SEMAFOR to idealne miejsce do zapoznania się z bieżącymi zagrożeniami i ciekawymi case studies z zakresu cyberbezpieczeństwa. To wyjątkowa, doskonale znana w środowisku osób związanych z bezpieczeństwem, okazja do zdobycia nowego doświadczenia oraz nawiązania i podtrzymania relacji w środowisku bezpieczeństwa i audytu IT. Tegoroczna edycja konferencji odbędzie się w dniach 27-28 maja 2021. Po raz pierwszy organizujemy ją w całości w formule online, ale pozostaje sprawdzonym forum dzielenia się wiedzą – będzie to w pełni interaktywne wydarzenie.
W czasie tegorocznej konferencji będziemy mówić o najnowszych rozwiązaniach, wykorzystaniu ich w celu podnoszenia poziomu bezpieczeństwa oraz o potencjalnych podatnościach na ataki. Poruszymy również temat technologii Zero Trust, bezpieczeństwa w chmurze, jak również bezpieczeństwa w nowych hybrydowych formach pracy, które stały się codziennością większości firm. Wiele uwagi poświęcimy także trendom, które dopiero zyskują na znaczeniu, ale wkrótce mogą okazać się przełomowe. Tego wszystkiego uczestnicy dowiedzą się od najlepszych na rynku ekspertów #cybersecurity z Polski i zagranicy.
Podczas konferencji w 2020 r. gościliśmy ponad 500 uczestników, którzy mogli wybierać spośród 50 prelekcji i 4 ścieżek tematycznych, a uczestnictwo było możliwe zarówno online jak i stacjonarnie. W tym roku nie zwalniamy tempa i działamy z jeszcze większym rozmachem!
Prelegentów
Uczestników
Eksperckich stref partnerskich z czatami
Dni do Semafor 2021
Ostatni rok był wielkim wyzwaniem dla nas wszystkich, a obszar cyberbezpieczeństwa stał się jednym z kluczowych elementów zapewnienia ciągłości działania i przetrwania wielu nowoczesnych przedsiębiorstw. Skala cyberataków stała się nieporównywalnie większa w otaczającej nas „nowej rzeczywistości”. Cyberprzestępcy wykorzystują innowacyjne techniki oraz narzędzia, które mają posłużyć ich celom i zagrozić funkcjonowaniu firm. Jak zatem radzić sobie w tych czasach? Jakie technologie wybrać dla zapewnienia bezpieczeństwa naszym przedsiębiorstwom i nam samym?
Tematem przewodnim konferencji jest "Cyberbezpieczeństwo w nowej rzeczywistości". Konferencja odbędzie się z podziałem na 4 ścieżki tematyczne:
Audyt IT:
Cyberbezpieczeństwo, Hacking i Forensic:
Zarządzanie Bezpieczeństwem:
Technologie i Innowacje:
Posiada 20 lat doświadczenia w prowadzeniu złożonych projektów dla międzynarodowych organizacji z sektora finansowego, telekomunikacyjnego i farmaceutycznego. Jest doradcą w obszarach wytwarzania oprogramowania, zarządzania ryzykiem, wdrażania procesów GRC (Governance, Risk and Compliance), budowy hurtowni danych, analiz Big Data/Business Intelligence oraz Architektury Systemów IT. Z sukcesem prowadził projekty wdrożenia systemów Revenue Assurance, hurtowni danych (w Polsce i za granicą), a także programy usprawniające organizację projektową w oparciu o Project Management Office, czy też zwiększające poziom dojrzałości i konkurencyjności przedsiębiorstw (CMM).Prelegent na polskich i międzynarodowych konferencjach dotyczących bezpieczeństwa informatycznego, zarządzania ryzykiem, Data management, rozwiązań opartych o AI oraz blockchain. Posiada Certyfikat PMP (organizacji PMI) oraz certyfikaty CRISC i CISM (organizacji ISACA). Jest absolwentem Wojskowej Akademii Technicznej (Cybernetyka), Szkoły Głównej Handlowej (Zarządzanie) oraz Akademii Leona Koźmińskiego (MBA).
Uczestnik programów bug bounty - wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security). Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer, Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139). Konsultant d/s bezpieczeństwa IT w firmie Securitum i autor w serwisach sekurak.pl, sekurak/offline oraz w magazynie Programista. Ponad 7 lat doświadczenia w testowaniu aplikacji mobilnych i webowych. Prelegent na konferencjach: MEGA SHP (2019), Confidence (2019, 2018), SEMAFOR (2019), SECURE (2019, 2018), KrakYourNet (2016), 4Developers (2016), [email protected]ów (2015).
