Rejestracja uczestników. Poczęstunek na powitanie.
Otwarcie i wprowadzenie do tematyki konferencji.
Keynote Speaker: Prezentacja wstępnych wyników raportu bezpieczeństwa opracowanego przez Verizon Enterprise Solutions.
Keynote Speaker: The 2018 CISO.
The technology landscape in which we work is transforming at an accelerating rate and digital disruption is catapulting us all into a new era, the age of the customer. Security professionals are now unable to define or control the endpoint, or restrict access to sensitive data by perimeter controls, and these battles are being lost in an environment that has never been more dangerous, with cyber threats endangering our organisations at every turn.
The 2013 CISO is in danger of becoming an antique, like King Canute trying to hold back the tide of impending technological change - a new model is required. This presentation draws on Forresters 2013 CISO Study and presents their vision of how the role will change of the coming years. Welcome to the CISO of 2018.
Ochrona aplikacji w chmurze. Jak zabezpieczyć dane i zapewnić ich dostępność.
Prezentacja skoncentruje się nad dwoma aspektami bezpieczeństwa przetwarzania w chmurze: ochroną danych oraz zapewnieniu ich dostępności. W celu opisania istniejących w tym zakresie technologii bezpieczeństwa zostanie omówione zastosowanie Web Application Firewalla (WAF) oraz rozwiązania anty DDoS. Zadaniem WAF jest kontrola poprawnego korzystania z aplikacji web, ochrona przed kradzieżą lub nieuprawnioną modyfikacją danych. Ochrona przed DDoS musi uwzględniać ataki nastawione na wysycenie łącza oraz wysycenie mocy serwerów udostępniających aplikacje dla klientów.
Podczas prezentacji przedstawione zostaną specjalizowane rozwiązania Fortinet: FortiWeb i FortiDDoS.
Przerwa na kawę i herbatę. Networking.
Ochrona urządzeń mobilnych przed utratą danych i dostępem osób niepowołanych.
Celem prezentacji będzie przedstawienie całego cyklu użytkowania urządzeń mobilnych w firmach przez pryzmat działań z zakresu informatyki śledczej. Omówimy bezpieczne użytkowanie urządzeń mobilnych, a w szczególności: statystyki korzystania z poszczególnych modeli telefonów w Polsce, typowe zachowania użytkowników, wykorzystywane oprogramowanie, ryzyko wynikające z niewłaściwego użytkowania służbowych urządzeń mobilnych przez pracowników, dane jakie można odzyskać z urządzeń mobilnych (rejestry połączeń, treści SMS, logi aplikacji społecznościowych, dane geolokalizacyjne), kart SIM oraz kart pamięci. Druga część wystąpienia będzie dotyczyć ograniczenia ryzyka utraty ważnych danych z urządzeń mobilnych: sposobów technicznego i organizacyjnego zapobiegania utracie i wypływaniu informacji wrażliwych, procedur, które warto stosować przy przekazywaniu urządzeń mobilnych wewnątrz firmy, sposobów zapobiegania utracie danych w przypadku zgubienia lub kradzieży telefonu.
Od konta w portalu społecznościowym do skompromitowanego komputera.
Podczas prezentacji autor przedstawi przebieg hipotetycznego ataku zakończonego przejęciem kontroli nad komputerem użytkownika. Podczas symulowanego ataku, w fazie rekonesansu napastnik pobierze informacje z sieci społecznościowych, a następnie wzbudzi zaufanie i nakłoni do uruchomienia złośliwego oprogramowania. Faza rozpoznania obejmuje rozpoznanie osób oraz ich obyczajów, przedstawione zostaną także kryteria doboru narzędzi – została wykorzystana autorska platforma typu Command & Control, pozwalająca na zdalną kontrolę komputera ofiary bez wzbudzenia alarmu w standardowych rozwiązaniach typu AntiVirus i Firewall. Po przygotowaniu strony i eksploita, złośliwe oprogramowanie zostaje zainstalowane i uruchomione, by przejąć kontrolę nad komputerem ofiary.
Obiad
Uczestników konferencji zapraszamy na obiad do restrauracji Brasserie na parterze hotelu.
