Program XIII. konference IT Governance 2016

Internet věcí (IoT) je konceptem, v němž si „věci“ reprezentované fyzickými nebo virtuálními objekty vyměňují data přes síť. Netradičně vizionářsky pojatý tutoriál se zaměří na nastupující architektury a technologie pro IoT. Nejdříve bude rozebráno, jaké jsou myšlenky v pozadí dvou hlavních směrů: decentralizovaného a centralizovaného. Decentralizované řešení nazývané „Fog computing“ představuje koncept, při kterém věci komunikují mezi sebou a až výsledky lokálního zpracování dat jsou předávány do cloudu. Jeho uplatnění očekává OpenFog Consortium zejména v průmyslovém internetu věcí (IioT). Centralizovaná koncepce upřednostňuje přímou komunikaci věcí s centrálním místem na Internetu („Cloud computing“) a podle očekávání se prosadí zejména v rámci spotřebitelského internetu věcí (CioT). Bude poukazováno na nastupující problémy s interoperabilitou, o jejichž řešení usiluje referenční architekturou např. Industrial Internet Consortium, a na problémy s bezpečností, které adresuje ISACA ve svých publikacích.

Druhá část tutoriálu přinese praktický pohled formou vybraných ukázek konkrétních řešení pro IoT. Bude dán prostor vedoucím společnostem a zajímavým řešením přítomným v ČR, která se již dostala ze stádia experimentů v laboratorních podmínkách a začínají se prosazovat v reálném provozu.

Ing. Petr Hujňák, Ph.D., CGEIT, CRISC
Je ředitelem společnosti Per Partes Consulting soustředěné na ICT poradenství. K jeho odborným zájmům patří expertní systémy a Complexity Science. Je soudním znalcem na informatiku, certifikovaným ředitelem programů a portfolií IPMA „A“ (CPD), certifikovaným odborníkem ISACA na řízení podnikové informatiky (CGEIT) a řízení rizik a IT kontrol (CRISC). Dlouhou dobu působil jako vedoucí partner divize Consulting ve společnosti Ernst&Young. Je prezidentem ISACA Česká republika a předsedou konference IT Governance.
Nahoru

Dopolední workshop na téma bezpečnosti v agilním vývoji webových aplikací bude moderován dvojicí bezpečnostních konzultantů z ICT společnosti T-Mobile Czech Republic a.s. Úvodem bude krátce představeno kompetenční centrum na IT bezpečnost provozované koncernem Deutsche Telekom, které je situováno v Praze a poskytuje bezpečnostní služby ve střední a východní Evropě. Nosným tématem workshopu bude porovnání waterfall a agile metodik z pohledu bezpečnosti a prezentace základních principů bezpečného agilního vývoje včetně nezbytných organizačních i technologických prerekvizit v pojetí Deutsche Telekomu. Zmíněno bude rovněž využití bezpečnostního nástroje WAF, programu pro etické hackery Bug Bounty a kontinuální bezpečnostní vzdělávání pro týmy vývojářů. Workshop bude doprovázen řadou příkladů a praktických ukázek.

Ing. Miroslav Urbánek, Ph.D.
Vystudoval aplikovanou matematiku na VUT v Brně. Od roku 2003 působí jako bezpečnostní konzultant ve společnosti T-Mobile Czech Republic a.s., kde aktuálně vede regionální tým bezpečnostních služeb. Má rozsáhlé zkušenosti s analýzou a řízením rizik, provozem certifikovaného ISMS a auditem IS. Odpovídá za bezpečnostní evaluace nových služeb a změn zaváděných waterfallem i agilem. V T-Mobilu prosadil a provozuje program Bug Bounty pro etické hackery. Dlouhodobě se zaměřuje zejména na oblast rozvoje a správy IAM řešení.
Ing. Marek Šottl
Absolvent systémového inženýrství na Mendelově univerzitě v Brně. Profesní dráhu zahájil jako PHP developer se zaměřením na front end aplikace a pokračoval jako analytik a specialista IT bezpečnosti ve společnostech Airbank a Homecredit. Má zkušenosti také jako manažer informační bezpečnosti ve společnosti Hypoteční banka a.s., kde řídil implementaci SIEM řešení. Od roku 2015 působí mezinárodně jako konzultant pro aplikace a infrastrukturu na projektech skupiny Deutsche Telekom ve společnosti T-Mobile Czech Republic a.s. Je expertem v bezpečnosti aplikačního vývoje, v penetračním testování, v produktových evaluacích a architektuře informační bezpečnosti.
Nahoru

