Program XVIII. konference IT Governance 2022

IT Governance „Trustworthiness & Zero Trust“

I. den - 11. října 2022

15.00 - 17.00

Tutorial: AI a AutoFair - online přes aplikaci ZOOM
Mgr. Jakub Mareček, Ph.D.; Centrum AI, Katedra počítačů na Fakultě elektrotechnické ČVUT


II. den - 12. října 2022

13:00 – 13:10 Zahájení konference
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; prezident ISACA CRC
13.10 - 13.40

Úvod do Zero Trust
Mgr. Jan Krob, CISA; Accenture

13.40 - 14.25

Tier Model in Active Directory and Beyond
Mgr. Jan Šeda; O2 Czech Republic

14:25 – 14:45 Přestávka
14.45 - 15.30

Zero Trust networking v hybridním cloudovém prostředí společnosti Avast
Ing. Jan Mészáros, Mgr. Jaroslav Javor; Avast Software

15:30 – 15:45 Přestávka
15.45 - 16.30

Rizikovost komponent a služeb při implementaci zero trust z pohledu antivirové společnosti
Ing. Robert Šuman; ESET Software

16:30 – 16:45 Přestávka
16.45 - 17.30

Kvantové počítání se zaměřením na finanční služby
Mgr. Jakub Mareček, Ph.D.; Centrum AI, Katedra počítačů na Fakultě elektrotechnické ČVUT

18:00 – 22:00 Společenský večer


III. den - 13. října 2022

09.00 - 09.45

Způsobí NIS2 stejný poprask jako GDPR?
Ing. Tomáš Kudělka; KPMG Česká republika

09:45 – 09:55 Přestávka
09.55 - 10.40

NIS2 a jak se promítne do zákona o kybernetické bezpečnosti
Ing. Adam Kučínský; NÚKIB

10:40 – 10:50 Přestávka
10.50 - 11.35

NIS 2 právní pohled
Mgr. Šimon Toman; AK TOMAN & PARTNEŘI

11:35 – 11:45 Přestávka
11.45 - 12.30

Řízení rizik dle nové NIS2 a ISO 27005
Moderátor Ing. Luděk Novák, Ph.D., CISA, CGEIT, CRISC; nezávislý konzultant a auditor a jeho hosté

12:30 – 13:30 Oběd
13.30 - 14.15

Koncepce Trustworthiness
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; Per Partes Consulting

14:15 – 14:30 Přestávka
14.30 - 15.15


Ing. Marek Ovčáček; Ataccama

15:30 Ukončení konference


* Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 9 CPE hodin za účast na konferenci.

** ZMĚNA PROGRAMU VYHRAZENA.

Popis k přednáškám a přednášejícím


1. den: 11.10. 2022

AI a AutoFair - online přes aplikaci ZOOM
Mgr. Jakub Mareček, Ph.D.; Centrum AI, Katedra počítačů na Fakultě elektrotechnické ČVUT

Evropská komise připravuje novou regulaci použití systémů umělé inteligence. Podobně jako Obecné nařízení o ochraně osobních údajů vedlo k netriviálním změnám v práci s daty, nejspíše i plánovaná regulace povede ke změnám v práci se systémy umělé inteligence. V průběhu přestavíme klíčové myšlenky regulace a možnosti jejího naplňování. Dále bude představen projekt AutoFair koordinovaný v rámci EU - cíle a kontext projektu, záměry jejich prosazování, současný stav, zkoumání akceptovatelné rizikovosti, principy a vývoj algoritmů AI.

Jakub Mareček
Jakub absolvoval informatiku na FI MU v Brně a doktorské studium v Nottinghamu ve Velké Británii v letech 2006, 2009 a 2012. Pracoval ve dvou start-upech, v britské firmě ARM Ltd., na Univerzitě v Edinburghu, Univerzitě v Torontu a (přes sedm let) v oddělení výzkumu IBM. Teď pracuje na Katedře počítačů Fakulty elektrotechnické ČVUT, kde mimo jiné koordinuje projekt k regulaci umělé inteligence podpořený Evropskou komisí.

Nahoru


2. den: 12.10. 2022

Úvod do Zero Trust
Mgr. Jan Krob, CISA; Accenture

Zero trust se pomalu stáva dalším slovem v bezpečnosti, které rezonuje více a více. Na úvod si probereme různé pohledy a cíle tohoto konceptu.

Jan Krob
Vystudoval MFF UK v Praze, je členem výboru ISACA CRC. Má široké znalosti a zkušenosti týkající se řízení projektů, informační bezpečnosti a IT strategie. Podílel se na mnoha komplexních IT projektech dodávaných zejména pro organizace ve finančním sektoru. Kromě toho má široké profesní zkušenosti v oblastech řízení IT, řízení IT zdrojů, krizového plánování, IT služeb a auditu informačních systémů. GDPR jako regulace s velkým a komplexním dopadem do businessu, bezpečnosti, dat a IT je pro něj v současnosti logicky tématem číslo jedna.