Z informatyką związany od ponad 25 lat. Swoją przygodę rozpoczynał jako programista w czasach gdy COBOL był jednym z głównych języków oprogramowania. Od połowy lat dziewięćdziesiątych wdrażał pierwsze usługi Internetowe bazujące na mało wtedy jeszcze znanym systemie operacyjnym Linux. Swoje doświadczenie zawodowe zdobywał między innymi jako administrator systemów, kierownik działu sieci i bezpieczeństwa sieciowego, główny specjalista CPD, a ostatnio jako dyrektor data center. Obecnie w ITEO, rozwija zespół Cloud and Security, którego celem jest oferowanie najwyżej jakości bezpiecznych usług chmurowych.
Zespół Analiz Stanu Bezpieczeństwa Cyberprzestrzeni w Ministerstwie Sprawiedliwości. Z zawodem audytora związany od 2003 r., społecznie członek Instytutu Audytorów Wewnętrznych IIA Polska, absolwent studiów podyplomowych Wydziału Elektroniki i Technik Informacyjnych Politechniki Warszawskiej „Ochrona informacji w sieciach i systemach teleinformatycznych: projektowanie i audyt zabezpieczeń”. Pasjonat dobrze zarządzanego IT i realnych badań bezpieczeństwa IT. W samodzielnie realizowanych zadaniach audytu informatycznego, systematycznie rozwija umiejętności wykorzystania narzędzi informatycznych, w tym techniki przeprowadzania badań podatności i testów penetracyjnych. Uczestniczył w projektach IIA Polska, dotyczących tłumaczenia na język polski poradników związanych z zarządzaniem IT oraz zarządzaniem ciągłością działania.
Ekspert w zakresie bezpieczeństwa informacji, zarządzania ryzykiem IT i audytu IT. Zaangażowana w liczne projekty doradcze i audytowe z zakresu bezpieczeństwa informacji i audytu systemów informatycznych. Posiada doświadczenie związane z zapewnianiem zgodności z wewnętrznymi i zewnętrznymi wymaganiami, np. z normą ISO27001, Rekomendacją D, stworzoną przez Komisję Nadzoru Finansowego (KNF), PCI DSS czy GDPR/RODO. Posiada doświadczenie w przeprowadzaniu audytów IT oraz weryfikacji systemów kontroli wewnętrznej w zakresie środowisk IT i badaniu ich zgodności z wymaganiami Sarbanes-Oxley Act oraz na potrzeby badania sprawozdań finansowych (Ustawy o Rachunkowości). Przeprowadzała również audyty ISAE 3000 w kontekście procesów zarządzania jakością danych. Aktywny członek Zarządu Stowarzyszenia ISACA Warszawa, skupiającego praktyków z obszaru ładu informatycznego, kontroli, bezpieczeństwa, audytu, zapewniania jakości systemów informatycznych i zarządzania ryzykiem informatycznym (ok. 450 członków). Posiadaczka następujących certyfikatów: CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), ITIL Foundation.
Posiada prawie 15 lat doświadczenia w projektach dotyczących bezpieczeństwa IT u klientów w różnych sektorach ze strony presalesowej. Realizowane projekty dotyczyły bezpieczeństwa informacji, bezpieczeństwa systemów końcowych, zarządzania podatnościami, bezpieczeństwa sieciowego, bezpieczeństwa zdalnego dostępu czy obszarów powiązanych z SOC. Uczestniczył w wielu konferencjach w Polsce jak i w krajach regionu promując nowe technologie w powyższych obszarach. Współpracował z największymi klientami podczas analizy wyzwań i pozycjonowania odpowiednich rozwiązań bezpieczeństwa pasujących do posiadanego ekosystemu. Członek ISC2 oraz ISSA Polska . Posiada certyfikat CISSP.
Były pracownik Uniwersytetu Warszawskiego, obecnie szef Centrum Kompetencyjnego Tenable przy OpenBIZ Sp. z o.o., platynowego partnera Tenable Inc. Cezar Cichocki posiada pełną certyfikacje Tenable oraz został przez Tenable Inc. nagrodzony honorowym tytułem Tenable Guardian przyznawanym najlepszym specjalistom w skali globalnej.