Bezpieczeństwo systemów mobilnych - przegląd ciekawych dokumentacji.
Prezentacja jest przeglądem dostępnych w Internecie (i nie tylko) dobrych praktyk oraz standardów dotyczących bezpieczeństwa infrastruktury mobilnej. Od hardeningu telefonów i tabletów, przez porównanie bezpieczeństwa platform iOS/Android, aż po zarządzanie flotą urządzeń mobilnych czy dobre praktyki budowy bezpiecznej infrastruktury mobilnej. Oprócz standardów przedstawimy także najważniejsze zagrożenia w świecie mobilnym związane z systemem operacyjnym, aplikacjami, uwierzytelnieniem i dostępem do wrażliwych danych, działaniem telefonu. W prezentacji omówimy także najnowsze zjawiska związane ze złośliwym oprogramowaniem w urządzeniach mobilnych i sposoby minimalizacji ryzyka.
Nowe metody zabezpieczania mobilności – ochrona przed malware’m i lekkomyślnością pracowników
Mobilność diametralnie zmieniła sposób, w jaki komunikujemy się i pracujemy. Stały, mobilny dostęp do maila i dokumentów pozwala pracownikom lepiej wykonywać swoje zadania, wiąże się jednak z ryzykiem związanym z wyciekiem wrażliwych danych. Pracownicy organizacji o wysokich wymaganiach dotyczących bezpieczeństwa muszą być na bieżąco z wynikami najnowszych badań dotyczących zagrożeń związanych z mobilnością i wykorzystywać narzędzia pozwalające zachować bezpieczeństwo wrażliwych danych i zgodność z firmowymi politykami.
Podczas prezentacji opowiemy, jakie nowe zagrożenia czyhają ze strony aplikacji mobilnych, jak im zapobiegać i jakie zabezpieczenia wprowadzają największe polskie firmy i instytucje finansowe.
John Mc Laughlin, Webroot
Płaszczki i jaskółki, czyli jak się podsłuchuje komórki
Przedstawienie narzędzi używanych przez służby (i bogatszą część sektora prywatnego) do identyfikowania, lokalizowania i podsłuchiwania telefonów komórkowych. Historia użycia, metoda działania, dostawcy i klienci.
Praktyczne aspekty wdrażania systemów klasy NAC.
Praktyczne aspekty związane z wdrożeniem systemu NAC w sieci dużego przedsiębiorstwa. Skierowana jest do osób odpowiedzialnych za bezpieczeństwo sieci. Oparta została na doświadczeniach prelegentów z wdrożeń systemu NAC. Poruszone zostaną założenia i cele wdrożenia, możliwe strategie wdrażania oraz najczęściej napotkane trudności oraz sposoby ich eliminacji.
Czarne chmury nad GRC (Governance, Risk and Compliance). Zarządzanie ryzykiem związanym z przetwarzaniem w chmurze.
Przetwarzanie w chmurze stało się standardem. Wraz ze wzrostem liczby procesów biznesowych obsługiwanych w tym modelu rośnie ilość i waga danych wysyłanych „w chmurę”, co zwiększa ryzyko związane z zapewnieniem jakości, bezpieczeństwa oraz zgodności z prawem, a także zmienia jego profil dla części działalności IT. Działy GRC (Governance, Risk and Compliance) nagle stanęły przed wyzwaniem przebudowy swojego modelu operacyjnego. Podczas prelekcji przedstawione zostaną praktyczne aspekty zarządzania ryzykiem związanym z przetwarzaniem w chmurze oraz praktyczne wskazówki dla osób odpowiedzialnych za GRC. Omówimy nowe ryzyka, metody oceny i zarządzania, a także różnice ryzyk między modelami przetwarzania danych.
Continuous Security Monitoring: od utopii do rzeczywistości. Perspektywa z chmury.
Continuous Security Monitoring to kolejna po bezpieczeństwie wirtualizacji i cloud computingu fraza-klucz przebojem zdobywająca kręgi ekspertów bezpieczeństwa. Jakie nadzieje pokładane są w Continuous Monitoring i czy zostaną one spełnione? Co Ciągły Monitoring Bezpieczeństwa ma wspólnego z cloud computing? W trakcie prezentacji, Andrzej Kleśnicki - ekspert bezpieczeństwa z firmy Qualys odpowie na te pytania, a także pokaże jak rozpocząć przygodę z Continuous Security Monitoring.