Nahoru

Tier Model in Active Directory and Beyond
Mgr. Jan Šeda; O2 Czech Republic

Řízení privilegovaných účtů je jedním ze zásadních bezpečnostních pilířů a zároveň klíčový faktor dosažení principů Zero Trust. Nasazení Tier modelu výrazně pomáhá při redukci rizik spojených s řízením přístupů, ale jeho dopad jde mnohem dále. Jeho zavedení nutně přináší i jiný způsob práce administrátorů v rámci celé infrastruktury, a je nutné s ním počítat i při nasazování PAM řešení a dalších bezpečnostních prvků jako je SIEM, SOAR apod.

Jan Šeda
V současné době pracuje ve společnosti O2 Czech Republic na pozici Security Architect. V minulosti zastával seniorní role v oblasti bezpečnostní architektury, softwarového vývoje a systémové administrace např. ve společnostech Microsoft, Sybase, Cleverlance a Letiště Praha. Během své praxe získal řadu certifikací a ocenění v oblasti ICT a bezpečnosti.

Nahoru

Zero Trust networking v hybridním cloudovém prostředí společnosti Avast
Ing. Jan Mészáros, Mgr. Jaroslav Javor; Avast Software

Příběh o zdarech i úskalích při vytváření Zero Trust architektury a její aplikaci v síťových infrastrukturách společnosti Avast, jak v tradičním on-premise prostředí, tak v cloudu. Nabídneme různé, někdy i protichůdné, praktické pohledy na tuto problematiku z perspektiv IT a bezpečnosti informací. Téma zasadíme do souvislostí s incidentem, ke kterému došlo před třemi lety, a do kontextu bezpečnostní strategie společnosti.

Jan Mészáros
V současné době působí na pozici Information Security Architect ve společnosti Avast Software. Na VŠE v Praze získal doktorát v oblasti informační bezpečnosti a podílí se zde na výuce témat souvisejících s bezpečností IS/IT. V minulosti pracoval mimo jiné ve společnosti AVG Technologies CT na pozici Information Security Architect, v KPMG jako penetrační tester a auditor bezpečnosti IS/IT. Má rozsáhlé zkušenosti s bezpečnostními aspekty v různých fázích životního cyklu IS, ve své odborné praxi se věnuje zejména bezpečnostním hrozbám a rizikům v oblastech návrhu, architektury, tvorby, testování a provozu IS.

Jaroslav Javor
Pracuje na pozici IT Architecture Manager ve společnosti Avast Software. Přes 20 let v IT si prošel množstvím technických i manažerských rolí, mimo jiné i jako ředitel IT v AVG Technologies. Má rozsáhlé zkušenosti s řízením a transformací IT. Poslední 4 roky se věnuje primárně technologickým transformacím, škálovatelné architektuře a využiti automatizace.

Nahoru

Rizikovost komponent a služeb při implementaci zero trust z pohledu antivirové společnosti
Ing. Robert Šuman; ESET Software

Robert Šuman
Při vytváření Zero Trust architektury a její aplikaci v organizaci se společně podíváme na rizikovost jednotlivých komponent a vstupních bodů k datům a infrastruktuře z pohledu antivirové společnosti, tedy z pohledu rizika penetračního průniku, nákazy malwarem nebo kompromitace dat. Mimo pohledu na rizikovost jednotlivých vstupních bodů se zaměříme i na některé aktuální techniky, které útočníci v současnosti používají. Přednáška by měla odpovědět na otázku kde vznikají nejčastěji chyby při implementaci, a kterým komponentám nebo službám by měla být věnována přednostní pozornost, neboť jde v současnosti o typický vektor průniku nebo infekce.

Nahoru

Kvantové počítání se zaměřením na finanční služby
Mgr. Jakub Mareček, Ph.D.; Centrum AI, Katedra počítačů na Fakultě elektrotechnické ČVUT

Kvantové počítání může zásadně zrychlit řešení některých výpočetně náročných problémů. Prakticky všechny velké finanční instituce v USA, stejně jako řada bank v Japonsku, Číně, a ČR tak studuje možnosti využití kvantových technologií ve finančních službách. Za nejzajímavější je možné považovat kvadratické zrychlení Monte Carlo simulací, např. v oceňování finančních produktů a odhadu hodnoty v riziku a podmíněné hodnota v riziku pro analytické účely. Na základě našeho přehledového článku (https://arxiv.org/abs/2006.14510) představíme kvantové počítání obecně, stav poznaní v aplikacích ve finančních službách a některé otevřené otázky a výzvy tamtéž. Představení bude doplněno praktickými ukázkami se systémy IBM Quantum.

