Program XVII. konference IT Governance 2020

IT Governance „SecaaS & Agilita“

I. den - 20. října 2020

13.00 - 17.00

TUTORIAL: Přínosy a rizika 5G sítí
Ing. Jaroslav Burčík Ph.D., LL.M.; a Ing. Michal Poupa; ČVUT, Katedra telekomunikační techniky

19.30 - 23.30

Společenská neformální akce s večeří


II. den - 21. října 2020

09.30 - 11.45

WORKSHOP: Bezpečnost a rizika v online prostředí
Bc. Miloslav Pecinovský, Vodafone Czech Republic a jeho hosté

11:45 – 12:45 Oběd pro účastníky workshopu
12:30 – 13:00 Registrace
13:00 – 13:10 Zahájení konference
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; prezident ISACA CRC
13.10 - 13.55

O naléhavosti postkvantové kryptografie
Ing. Tomáš Rosa, Ph.D.; Raiffeisenbank

13:55 – 14:00 Přestávka
14.00 - 14.45

Pro a proti modelu SecaaS
Ing. Petr Hujňák Ph.D., CGEIT, CRISC; prezident ISACA CRC
Ing. Jan Fanta, CISA, CRISC; Ernst & Young ČR

14:45 – 14:50 Přestávka
14.50 - 15.30

Cyber-bezpečnost z Cloudu do Cloudu a zpět a proč vlastně?
Marek Skalický, CISM, CRISC; Qualys

15:30 – 15:45 Přestávka
15.45 - 16.25

SaaS: Expertiza a spolupráce vs. předplacená služba
Ing. Karel Miko, CISA; DCIT

16:25 – 16:30 Přestávka
16.30 - 17.15

Bezpečnostní dohled jako služba v české kotlině
Ing. Jiří Sedlák; 02 Czech Republic
Mgr. Jan Mikulecký, Ph.D., CGEIT, CISM, CRISC; MPSV ČR

17:15 – 17:20 Přestávka
17.20 - 18.00

V cloudu nemusí být vaše data ztracena bez kontroly
Pavel Formánek, CISSP; Cloudi Support

18:30 – 23:30 Společenský večer s rautem


III. den - 22. října 2020

09.00 - 09.45

Řízení očekávání jako základ úspěšné agilní spolupráce
Ing. Jan Havel, Ph.D.; ACTUM Digital

09:45 – 09:50 Přestávka
09.50 - 10.30

Projekt nebo Agile? Co takhle agilní projekt!
Martin Klusoň; Symphera

10:30 – 10:45 Přestávka
10.45 - 11.20

Agilní vývoj: Bratrství na věčné časy a bez smluv
Mgr. et Mgr. Ing. Jan Tomíšek; ROWAN LEGAL

11:20 – 11:30 Přestávka
11.30 - 13.00

Panelová diskuse: Bolestivá místa v agilitě
Moderátor Tomáš Honzák, CISM; GoodData a jeho hosté

13:00 – 14:00 Oběd
14.00 - 14.45

Gamifikace zvyšování bezpečnostního povědomí zaměstnanců – od teorie k praxi
Ing. Petr Mojžíš; ANECT a Mgr. PhDr. Jiří Kaplický; Česká spořitelna

14:45 – 14:50 Přestávka
14.50 - 15.30

Vybrané sociální aspekty kybernetické bezpečnosti
Prof. JUDr. PhDr. Miroslav Mareš, Ph.D.; FSS Masarykova Univerzita

15:30 Ukončení konference


* Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 10,5 CPE hodin za účast na konferenci, 4,15 CPE za tutoriál a 2,5 CPE za workshop.

** ZMĚNA PROGRAMU VYHRAZENA.


Popis k přednáškám a přednášejícím

TUTORIAL: Přínosy a rizika 5G sítí
Ing. Jaroslav Burčík Ph.D., LL.M.; ČVUT, Katedra telekomunikační
techniky

Ing. Michal Poupa; ČVUT, Katedra telekomunikační
techniky

Účastníci tutoriálu se seznámí se základním přehledem evoluce mobilních sítí, dozví se, co je v 5G síti nového oproti 4G, jak je to s implementací bezpečnosti 5G v přístupové (RAN) síti a jejím jádru, typické scénáře využití 5G sítě a na závěr jak se hodnotí rizika kybernetické bezpečnosti 5G sítí členskými státy EU, včetně národních doporučení.