Systémy SIEM jsou běžnou součástí bezpečnostního ekosystému moderních organizací. Přestože se potenciálně jedná o velmi silné analytické nástroje, je často možné setkat se se stavem, kdy je SIEM v organizaci nasazen, ale jeho výstupy nejsou reálně využívány. Důvodem bývá především generování vysokého počtu false-positive detekcí a související vysoké požadavky na údržbu korelačních pravidel a neschopnost operátorů detekce korektně prioritizovat. Jedním ze způsobů, jak se lze uvedeným úskalím vyhnout, je propojení SIEM s výstupy analýzy rizik, což vede k zaměření detekce hrozeb pomocí SIEM primárně na kritické části infrastruktury. Počet falešných poplachů je v takovém případě omezen v důsledku snížení počtu infrastrukturních prvků, na něž jsou pravidla zaměřena (pouze kritické prvky), a schopnost operátorů i systému samotného korektně prioritizovat jednotlivé detekce se výrazně zvyšuje. V rámci přednášky budou posluchači seznámeni s možnostmi a výhodami propojení SIEM s výstupy analýzy rizik a s příkladem reálného řešení systému, který takové propojení využívá.

Ing. Jan Kopřiva
Jan Kopřiva vystudoval Bezpečnost informačních a telekomunikačních technologií na ČVUT v Praze. Od roku 2015 vede ve společnosti Alef Nula tým pro řešení kybernetických bezpečnostních incidentů ALEF CSIRT. Je autorem řady článků věnujících se problematice IT a bezpečnosti a provozuje portál UntrustedNetwork.cz, zaměřený na novinky v oblasti kybernetické bezpečnosti.
Ing. Michal Seidl, MBA
Michal Seidl vystudoval obor Telekomunikační technika na ČVUT v Praze a získal titul MBA - Master of Business Administration na Sheffield Hallam University, UK. Téměř 15 let se věnuje managementu provozu IT v různých společnostech, dodávajících služby systémové integrace. Od roku 2011 řídí divizi Managed Services ve společnosti Alef Nula, jejíž součástí je i tým pro řešení kybernetických bezpečnostních incidentů ALEF CSIRT. Mimo jiné je držitelem certifikace ISMS Auditor 27001:2013.
Nahoru

Prezentace Vás provede stavem řešení Incident managementu ve společnosti Cetin. Vysvětlíme si, co nás vedlo k postavení nového řešení včetně procesů tzv. na zelené louce, a jak efektivně nastavit vstupy a výstupy. V rámci prezentace proběhne živá ukázka řešení s demonstrací propojení incident managementu na aktiva a jejich rizika s reakcí na hrozby a proces Vulnerability managementu. V neposlední řadě ukážeme vnímání Incident managementu jako integrační platformy, včetně komunikačních schémat zajištujících komunikaci s okolním světem s důrazem na efektivitu.

Radek Živný
Radek Živný působí ve společnosti CETIN (Česká telekomunikační infrastruktura a.s.) od roku 2015 na pozici Chief Security Officer. V předchozích letech působil ve společnostech Český Telecom, a.s., Eurotel a Telefonica na odborných a vedoucích pozicích v oblasti bezpečnosti. Od roku 2000 se specializuje se na bezpečnost informačních technologií, bezpečnostní testy a řízení bezpečnosti.
Nahoru

Příspěvek je věnován propojení oblastí řízení bezpečnostních rizik a incidentů v souvislosti s moderními metodami řízení rizik a s častým opakováním procesu řízení rizik. Autor se zaměří na problematiku proaktivního a reaktivního přístupu k řízení rizik ve vztahu k oblasti řízení incidentů. Dále bude autor diskutovat typické aktivity a úlohy spojené se zvládáním bezpečnostních rizik a s řešením incidentů v průběhu různých fází životního cyklu informačního systému.