Jakub Mareček
Absolvoval informatiku na FI MU v Brně a doktorské studium v Nottinghamu ve Velké Británii v letech 2006, 2009 a 2012. Pracoval ve dvou start-upech, v britské firmě ARM Ltd, na Univerzitě v Edinburghu, Univerzitě v Torontu a (přes sedm let) v oddělení výzkumu IBM. Teď pracuje na Katedře počítačů Fakulty elektrotechnické ČVUT, kde mimo jiné koordinuje projekt k regulaci umělé inteligence podpořený Evropskou komisí.

Nahoru


3. den: 13.10. 2022

Způsobí NIS 2 stejný poprask jako GDPR?
Ing. Tomáš Kudělka, KPMG Česká republika

Pravidla kyberbezpečnosti čeká reforma. Evropská komise předložila návrh směrnice NIS 2 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v EU. Jde o revizi směrnice NIS z roku 2016. NIS 2 stanovuje minimální pravidla a mechanismy spolupráce mezi orgány v členských státech. Zároveň zpřísňuje bezpečnostní požadavky na jednotlivé entity (firmy, státní podniky apod.) a ukládá sankce za jejich nesplnění (v obdobné výši jako GDPR). V rámci první přednášky na toto téma Vám prozradíme, o čem NIS 2 vlastně je, koho se týká a jak se na její příchod připravit.

Tomáš Kudělka
Pracuje jako Director technologického týmu poradenské společnosti KPMG Česká republika. Dohlíží na IT projekty, zejména v oblastech kybernetické bezpečnosti, digitalizace, strategie IT, ale i řízení a návrhů enterprise a IT architektur. Působil v Británii a řídil týmy v Německu a Španělsku. Dříve zastával vedoucí pozice v nadnárodní společnosti Diebold Nixdorf a u mezinárodního systémového integrátora Simac. Je členem ISACA od roku 2002.

Nahoru

NIS2 a jak se promítne do zákona o kybernetické bezpečnosti
Ing. Adam Kučínský; Národní úřad pro kybernetickou a informační bezpečnost

NÚKIB připravuje transpoziční novelu zákona o kybernetické bezpečnosti, kterou implementuje směrnici NIS2 do českého právního řádu. Nová směrnice zavádí řadu nových institutů v oblasti kybernetické bezpečnosti a ty stávající prohlubuje. Podstatně také rozšiřuje adresáty regulace, která se nově bude týkat násobně většího počtu organizací. Příspěvek přiblíží, jak bude vypadat návrh zákona o kybernetické bezpečnosti po zapracování požadavků směrnice NIS2, co bude požadovat a koho se budou nové povinnosti týkat.

Adam Kučínský
Zabývá se zejména řízením bezpečností informací, krizovým řízením a problematikou ochrany klíčových informačních a komunikačních systémů státu. Jako ředitel odboru regulace na Národním úřadě pro kybernetickou a informační bezpečnost vede tým specialistů, jejichž hlavní činností je implementace a dohled nad zákonem o kybernetické bezpečnosti, nastavení regulatorních požadavků a příprava legislativy a bezpečnostních standardů v oblasti kybernetické bezpečnosti. Vedle toho již několik let spolupracuje jako externí lektor s vysokými školami a dalšími vzdělávacími institucemi a o problematice kybernetické bezpečnosti přednáším také na odborných konferencích.

Nahoru

NIS 2 právní pohled
Mgr. Šimon Toman; AK TOMAN & PARTNEŘI

Co mám dělat, když mi vzniknou zákonné kyberbezpečnostní povinnosti? Směrnice NIS 2 udělala v poslední době velký poprask. Mnohé firmy s nejistotou zjišťují, co je vlastně čeká? V této přednášce se dozvíte to nejnutnější! Tedy, jakých firem se regulace dotkne, a jak z praktického hlediska postupovat, když se z vaší společnosti stane povinná osoba dle zákona o kybernetické bezpečnosti.

Šimon Toman
Pracuje jako ředitel advokátní kanceláře Toman a partneři, která se od jeho nástupu mimo tradiční oblasti úzce zaměřuje na problematiku kybernetické bezpečnosti. Minulý rok společně s kolegy z KPMG stál u zrodu nové jedinečné služby Cybersecurity Compliance, která nabízí komplexní kyberbezpečnostní řešení firmám, a to jak z právního, technického tak organizačního hlediska.