Jaroslav Burčík
Vystudoval Fakultu elektrotechnickou ČVUT. V roce 2005 inicioval aktivity, které se na jeho domovské univerzitě pod hlavičkou projektu Tripod snažily rozhýbat inovační podnikání a transfer technologíí. Po skončení projektu prosadil založení Centra spolupráce s průmyslem při Fakultě elektrotechnické a v prosinci 2009 byl jmenován ředitelem Technologického a inovačního centra ČVUT. V současné době je ředitelem Centra pro kybernetickou bezpečnost na ČVUT.

Michal Poupa
Vystudoval Fakultu elektrotechnickou ČVUT, obor Telekomunikace. Již v rámci školy se účastnil aktivit vznikajícího Oskar centra na ČVUT FEL. Od roku 2003 pracoval pro Deutsche Telecom v Bonnu na pozici architekta vývoje služeb s přidanou hodnotou. Od roku 2007 se věnuje školením a konzultacím pro velké telekomunikační společnosti. V roce 2013 se vrátil na ČVUT FEL kde se dále věnuje školením a konzultacím.

Nahoru

WORKSHOP: Bezpečnost a rizika v online prostředí
Bc. Miloslav Pecinovský, Vodafone Czech Republic

Současná doba přináší radikální změny ve způsobech práce většiny organizací, což se významným způsoben promítá i do činností manažerů, kteří jsou odpovědní za zajištění bezpečnosti informací. Cílem workshopu je upozornit na existující rizika, která jsou s používáním online prostředí spojena, shrnout zkušenosti z nedávného období a upozornit na klíčové prvky dobré praxe spojené s bezpečností online prostředí a se způsoby vhodného ošetření souvisejících rizik.

Miloslav Pecinovský
V současné době pracuje ve společnosti Vodafone Czech Republic na pozici IMS Lead and ISMS Auditor. Auditní problematice se věnuje od roku 2003. Je držitelem certifikátů Lead Auditor pro standardy ISO 9001, ISO 27001, ISO 22301 a AS 9100 rev. D. Během své praxe působil na různých lokálních či mezinárodních pozicích např. ve společnostech T-Systems Czech Republic, T-Mobile Czech Republic a AERO Vodochody AEROSPACE. Mimo jiné působil také jako člen Technicko-normalizační komise č. 6 při ÚNMZ, kde se podílel na adaptaci ISO standardů do prostředí ČR.

Nahoru


KONFERENCE:

O naléhavosti postkvantové kryptografie
Ing. Tomáš Rosa Ph.D.; Raiffeisenbank

V přednášce si nejprve přiblížíme, odkud se bere mocná síla kvantové výpočetní techniky a jak vypadá její využití v kryptoanalýze. Následně si na příkladu konkrétního postkvantového algoritmu (SIKE) předvedeme, jak může vypadat odolné schéma pro budoucnost a jak ho lze už dnes použít v kombinaci se stávajícími protokoly. Důvodem ovšem není jen to být na špici oboru. S ohledem na předpověď konce starého dobrého RSA, (EC)DH, (EC)DSA, a spol. se totiž musíme opravdu vážně zajímat o životnost chráněných dat. Pokud je chceme utajit i po, řekněme, deseti letech, pak je už nyní musíme šifrovat pomocí postkvantových metod. Jinak jsou to díky principu retroaktivní kryptoanalýzy (ulož dnes, lušti zítra) jen otevřená poselství do budoucnosti.

Tomáš Rosa
Tomáš Rosa vystudoval na FEL ČVUT v kombinaci s MFF UK v Praze, doktorát získal v oboru kryptologie s cenou Rektora ČVUT. Je hlavním kryptologem kompetenčního centra skupiny Raiffeisen Bank International.