Ing. Jan Mészáros, Ph.D., CISA
V současné době působí na pozici Information Security Architect ve společnosti AVG Technologies CZ. Na VŠE v Praze získal doktorát v oblasti informační bezpečnosti a podílí se zde na výuce témat souvisejících s bezpečností IS/IT. V minulosti pracoval mimo jiné ve společnosti KPMG jako penetrační tester a auditor bezpečnosti IS/IT. Má rozsáhlé zkušenosti s bezpečnostními aspekty v různých fázích životního cyklu IS, ve své odborné praxi se věnuje zejména bezpečnostním hrozbám a rizikům v oblastech návrhu, architektury, tvorby, testování a provozu IS.
Nahoru

Příspěvek je zaměřený na možnosti využití nástroje vytvořeného ku prospěchu nejenom specialistů bezpečnosti IT a auditu IT, ale i manažerům odpovědným za zvládáním procesů řízení rizik. Jak pojmy analýza rizik, ocenění rizik, rizikové scénáře souvisí s Cobit 5? Co vše nám může „zjednodušit“ život? Odpověď se pokusíme nalézt z materiálů souvisejících s Cobit 5 for Risk.

Ing. Luboš Klečka CISA, CRISC
Absolvent Vojenské akademie v Brně, se zaměřením na automatizované systémy řízení a velení. Dlouhodobě se zabýval problematikou bezpečnosti IT, působil jako bezpečnostní specialista v Komerční bance. Podílel se na vytvoření a rozvoji infrastruktury veřejných klíčů, řešil otázku bezpečnosti v rámci projektových aktivit. V současné době je zodpovědný za IT audit v České spořitelně. Od roku 1999 je držitelem titulu CISA (Certified Information System Auditor). Je členem výboru české pobočky ISACA.
Nahoru

Prezentace bude doplněna.

Ing. Jan Krob
IT profesionál s mnohaletou mezinárodní praxí v IT.
Nahoru

GoodData jsou společností, která jednak zažívá bouřlivý rozvoj, jednak zaměstnává lidi, kteří nejsou úplně běžnými zaměstnanci, a to ani v IT společnostech. Jsou výkonní a zároveň nároční na efektivní pracovní prostředí; nespokojí se s průměrnou firmou a rigidními procesy. Zavádět a rozvíjet principy DevOps je tak pro GoodData nejen nutnost, ale především zajímavá práce.

Mgr. Tomáš Honzák
Tomáš má dlouholeté zkušenosti v oblasti metodologie vývoje software, procesního řízení a řízení informační bezpečnosti v globálních společnostech. V současné době působí jako Director, Security & Compliance v nejúspěšnějším českém startupu GoodData, kde vybudoval systém řízení informační bezpečnosti certifikovaný americkým standardem SOC 2 a naplňující požadavky HIPAA. Zaměřuje se především na hledání synergií mezi agilními metodikami vývoje a provozu IT a požadavky standardů řízení bezpečnosti a kvality. Je členem ISACA a Komory projektových manažerů.
Nahoru

Prezentace se zaměří na zkušenosti s agilním vývojem, jeho výhodami, úskalími, omezeními i radostmi.
MUDr. Jiří Brambůrek
Jiří má dlouholeté zkušenosti jako vývojář vícevrstvých aplikací i jako konzultant a architekt v oblasti informačních systémů. V současné době pracuje jako hlavní softwarový inženýr ve společnosti Concur. Věnuje se agilním metodikám vývoje aplikací, automatizaci testů a automatizaci nasazování agilně vyvíjeného softwaru.
Nahoru

Agilita je dnes zejména v řízení IT často skloňovaným slovem doprovázeným řadou emocí v celém spektru od pozitivního až k negativnímu. Být agilní je dnes cílem většiny společností. Není to ale jen „buzzword“ pocházející z business a IT strategií? Být agilní je dnes výhoda nebo je to už nutnost? Je to téma rezervované pouze pro IT, resp. jak hodně se agilita týká také businessu? Jak velký je přechod na agilní řízení kulturní šok pro dnešní firmy a jejich pracovníky? Ve třech samostatných blocích postupně odpovíme na tyto otázky a budeme připraveni s vámi diskutovat různé pohledy a zkušenosti na budoucnost řízeni IT.

Nahoru