PCI w chmurach...
Prezentacja omówi temat uruchamiania środowisk przetwarzania danych kartowych w chmurach. Przedstawi zalety rozwiązania a także główne ryzyka związane z przetwarzaniem danych wrażliwych. Pokaze także rozwiązania, które pozwalają minimalizować zakres oraz prace zwiazane z utrzymaniem takiego środowiska.
DDoS rośnie w siłę - jak możemy się bronić.
Ataki DDoS, do niedawna postrzegane jako opanowane zagrożenie, znowu zaczynają nabierać na sile. Od 2013 roku obserwuje się wzrastającą liczbę tego typu ataków. Co więcej, ich główną przyczyną nie zawsze jest chęć uzyskania korzyści finansowych. Dużo częściej celem cyberprzestępców jest destabilizacja działalności danej organizacji, przekonania ideologiczne i polityczne, bądź prozaicznie – potrzeba pokazania się. Niezależnie od motywów, ataki DDoS wpływają bardzo niekorzystnie na wizerunek atakowanych firm oraz instytucji i mogą prowadzić nie tylko do strat finansowych, ale również do utraty reputacji i zaufania klientów i użytkowników. W czasie prezentacji eksperci firmy Exatel wyjaśnią, czym dokładnie są ataki DDoS oraz przedstawią możliwość ochrony przed nimi w oparciu o wykorzystywane przez Exatel specjalistyczne rozwiązania zabezpieczające.
When a vendor thinks differently - Samsung and Oracle case study.
The Android phone makers do everything to customise their devices just make sure they are different. Samsung changed something important under the hood. Samsung thinks differently about the android device encryption. In the presentation we show what was changed by Samsung in his flagship phones compared to vanilla android firmwares. We show how can you get the clear text encryption key through adb and not just that. We cannot make a presentation without Oracle hacking, so we show how they tried to think differently and of course it is also crypto related".
Socialterroryści - jak hackować Facebooka?
Prelekcja to case study kilku różnych incydentów, które rozgrywały się na Facebooku. Pokażemy jak wykradać dane zwykłych użytkowników Facebooka i przejmować ich konta. Opiszemy także realne zagrożenia czyhające na administratorów firmowych Fanpage'y. Ceną tych "zabaw" będą nie tylko "lajki" ale i pokaźne pieniądze, które z facebookowych ataków pozyskują socialterroryści.
Podsumowanie 1. dnia konferencji. Zebranie ankiet i losowanie nagród wśród obecnych Uczestników.
After Party dla Uczestników konferencji.
SEMAFOR to nie tylko konferencja, to również wieczorne After Party. Tradycyjne spotkanie integracyjne daje Uczestnikom możliwość porozmawiania z partnerami, potencjalnymi klientami, czy też osobami o podobnych zainteresowaniach, w luźnej atmosferze.
Rejestracja uczestników. Powitalny poczęstunek.
Powitanie uczestników i otwarcie konferencji.
The Perfect Storm: threats and risks in the Cloud and Above the Cloud: Thoughts at 33000 feet.
The world is changing at the speed of light and new approaches to the way we manage IT are needed. Cloud Computing represents a new platform for a new era, a new pay-as-you-go model that has changed and will change the way we deploy, manage and provide service to organizations and individuals. Cloud is pervasively expanding as it touches almost everything in the IT arena: from storage to infrastructure, from the network to security, from hardware to applications. Cloud just amplified our risk perception and we have to protect businesses going to the Cloud, in the Cloud... and from the Cloud. This session will touch the wider Cloud dimension while providing a detailed view on the different flavors and angles of Cloud Computing, providing an overarching perspective on how to audit, manage, govern, embrace, adopt and adapt a new platform that is here to stay.
Analityka predykcyjna jako teraźniejszość i przyszłość rynku przetwarzania danych. Spojrzenie rzecznika ochrony danych.
Przerwa kawowa. Networking.