Nahoru

Pro a proti modelu SecaaS
Ing. Petr Hujňák Ph.D., CGEIT, CRISC; prezident ISACA CRC
Ing. Jan Fanta, CISA, CRISC; Ernst & Young ČR

Proti neustále se vyvíjejícím hrozbám je nezbytné využívat nejnovější technologie. Modely MSSP a SecaaS nabízejí prokazatelně tuto hodnotu velkým i malým firmám, nicméně outsourcovat lze odpovědnost ve smyslu "responsibility", nikoliv "accountability". Budou diskutovány přínosy těchto modelů a také nová rizika vyplývající z rozdílu obou zmíněných pojmů pro odpovědnost, včetně dopadu do zavedení nových kontrol, které musí být ve smluvním vztahu zaměřeny také na změnu architektury a governance. Bude rozebrán názor ISACA a pojetí ITILu, jak rozumně řídit hodnotu takových služeb.

Petr Hujňák
Je soudním znalcem na informatiku ve třech oborech, certifikovaným projektovým ředitelem IPMA (Level A), certifikovaným projektovým manažerem na oblast projektové kvality (ISO 10006), certifikovaným odborníkem ISACA na řízení podnikové informatiky (CGEIT) a řízení rizik a IT kontrol (CRISC). Dlouhou dobu působil jako vedoucí partner divize Consulting ve společnosti Ernst&Young. Dnes působí jako CEO společnosti Per Partes Consulting soustředěné na nezávislé ICT poradenství, je prezidentem ISACA Česká republika a předsedou konference IT Governance.

Jan Fanta
Pracuje jako kontraktor pro firmu EY od roku 2008, v oblasti bezpečnosti informačních systémů. V tomto oboru pracuje již 25 let v různých rolích konzultanta, auditora, managera a školitele informační bezpečnosti. Je členem výboru ISACA Česká republika a lektor přípravných kurzů na certifikace CISA a CRISC.

Nahoru

Cyber-bezpečnost z Cloudu do Cloudu a zpět, a proč vlastně?
Marek Skalický, CISM, CRISC; Qualys

Qualys jako pioneer (ten americký) a průkopník Cloud computingu byl v roce 1999 založen za účelem vybudovat jednu z prvních SaaS cyber-security služeb zacílenou na Enterprise zákaznický segment v době, kdy buzzword Cloud computing ještě nebyl na světě a říkalo se tomu On-demand service. Proč to vzniklo a proč se to podařilo a jak to umožnilo další rozvoj cyber-security služeb z Cloudu do Cloudu? Jaká je dnes provázanost Qualys cloudu s veřejnými cloudy Azure, Amazon a Google Cloud a dočkáme se pravého "SaaS security assessmentu" dalších SaaS služeb? A jak koncept kontejnerizace a microservices umožnil toto ještě lépe škálovat a rozvíjet?

Marek Skalický
Pracuje ve společnosti Qualys na pozici výkonného ředitele pro střední a východní Evropu se zaměřením na řízení vztahu se zákazníky a partnerskými společnostmi. Před tím řídil projekty informační bezpečnosti v poradenské společnosti RAC se zaměřením na řízení informačních rizik, správu zranitelností a implementaci procesu ISMS na základě norem ISO/IEC 2700X pro různé společnosti ORL. Je držitelem certifikací CRAMM, ISO 27001 Lead Auditor, CISM a CRISC a je členem odborných sdružení ISACA, OWASP a CSA.

Nahoru

Saas: Expertiza a spolupráce vs. předplacená služba
Ing. Karel Miko, CISA; DCIT

Nástup cloudových "as a service" služeb se nevyhnul ani oblasti bezpečnostního testování, kdy poskytovatelé SaaS služeb slibují průběžný monitoring a vyhodnocení v reálném čase za předem domluvené fixní ceny. Zbývá v tomto světě ještě prostor pro "klasické" služby penetračních testerů? V přednášce si shrneme pro a proti obou přístupů a ukážeme si, jak mohou profesionální testeři dlouhodobou spoluprací s bezpečnostními experty zákazníků poskytnout skutečnou přidanou hodnotu.

