých pozicích. Aktuálně pracuje ve společnosti Oracle, kde působí na pozici Sales Consulting managera pro region CEE.
Nahoru

Používání technologii cloudu přináší neoddiskutovatelné benefity, které se však velmi záhy mohou ukázat jako nedostatečně vyvažující omezení, či případná rizika, která s sebou používání daného typu cloudu přináší. Při rozhodování o volbě poskytovatele a typu cloudu je důležité mít tyto dva aspekty cloudu na paměti a teprve na základě toho dělat informovaná rozhodnutí.

JIŘÍ MAŇAS
IT profesionál s více než desetiletou mezinárodní praxí v IT ve finančním sektoru. Jeho zkušenosti sahají od řízení provozu IT, datových center, projektů, informační bezpečnosti, IT Governance až po vývoj a inovace v IT. Nyní pracuje jako Head of (e)Channels v České spořitelně.
Nahoru

Přednáška se zaměřuje na problematiku cloud computingu ve finančních institucích. Primárně vychází z obezřetnostních principů v oblasti operačního rizika a outsourcingu. Vymezuje cloud computing jako jednu z forem outsourcingu a zabývá se řízením rizik spojených s jeho využíváním. Dále popisuje zásady pro hodnocení využívání cloud computingu ve finančních institucích ze strany ČNB a shrnuje zkušenosti a přístup některých zahraničních regulátorů v této oblasti.

MARTIN FLEISCHMANN
Absolvoval Národohospodářskou fakultu Vysoké školy ekonomické v Praze. V roce 2010 dokončil doktorské studium na fakultě Informatiky a statistiky téže školy. Osm let pracoval v úseku informatiky ČNB, kde vedl projekty informačních systémů pro klíčové útvary ČNB. Od roku 1998 pracuje v dohledových sekcích ČNB. V roce 2002 byl pověřen vybudováním týmu pro dohled nad IS/ICT bank a zavedením dohledu v této nové oblasti do praxe. V roce 2005 zodpovídal za zavádění dohledu v oblasti řízení operačního rizika. Je členem pracovní skupiny SGOR (Subgroup on Operational Risk) působící v rámci EBA (European Banking Authority) a dlouhodobě spolupracuje se zahraničními dohledovými autoritami.
Nahoru

Není novinkou, že soulad s požadavky PCI DSS je povinný pro banky, obchodníky a poskytovatele služeb, kteří zpracovávají, přenášejí a ukládají data držitelů karet. Stále více IT služeb je nabízeno pomocí cloudu. Je možné provozovat v cloudu služby spadající pod platnost PCI DSS? Jaké dopady na bezpečnostní opatření, procesy a samotný PCI DSS audit má využívání cloudu? Podle čeho se rozhodovat, zda použít cloud pro služby které zpracovávají, přenášejí nebo ukládají data držitelů karet?

JAKUB MORÁVEK
Je vedoucím oddělení IT Consulting ve společnosti Wincor Nixdorf a certifikovaným auditorem PCI DSS (QSA). Jako QSA se zaměřuje zejména na problematiku PCI DSS, v rámci níž provádí srovnávacích analýzy, navrhuje a ověřuje nápravná opatření a provádí samotné PCI DSS audity. Před tím, než se začal specializovat na PCI DSS, získal mnoho znalostí IT technologií na pozici systémového administrátora, kde se podílel na návrhu, provozu a správě kompletní IT infrastruktury. Z pozice administrátora se časem přesunul do role architekta a konzultanta, kdy spolupracoval při rozvoji IT infrastruktury společnosti Wincor Nixdorf, navrhoval a podílel se na implementaci řešení pro zákazníky, zejména v oblasti monitoringu a distribuce software.
Nahoru

Motto: „Divil bych se, kdyby vaše cloudové řešení vůbec nepracovalo s osobními údaji…“ Na cloud a poskytované služby můžeme pohlížet z mnoha pohledů. Nikdy se však nevyhneme otázce právního souladu v oblasti ochrany osobních údajů. Jaký je pohled regulátorů a jak by měli na ochranu osobních údajů nahlížet uživatelé či poskytovatelé? Jaký dopad na ochranu soukromí má použitý typ cloudového řešení a jaké bezpečnostní otázky vyvolává přenos osobních údajů mimo EU?