Nowe zagrożenia i prywatność w dobie "Internet of Things".
Prezentacja dotyczyć będzie zagrożeń, jakie pojawiają się w związku powszechnym zastosowaniem technologii w naszym codzienny życiu. Chciałbym pokazać, że używanie coraz bardziej wymyślnych urządzeń wspomagających nasze codzienne zadania może się wiązać z poważnymi konsekwencjami. Masowa produkcja różnego rodzaju gadżetów sprawia, że główny nacisk kładziony jest na ich funkcjonalność, co bardzo często dzieje się kosztem ich bezpieczeństwa. W prezentacji chciałbym także poruszyć temat miniaturyzacji oraz bezpieczeństwa „systemów wbudowanych” (embedded devices) to te dwa trendy sprawiają, że pojęcie „Internet of Things” staje się powoli rzeczywistością. Kolejnym ważnym tematem, jaki chciałbym poruszyć to prywatność. Zastosowanie coraz mniejszych i bardziej zaawansowanych systemów daje zupełnie nowe obszary pozyskiwania informacji nt. zachowań użytkowników. Urządzenia takie jak google glass już zaczynają budzić kontrowersje, (pomimo tego, że nie są jeszcze nawet masowo dostępne) dlatego, że umożliwiają bardzo zaawansowaną integrację „realu” z siecią.
McAfee Security Connected – zintegrowany obszar bezpieczeństwa IT
W jaki sposób pogodzić wymagania prawne oraz biznesu z zapewnieniem bezpieczeństwa i ciągłości działania systemów teleinfomatycznych? Dzisiaj, kiedy wpływy z cyberprzestępczości stanowią największy udział w dochodach z działalności przestępczych, a dedykowane ataki są pisane przez wyspecjalizowane w tym organizacje wszyscy stajemy przed wyzwaniem jak ograniczyć ryzyko teleinformatyczne związane z prowadzeniem biznesu. Na dodatek rosnące wymagania formalno prawne sprawiają, że mamy do czynienia z lawinowym przyrostem oczekiwań wobec Działów Security. Jak im sprostać? McAfee, lider na rynku rozwiązań bezpieczeństwa przedstawi wizję Security Connected, wizję spójnego, zintegrowanego zarządzania bezpieczeństwem na każdym urządzeniu jako próbę odpowiedzi na tak postawione pytanie.
Narzędzia do oceny bezpieczeństwa w modelu cloud computing.
Niekomercyjne, dostępne darmowo narzędzia do oceny i audytu bezpieczeństwa w modelu cloud computing (głównie dostawców) opracowane przez grupy robocze CSA, a jako studium przypadku posłużę się przykładem aktualnie trwającej migracji środowisk informatycznych AXA (jestem managerem bezpieczeństwa IT w tej firmie) na infrastrukturę chmury współdzielonej.
300 programistów, 200 zmian na miesiąc i 1 specjalista ds. bezpieczeństwa.
Prezentacja dotyczy sposobów zarządzania bezpieczeństwem IT przez 1 osobę, w firmie która ma 300+ programistów i w której jest około 200 uaktualnień kodu w miesiącu (continuous delivery). Zjawisko to jest dość typowe dla aplikacji w modelu chmurowym.
Przygotowanie przedsiębiorstwa do zdalnego zarządzania systemem bezpieczeństwa.
Zdalne zarządzanie systemem bezpieczeństwa przyniesie największe korzyści, kiedy się do tego właściwie przygotujemy. Niezwykle istotne jest by postrzegać istniejący system bezpieczeństwa jako jeden zintegrowanym mechanizm. Przygotowanie przedsiębiorstwa do zdalnego zarządzania bezpieczeństwem najlepiej poprzedzić remanentem początkowym istniejącego systemu bezpieczeństwa. W prezentacji zostaną omówione dwie metody oceny systemu bezpieczeństwa jako całości (ocena ilościowa dla dużych przedsiębiorstw i ocena jakościowa dla małych i średnich) oraz różne rodzaje usług zdalnego zarządzania bezpieczeństwem (Managed Security Services).
Skoro jest tak dobrze to, dlaczego ciągle mamy pracę? Bezpieczeństwo na kolejnych etapach cyklu tworzenia oprogramowania.