Karel Miko
Vystudoval MFF UK v Praze. Je ředitelem divize konzultačních služeb ve společnosti DCIT, která již více než 20 let poskytuje služby v oblasti informační bezpečnosti (bezpečnostní audity, penetrační testy, bezpečnostní analýzy, konzultace související s ISMS a BCM). Je dlouholetým členem sdružení ISACA a držitelem certifikátu CISA.

Nahoru

Bezpečnostní dohled jako služba v české kotlině
Ing. Jiří Sedlák; O2 Czech Republic a Mgr. Jan Mikulecký, PhD., CGEIT, CISM, CRISC; 27security

Bezpečnostní dohled zajišťující funkční zvládání kybernetických bezpečnostních incidentů není jednoduchou disciplínou. Tato přednáška popisuje zkušenosti s vývojem prostředí bezpečnostního dohledu jako služba z pohledu dodavatele i zákazníka. Jiří Sedlák zhodnotí své zkušenosti z poskytování služeb bezpečnostního dohledu do inspirativních podnětů nejen z pohledu jeho provozovatelů, uživatelů, očekávaných výstupů, ale i vztahu třetích stran a dodavatelů technologií v zajímavé retrospektivě z dob, kdy se formoval způsob poskytování služeb bezpečnostního dohledu společností O2 Czech Republic. Jan Mikulecký představí bezpečnostní dohledy jako službu z pohledu zákazníka od definice požadavků až po praktické používání. Provede vás úskalím kritických míst zadávací dokumentace, procesem implementace technologií až po nastavení procesů vyhodnocování kybernetických bezpečnostních událostí a zvládání kybernetických bezpečnostních incidentů v modelu kompletního outsourcingu bezpečnostního dohledu v prostředí MPSV.

Jiří Sedlák
Svou profesní kariéru zahájil po ukončení studia na ČVUT v oblasti provozu státních letadel a vyšetřování leteckých nehod. Poté se věnoval krizovému řízení a dnes má více než 20 let zkušeností z transformací společností a optimalizací modelů a systémů jejich řízení. Od roku 2008 se věnuje také oblasti bezpečnosti ICT a řízení rizik. Prošel významnými manažerskými pozicemi v prostředí telekomunikačních operátorů a energetických korporací – např. jako ředitel Bezpečnosti ICT (ČEZ ICT Services) nebo bezpečnostní ředitel (Telco Pro Services). V současné době se ve společnosti O2 Czech Republic věnuje vývoji a realizaci zákaznicky zajímavých řešení v oblasti ICT bezpečnosti a jejich propojení na legislativní rámec.

Jan Mikulecký
Je odborníkem v oblasti kybernetické bezpečnosti se zkušenostmi z konzultačních firem (RAC), korporátních pozic (Deloitte) a z vedení bezpečnosti informací ve státním podniku (NAKIT). Specializuje se na řízení informačních rizik, SOC a cloudovou bezpečnost. Byl členem ISACA CISM Test Enhancement Committee, působil v redakční radě Data Security Management a programovém výboru Information Security Summit. Nyní pracuje jako Managing Partner v konzultační společnosti 27security.

Nahoru

V cloudu nemusí být vaše data ztracena bez kontroly
Pavel Formánek, CISSP; Cloudi Support

Cloudové služby přináší pro mnohé bezpečnostní manažery značnou míru nejistoty v oblasti zajištění bezpečnosti dat a mnoho otázek, jak zajistit jejich kontrolu bezpečnostním dohledem. Tato přednáška míří právě do této nepříliš známé oblasti. Popisuje možnosti bezpečnostního monitoringu a zabezpečení dat v nejčastěji využívaných cloudových službách O365 a Azure společnosti Microsoft. Zhodnotí možnosti a praktickou použitelnost bezpečnostních nástrojů dostupných jako cloudové služby i možnosti napojení do on-premises provozovaných SIEMů. Nastíní, jak vhodně jednotlivé technologie propojit a získat tak skutečnou kontrolu nad daty v cloudu.