Nahoru

Panelová diskuse: Řízení rizik dle nové NIS2 a ISO 27005
Ing. Luděk Novák, Ph.D., CISA, CGEIT, CRISC; nezávislý konzultant a auditor

Dopady globální zdravotní a geopolitická krize proměnily v uplynulých dvou letech zásadním způsobem také oblast rizik pro informační bezpečnost, a zároveň tak prověřily schopnost společností po celém světě tato rizika správně identifikovat a řídit. V roce 2022   dochází v EU k finalizaci nové směrnice pro kybernetickou bezpečnost NIS 2 a ISO vydává aktualizovanou verzi normy pro řízení cybersecurity rizik ISO 27005. S našimi panelisty prodiskutujeme, jak tyto nové verze ovlivní řízení rizik v organizacích a zda poskytují adekvátní podporu pro soudobé krizové situace.

Luděk Novák
Vystudoval v roce 1991 Vojenskou akademii v Brně, kde působil do roku 1994 jako odborný asistent se zaměřením na počítačovou bezpečnost. Do poloviny roku 1999 pracoval jako odborník na bezpečnost informací v různých pozicích na Generálním štábu Armády České republiky. Od léta 1999 uplatňuje zkušenosti s řízením informatiky v komerčním sektoru. V současnosti je samostatným konzultantem a auditorem se zaměřením na řízení informačních rizik, řízení bezpečnosti informací a řízení procesů ICT. Je držitelem certifikátů CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), CGEIT (Certified in the Governance of Enterprise IT), CRISC (Certificate in Risk and Information Systems Control), CSX-P (Cybersecurity Practitioner), CDPSE (Certified Data Privacy Solutions Engineer) a má kvalifikaci vedoucího auditora pro ohodnocení souladu podle norem ISO/IEC 27001 (systémy řízení bezpečnosti informací), ISO/IEC 20000 (systémy řízení služeb IT) a ISO 22301 (systém řízení kontinuity činností organizace). Je členem mezinárodní asociace ISACA a zároveň členem výboru českého chapteru ISACA.

Nahoru

Koncepce Trustworthiness
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; Per Partes Consulting

Chceme-li přejít most, očekáváme, že nespadne. Dá se IT systémům, v době moderní informatiky postavené na systémech ze systémů (SoS), důvěřovat, že dělají, co uživatelé a administrátoři očekávají a ne něco jiného? Fungují „správně“ při narušení jejich okolního prostředí, kybernetickým útokům a chybám, které vznikly při jejich vývoji, implementaci nebo servisu? Jaká kritéria mají splňovat důvěryhodné systémy? Budou diskutovány přístupy britské Trustworthy Software Initiative (TSI a jejich "five facets", dále ISO/IEC DIS 30754 Information technology — Software trustworthiness — Governance and management a v neposlední řadě letošní NIST SP 800-160 Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems a Developing Cyber-Resilient Systems. Nastala vážně doba se důvěryhodností systémů zabývat.

Petr Hujňák
Je ředitelem společnosti Per Partes Consulting soustředěné na ICT poradenství. Je soudním znalcem v oborech ekonomika, kybernetika a výpočetní technika, certifikovaným projektovým ředitelem IPMA (Level A CPD), certifikovaným projektovým manažerem na oblast projektové kvality (ISO 10006), certifikovaným odborníkem ISACA na řízení podnikové informatiky (CGEIT) a řízení rizik a IT kontrol (CRISC). Dlouhou dobu působil jako vedoucí partner divize Consulting ve společnosti Ernst & Young. Je prezidentem ISACA Česká republika.

Nahoru

Automatizace datové kvality – AI není "silver bullet"
Ing. Marek Ovčáček; Ataccama

Téma datové kvality rozhodně není ve světě IT novinkou, nicméně rapidně narůstající objemy dat, s nimiž firmy pracují, a proliferace cloudových systémů přináší nové výzvy a fakticky znemožňuje efektivní škálování stávajících postupů. Nasazení umělé inteligence (AI) může znít jako snadné a účinné řešení, ale v žádném případě není všespásné. V přednášce si představíme metodologii, jak datovou kvalitu v moderním IT světě výrazně zjednodušit za pomocí relativně jednoduché automatizace, a shrneme si, jak kombinovat automatizaci a AI abychom vybudovali efektivní moderní systém pro monitoring datové kvality.

Marek Ovčáček
Pracuje na pozici Vicepresident of Platform Strategy ve společnosti Ataccama. Dlouholeté zkušenosti s doručováním Data Quality, Data Management a Data Governance projektů na severoamerickém a evropském trhu. V současné době se věnuje strategickému plánování vývoje softwaru, identifikaci trendů na trhu s Data Governance a architekture řešení Data Managementu a Data Governance pro velké společnosti v USA a Kanadě.

Nahoru