Dlaczego na etapie testów penetracyjnych napotykamy ciągle na tak dużą liczbę błędów mających znaczący wpływ na bezpieczeństwo rozwiązania? W ramach prezentacji podjęta zostanie próba omówienia kolejnych etapów procesu tworzenia oprogramowania pod kątem ich wpływu na bezpieczeństwo tworzonego produktu. Wskazane zostaną typowe błędy i zaniechania rzutujące na kształt finalnego rozwiązania poparte praktycznymi przykładami, z którymi autor miał okazję zetknąć się w swojej dotychczasowej pracy. Pokazane zostaną liczne problemy, z którymi zmaga się ekspert ds. bezpieczeństwa zaangażowany w prace zespołu projektowego na podstawie praktyki zdobytej w ramach pracy w kilkuset projektach dla firm o różnym profilu działalności (telekomunikacja, finanse, produkcja). Zaproponowane zostaną rozwiązania mające na celu zminimalizowanie lub całkowite wyeliminowanie wskazanych wcześniej problemów poprzez zmianę podejścia do procesu tworzenia oprogramowania, zaangażowanie w prace zespołu projektowego odpowiednich osób oraz zwiększanie świadomości managementu odpowiedzialnego za projekt.
Obiad.
Uczestników zapraszamy na lunch do restauracji Brasserie na partnerze hotelu.
Cloud Computing w obliczu nowych zagrożeń.
Rok 2013 przyniosł wiele ciekawych informacji związanych z bezpieczeństwem chmur obliczeniowych. Według informacji ujawnionych przez Edwarda Snowdena NSA miało dostęp do danych gromadzonych przez największe internetowe firmy na podstawie sądowej procedury, w tak zwanym programie PRISM. Oprócz tego NSA bez zezwoleń sądowych założyło podsłuch na uznawanych przez firmy za zaufane łączach sieciowych serwerowni firm Google oraz Yahoo. Innym podobnym incydentem było sfałszowanie przez francuskie organizacje rządowe certyfikatów PKI chroniących usługi sieciowe Google. Informacje medialne na temat naruszeń bezpieczeństwa danych prywatnych przez służby specjalne spowodowały ogromne straty reputacyjne dla największych firm z branży chmur obliczeniowych. Z tego też względu podniesione zostaną standardy zabezpieczeń systemów korzystających z chmur obliczeniowych. W prezentacji zostaną przedstawione dostępne publicznie szczegóły opisanych powyżej programów infiltracyjnych oraz mechanizmy bezpieczeństwa, które pozwalają na zwiększenie bezpieczeństwa systemów korzystających z chmur obliczeniowych.
Systemy zabezpieczania i odzyskiwania danych na wszystkich poziomach infrastruktury firmy.
Tematyka wystąpienia dotyka kwestii przechowywania, kopiowania, archiwizowania oraz odtwarzania (odzyskiwania) danych na rożnych poziomach. Dane te związane są bezpośrednio z infrastrukturą IT firmy na poziomie systemów koniecznych do jej funkcjonowania, ale także na poziomie użytkowników/pracowników mających dostęp do kluczowych informacji. Pracownik jest tu rozpatrywany z perspektywy urządzeń typu komputer stacjonarny czy laptop, ale również pod kątem urządzeń typu smartfon, tablet, telefon. Zabezpieczanie informacji, ich przechowywanie oraz odtwarzanie, również w sytuacjach awaryjnych, staje się kluczowe dla bezpieczeństwa przedsiębiorstwa i instytucji publicznych oraz ich płynnego funkcjonowania i zachowania ciągłości działania.
Smartfon - jeszcze telefon czy już komputer? Dylemat informatyki śledczej.
Obecnie nie można mówić, że smartfon jest tylko telefonem. Zastępuje on w wielu aspektach komputer. Stąd specjaliści informatyki śledczej napotykają często duże trudności podczas badania tych urządzeń. Czym je badać, jak traktować, jakie informacje z nich uzyskać bądź odzyskać? Prezentacja będzie się opierała na dwóch flagowych produktach do badania urządzeń mobilnych: Oxygen Forensic Analyst (software) i UFED (hardware+UFED Physical Analyzer - software). Ponieważ w chwili obecnej każdy pracownik dysponuje przynajmniej jednym takim urządzeniem (bardzo często służbowym), to dla służb IT w firmie bardzo ważna będzie wiedza, co i jak można z takiego urządzenia pozyskać (ew. zabezpieczyć dla celów dowodowych).