Pavel Formánek
Pohybuje se ve světe IT déle než 20 let. Zkušenosti z oblasti systémové integrace a bezpečnosti získal v Raiffeisenbank. Poté nastoupil jako IT konzultant do Microsoft, kde pro významné zákazníky v EMEA regionu dodával konzultace v oblasti bezpečnostních auditů. Navrhoval a implementoval design zabezpečení jejich identit v návaznosti na serverovou a klientskou infrastrukturu. V současné době vede vlastní společnost Cloudi Support, která se zaměřuje na konzultace a implementace zabezpečení hybridních prostředí.

Nahoru

Řízení očekávání jako základ úspěšné agilní spolupráce
Ing. Jan Havel Ph.D.; ACTUM Digital

Výhody principů agilního řízení projektů a dlouhodobé spolupráce v praxi naráží na omezení daná kulturou, pravidly i právním rámcem v daných společnostech. Jak správně řídit očekávání, abychom předešli konfliktům a v nejlepším případě se nikdy nemuseli vracet k textaci a interpretaci smlouvy?

Jan Havel
Je zakladatel a Managing Partner digitální agentury ACTUM Digital, kde 24 let odpovídá za vztahy s mezinárodními klienty od Německa, přes Spojené státy po Bahrajn. Aktivně se účastní vyjednávání obchodních podmínek a nastavování smluvních vztahů při vývoji rozsáhlých webových a e-commerce řešení. Má doktorské vzdělání v oboru obecná ekonomická teorie a studuje management na Wharton School na Pennsylvánské univerzitě. Aktivně přednáší na VŠE v Praze a Univerzitě Karlově.

Nahoru

Projekt nebo Agile? Co takhle agilní projekt!
Martin Klusoň; Symphera

Přechod na agilitu znamená zásadní změnu mnoha paradigmat. Nejen v IT odděleních tak může vyvstat pochybnost, zda je pro řízení agilního vývoje tradiční projektový management ještě potřebný. Je však jisté, že projekty budou nejen co-existovat spolu s agilním světem, ale budou samy umně agilitu využívat. V přednášce se podíváme, jak vypadá správný agilní projekt a to očima projektových manažerů interních i externě dodávaných projektů.

Martin Klusoň
Je zakladatel a Managing Partner poradenské společnosti Symphera. Vyškolil tisíce projektových manažerů, Product Ownerů a Scrum Masterů v ČR, Evropě či USA. Pomáhá klientům na významných projektech, s agilními transformacemi, nastavením PMO a mnoho dalšími aktivitami. Je zakladatelem a čestným prezidentem Komory Projektových Manažerů v ČR. Pravidelně přednáší a píše odborné články.

Nahoru

Agilní vývoj: bratrství na věčné časy a bez smluv?
Mgr. et Mgr. Ing. Jan Tomíšek; ROWAN LEGAL

Agilní přístup pomáhá řešit problémy klasických přístupů k zakázkovému vývoji, současně však přináší nová rizika a třecí plochy mezi dodavatelem a zákazníkem. Je na agilní vývoj vůbec potřeba smlouva? Pokud ano, co v ní řešit a jak se vypořádat s bolestivými místy agilních projektů?

Jan Tomíšek
Působí jako Managing Associate a vedoucí brněnské pobočky v advokátní kanceláři ROWAN LEGAL. Poskytuje právní poradenství zejména v oblastech softwarového práva, cloud computingu, ochrany osobních údajů, kybernetické bezpečnosti a elektronických transakcí. Vedle působení v advokacii je externím doktorandem na Ústavu práva a technologií Právnické fakulty Masarykovy univerzity, kde pravidelně vyučuje zejména témata softwarového práva a ochrany osobních údajů. Je držitelem ocenění Právník roku v kategorii Talent roku za rok 2016.