RICHARD OTEVŘEL
Je advokátem v advokátní kanceláři Havel, Holásek & Partners. Specializuje se na právo duševního a průmyslového vlastnictví, IT, ochrany osobních údajů a také na obecnější otázky práva EU a veřejnoprávní regulace. V oblasti IT se věnuje zejména obchodněprávním aspektům licenčních a implementačních smluv a veřejnoprávní regulaci v oblasti služeb elektronických komunikací. V kanceláři Havel, Holásek & Partners vede pracovní skupinu poskytující komplexní právní služby v oblasti ochrany osobních údajů a ochrany osobnosti.
Nahoru

Sociální média jsou pro firmy jak příležitostí, tak hrozbou - v každém případě jsou ale tu a i dříve odolávají segmenty jako B2B IT je musí začít registrovat. Platformy jako Facebook, Linkedin, Twitter, Yammer vytvářejí velmi silně technologicky determinované komunikační prostředí, které v sobě kombinuje požadavky jak na dobře vedenou mezilidskou komunikaci, tak na technologickou znalost fungování každého média. Každý krok uživatelů v sociální síti vytváří datovou stopu, která je marketingovou a obchodní příležitostí stejně jako hrozbou pro soukromí jednotlivců i firem i unikátní výzkumnou příležitostí. Prezentace si klade za cíl popsat právě možnost práce s daty generovanými sociálními médii - jak a proč je získávat, jak to dělat správně a legálně a jak je dál využít - a proč to umí málokterá firma.

PAVEL HACKER
Třináctý rok je v online marketingu. Svou kariéru začal v mediální agentuře CIA (dnes Mediaedge:cia). Nejzámější je jeho práce v mediálním oddělení Advertures (později Mather Advertures – Neo@Ogilvy) s projekty jako je „Anděl“ Kofoly, kampaně Vodafone, ČSA nebo IBM. Vedl sociálně-mediální jednotku agentury EURO RSCG. Dnes se stará o dobré jméno specializované agentury BrandzFriendz, která se věnuje prakticky výhradně sociálním médiím.
Nahoru

Sociální sítě jsou zdrojem nepřeberného množství dat o lidech či skupinách lidí, kteří se na nich pohybují. Na tuto skutečnost jsme si již zvykli a mnohé společnosti již tento fakt zhodnotily v rámci své personální politiky. Jaké informace zde však skutečně máme k dispozici? A jak je správně interpretovat? Příspěvek se pokusí shrnout specifické rysy kyberprostoru jako takového a osvětlit příčiny některých jevů, které dnes a denně sledujeme na sociálních sítích a které mohou být při správném pochopení významným benefitem pro bezpečnostní složky, ale i pro komerční využití všeho druhu.

VÁCLAV JIROVSKÝ
Vystudoval elektrotechnickou fakultu ČVUT. V letech 1975 a 1986 pracoval v Oblastním výpočetním centru vysokých škol. V roce 1987 byl pod jeho vedením dokončen pilotní projekt řízení MHD pro hlavní město Prahu a tentýž rok přešel na Matematicko-fyzikální fakultu Univerzity Karlovy, kde působil do roku 2007. V letech 1991 až 1998 pracoval jako ředitel útvaru výzkumu a vývoje firmy Advanced Computer Applications v USA a po návratu v letech 2001 až 2002 jako výkonný ředitel pro technologie v Českém Telecomu. Nyní je vedoucím Ústavu bezpečnostních technologií a inženýrství na Fakultě dopravní ČVUT, kde se věnuje otázkám počítačové kriminality a protiprávního jednání na sítích. V těchto oblastech rovněž působí jako soudní znalec jmenovaný ministrem spravedlnosti.
MILOSLAV KUČERA
Od roku 2011 pracuje v ČVUT na fakultě dopravní, v Ústavu bezpečnostních technologií a inženýrství jako odborný asistent. Je garantem předmětu Zpravodajské prostředky a metody. Je vedoucí projektu Pokročilé technologie a nové sociální jevy a zpracovatel projektu Role pokročilých technologií v radikalizaci sociálních skupin. Před tím pracoval na Ministerstvu vnitra ČR jako referent bezpečnosti státu.
Nahoru