Minimalizowanie ryzyk prawnych związanych z elektronicznym obiegiem informacji.
Informacja dziś to jeden z najcenniejszych aktywów przedsiębiorstwa. Jej ochrona staje się więc coraz istotniejszym filarem działalności każdej organizacji. Wycieki informacji, kradzieże baz danych, ujawnianie tajemnic przedsiębiorstwa to tylko niektóre z przykładów sytuacji, przed którymi prowadzący działalność gospodarczą muszą się chronić. Niezwykle istotne jest wyjaśnienie, jakie mechanizmy prawne zapobiegają w/w przypadkom i jak z wykorzystaniem narzędzi prawnych zabezpieczać i systematyzować obieg informacji w bieżącej pracy. W prezentacji szczególny nacisk położony jest na kwestie związane z ochroną danych osobowych, w tym na problem prawidłowego z punktu widzenia prawa powierzenia danych osobowych i przetwarzania danych osobowych w chmurze obliczeniowej. To właśnie na te zagadnienia należy zwrócić szczególną uwagę, rozważając problem outsourcingu wszelkiego rodzaju usług. Formułowanie odpowiednich zapisów umownych i ostrożne regulowanie stosunków prawnych jest jednym z najpewniejszych środków zapewniających bezpieczeństwo przetwarzanych danych. Poza tematem związanym ściśle z danymi osobowymi, prezentacja zwraca również uwagę na informacje, objęte tajemnicami, których outsourcing i przetwarzanie w chmurze są w wielu przypadkach wciąż dyskusyjne i na gruncie prawnym, a co za tym idzie, również praktycznym, przynoszą wiele problemów. Wdrażanie rozwiązań, minimalizujących ryzyka, związane z obiegiem informacji, jest skuteczne tylko wtedy, gdy obok elementu organizacyjno-technicznego, pojawi się w tych rozwiązaniach również element prawny. Właśnie ten aspekt problemu stanowi oś prezentacji, której celem jest wskazanie działań, które należy podjąć, aby bezpieczeństwo informatyczne i fizyczne skutecznie połączyć z bezpieczeństwem prawnym.
Big Data - wyzwania, szanse i zagrożenia dla bezpieczeństwa
Zbiory typu Big Data z impetem wkroczyły w nasze życie. Odgrywają coraz większą rolę w życiu zarówno pojedynczych osób jak i przedsiębiorstw i organizacji. Przy czym użytkownicy nie zawsze mają świadomość, że ich dane są lub mogą być przetwarzane w systemach Big Data, i że może mieć to związek z bezpieczeństwem informacji. Z punktu widzenia bezpieczeństwa IT i bezpieczeństwa informacji Big Data może być postrzegane wielorako. Z jednej strony można zaobserwować szanse jakie daje przedsiębiorstwom. Dostępne stają się narzędzie potrafiące przetwarzać olbrzymie porcje danych typu Big Data (w tym wiadomości e-mail, ruch sieciowy), które pomagają firmowym ekspertom bezpieczeństwa wykrywać wewnętrzne zagrożenia oraz zewnętrzne ataki, nające na celu wykradanie poufnych informacji ważnych dla firmy. Takie rozwiązania mają w swej ofercie czołowi producenci IT, np. IBM, RSA Security. Z drugiej strony stosunkowo łatwo zidentyfikować zagrożenia, które niesie wykorzystanie Big Data. Np. zagrożenia, które dotyczą sfery prywatności czy też wykorzystywanie informacji przetwarzanych z wykorzystaniem Big Data do ataków na systemy teleinformatyczne. Prezentacja będzie przedstawiała zarówno wyzwania w obszarze bezpieczeństwa informacji przed jakimi stajemy korzystając z Big Data jak i szanse jakie Big Data oferuje w dziedzinie bezpieczeństwa IT. Przedstawione zostaną wyzwania, przed którymi stają przedsiębiorstwa chcące wykorzystać Big Data oraz zagrożenia które Big Data niesie dla bezpieczeństwa zarówno organizacji jak o osób prywatnych. Jednym z elementów prezentacji będzie przedstawienie narzędzi wykorzystujących Big Data a przeznaczonych do ochrony informacji, oraz narzędzi, które są lub mogą być wykorzystywane przez hackerów.