Nahoru

Panelová diskuse: Bolestivá místa v agilitě
Moderátor Tomáš Honzák, CISM; GoodData

Agilní metodiky kladou důraz na spolupráci a komunikaci, kterou upřednostňují před procesy a vyjednáváním. To ale neznamená, že nemůže dojít k nerozuměním, rozdílným očekáváním a frustraci. Na jaké bolesti narážejí účastníci agilních projektů na straně dodavatelů i odběratelů nejčastěji se zeptáme našich panelistů, reprezentantů businessu, práva i projektového řízení.

Nahoru

Gamifikace zvyšování bezpečnostního povědomí zaměstnanců – od teorie k praxi
Ing. Petr Mojžíš; ANECT a Mgr. PhDr. Jiří Kaplický; Česká spořitelna

Největším problémem vzdělávání zaměstnanců v oblasti bezpečnostního povědomí je nezáživnost školení. Je obtížné získávat pozornost lidí při výuce nudných témat, jako je politika čistého stolu. A proto je obtížné budovat v zaměstnancích základní bezpečnostní návyky. Jednou z cest, jak udělat školení jinak, je gamifikace. Na živé ukázce hry pro vzdělávání uživatelů, kterou si skupinově zahrají přímo účastníci přednášky, si ukážeme některé principy budování efektivních programů pro zvyšování bezpečnostního povědomí uživatelů včetně gamifikace samotné.

Petr Mojžíš
Více než deset let se věnuje podnikovým procesům a informační bezpečnosti jako architekt v bance či (po většinu kariéry) jako konzultant. Realizoval projekty pro ty největší (např. DHL ITSC, T-Mobile, Raiffeisenbank, Ministerstvo práce a sociálních věcí) i pro celou řadu středně velkých firem. Díky tomu může srovnávat odlišnosti různých světů (malé, velké, komerční, úřednické) i aplikovatelnost různých přístupů v nich. Problémy, které v projektech řešil, se nicméně často opakují, protože vyplývají z lidských povah, naší kultury a způsobů fungování organizací. S tím můžeme bojovat nebo se můžeme pokusit to naopak využít ku prospěchu věci. Ve své praxi se snažím o to druhé.

Jiří Kaplický
Jiří Kaplický aktuálně působí v České spořitelně na pozici architekta kybernetické bezpečnosti a delivery lead, projektově zajišťuje dodávky řešení v oblastech klientské, datové bezpečnosti a SIEM. Kybernetickou bezpečností a systémovou integrací se zabývá na různých pozicích více než 15 let. V posledních letech působí především v rolích architekta, team lídra a v dalších manažerských rolích. Navrhl, implementoval a vedl implementační týmy při dodávkách SIEM, DLP řešení, řešení databázového monitoringu, dodávek PKI řešení, Fraud Detection, AML a schvalování úvěrů.

Nahoru

Vybrané sociální aspekty kybernetické bezpečnosti transformovaných bankách – praxe a mýty
Prof. JUDr. PhDr. Miroslav Mareš, Ph.D.; FSS Masarykova Univerzita

Příspěvek se zabývá sociálními aspekty kybernetické bezpečnosti, především hrozbami „zevnitř“. Autor objasňuje vybrané sociální identifikátory rizikového jednání osob s přístupem k zařízením institucí, které způsobují závažné kybernetické incidenty. Diskutována je kategorizace těchto osob. Autor představuje některé možnosti obrany proti těmto tzv. „Insider threats“.

Miroslav Mareš
Je garantem oboru Bezpečnostní a strategická studia na Katedře politologie Fakulty sociálních studií Masarykovy univerzity v Brně a vědeckým pracovníkem Mezinárodního politologického ústavu téže fakulty. Zaměřuje se na výzkum terorismu, extremismu a bezpečnostní politiky ve střední Evropě. Je expertem při Evropské síti pro zvyšování povědomí o radikalizaci (RAN) a členem Evropské sítě pro záležitosti terorismu (EENeT). V letech 2001-2008 byl soudním znalcem v oboru kriminalistika. V roce 2016 působil jako externí poradce řídícího výboru Auditu národní bezpečnosti ČR.

Nahoru