Application Security Verification Standard.
Prezentacja ma na celu przedstawienie standardu weryfikacji bezpieczeństwa aplikacji ASVS (Application Security Verification Standard). Standard ten można stosować już na etapie definiowania wymagań w celu ustalenia wymagań dotyczących zabezpieczeń (również niefunkcjonalnych). Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Ponadto stosowanie ASVS powoduje sprecyzowanie zakresu testów bezpieczeństwa a co za tym idzie sprowadzenie porównywanych ofert na testy weryfikacyjne do wspólnego mianownika. Warto również podkreślić, że ASVS ma formę listy kontrolnej podzielonej na poziomy w zależności od ryzyka, w związku z tym zakres weryfikacji może być dobrany adekwatnie do specyfiki aplikacji. Standard ten został stworzony w roku 2009 roku w ramach projektu OWASP (Open Web Application Security Project) i został przetłumaczony na kilkanaście języków, w tym polski. W tym roku ukazuje się nowa aktualizacja standardu ASVS i na tej nowej wersji będzie skupiona prezentacja.
Wytyczne do zabezpieczeń informacji dla MSP - kontynuacja.
Od dwóch lat stowarzyszenie ISSA Polska prowadzi projekt MSP, którego celem jest stworzenie wytycznych do zabezpieczeń informacji dla Małych i Średnich Przedsiębiorstw. Stworzyliśmy uproszczone język-metodykę, zrozumiałe dla nieprofesjonalistów, ale pozwalające opisać wymagane zabezpieczenia. Język ten i metodyka są użyteczne dla szerokiej rzeszy odbiorców począwszy od obsługującej komputer recepcjonistki, poprzez administratora systemów w centrum obliczeniowym aż po prezesa dużej międzynarodowej grupy. Zabezpieczenia, które zaprezentujemy zostały stworzone na podstawie naszych własnych doświadczeń oraz dzięki żmudnej analizie ISO 27001 oraz Consensus Audit Guidelines (CAG v 4). Zasadniczym ekstraktem ze znalezionej listy zabezpieczeń są zalecenia higieny bezpieczeństwa informacji, których pierwszą wersję (ISSA Polska HBI v1) przedstawimy na konferencji.
Szacowanie ryzyka bezpieczeństwa informacji - zapiski z kapownika Kierownika Projektu.
Celem prezentacji jest przestawienie case study dot. przeprowadzenia szacowania ryzyka bezpieczeństwa informacji w oparciu o normę ISO 27005 dla podmiotu z branży bankowości. W czasie prelekcji zostanie przestawiona:
Złapani w sieć (społecznościową).
Zaplątani w sieć połączeń - bezpieczeństwo webowe.
Strony WWW korzystają z łączonych zasobów, na które wzajemnie się powołują. Przedstawiamy krajobraz zagrożeń związanych z linkowanymi obiektami, środowisko widgetów sieci społecznościowych, trackerów, beaconów i obcych skryptów reklamowych. Wobec takich zagrożeń większość przeglądarek jest w zasadzie bezbronna. Z kolei firmy, które z nich korzystają, narażają się na spore niebezpieczeństwo - od kradzieży danych, przez emisję złośliwego oprogramowania, aż do przejęcia całej treści strony włącznie. Nie będzie to dogłębna analiza kodu, ale przedstawienie zjawisk, które rządzą tym światem oraz narzędzi, które pomogą w walce z omawianymi zagrożeniami.
Podsumowanie i zamknięcie konferencji. Zebranie ankiet i losowanie upominków dla Uczestników.
© Copyright 2024 International Data Group Poland S.A.
00-131 Warszawa, ul. Grzybowska 2/44
tel. +48 22 3217800