Founder
Piotr Dzwonkowski zajmuje się różnymi obszarami związanymi z przetwarzaniem informacji: zarządzaniem, ryzykiem, kontrolą, bezpieczeństwem i audytem. Jako akredytowany trener ISACA prowadzi szkolenia przygotowujące do egzaminu CISA, CISM i CRISC. Prowadzi warsztaty z obszaru zarządzania ryzykiem IT, COBIT2019, RODO oraz szkolenia na audytora wiodącego ISO/IEC 27001. Wspomaga różne organizacje w procesie zarządzania ryzykiem IT, we wdrożeniach ISO/IEC 27001 oraz w procesach zgodnościowych (KNF) i RODO. Jest czynnym audytorem wiodącym ISO/IEC 27001 w dwóch jednostkach certyfikacyjnych.
Piotr Dzwonkowski jest autorem książki „Okazja i Ryzyko: sukcesy i niepowodzenia w ochronie Wartości”
Posiada certyfikaty ISACA: CISA, CISM, CRISC I CDPSE
Ekspert ds. bezpieczeństwa IT, członek Zarządu (ISC)2 Poland Chapter, od 12 lat doświadczenia w branży Security IT w obszarach związanych m.in. z SOC, SIEM, Incident Handling, Threat Hunting oraz Vulnerability Management & Pentration Testing. Od kilku lat zajmuje się głównie projektowaniem mechanizmów wykrywania zagrożeń bezpieczeństwa oraz konsultingiem z zakresu cyberbezpieczeństwa.
Bruno has 20 years of IT Professional Services experience, particularly in areas related with Governance and Management of Enterprise IT, Security and Digital Transformation. He devotes enthusiastically to advising, teaching, and training professionals and Organizations, collaborating with a network of partners, especially IDC Portugal where he’s Leading Senior Advisor. He teaches in different university Executive Programs, he’s the founder and Past-President of the ISACA Lisbon Chapter and keynote speaker at various conferences and seminars, having been selected in 2019 as the recipient of the ISACA John Kuyers Award for Best Speaker. He has a 5-year degree in Management and Computer Science, a post-degree in Project Management and the professional certifications CISA®, CGEIT®, CRISC™, PMP® and LEGO® Serious Play® Facilitator.
On a personal level he dedicates some of his time to some social and civic organizations and in 2021 he was chosen by the Inicaitiva Liberal party as the candidate for Mayor of Lisbon, Portugal.
Z programowaniem związany jestem od 2004 roku kiedy to po raz pierwszy napisałem kod w ramach pracy zawodowej i od tamtej pory świat programowania i bezpieczeństwa jest moją nieustanną pasją. W swoim zawodowym życiu pracowałem przy wielu aplikacjach z którymi polscy użytkownicy Internetu mają styczność np. przez 2 lata współtworzyłem kod aplikacji obsługującej rejestr.pl. Bezpieczeństwo dla mnie zaczyna się właśnie w pracy architekta tworzącego system poprzez developera robiącego implementację oraz pentestera sprawdzającego możliwe występujące błędy.
Absolwentka Wydziału Elektroniki Politechniki Warszawskiej z ponad 40-letnim doświadczeniem w informatyce. Przeszła całą drogę zawodową od operatora do dyrektora. Pracowała w instytucjach państwowych oraz firmach polskich i zagranicznych. Jako certyfikowany audytor – CISA – specjalizuje się w audytach informatycznych w jednostkach sektora finansów publicznych. Prowadzi szkolenia z zakresu audytu informatycznego i metodyki COBIT według autorskich programów. Expert Reviewer m.in. metodyki COBIT5 i COBIT 2019 oraz ITAF 4th Edition. Ukończyła studia podyplomowe Prawa Dowodowego, Kryminalistyki oraz Nauk Pokrewnych prowadzone przez Centrum Nauk Sądowych Uniwersytetu Warszawskiego. Uczestniczy w konsultacjach aktów prawnych dotyczących bezpieczeństwa informacji, cyberbezpieczeństwa i ochrony danych osobowych. Przetłumaczyła aplikację PIA francuskiej CNIL na j.polski. Ma na swoim koncie liczne publikacje w prasie fachowej i wystąpienia na konferencjach IT. Obecnie autorka artykułów w Biuletynie PTI. Zachęca kobiety do pracy w cyberbezpieczeństwie.
Omar has been developing and managing security solutions for startups, service providers, consulting firms and enterprises. He is currently CISO at Highmark Health, an $18 billion blended healthcare delivery and financing system, employing 35,000 and serving 50 million Americans. Prior to Highmark Health, he was at Verizon Enterprise Solutions, where he was responsible for a portfolio of security solutions with customers in 72 countries. Omar believes the right people are the greatest asset of any security program and relentless incrementalism is the ultimate weapon in combating cyber risk. He believes security programs should be business driven and technology ought to be subordinate to business outcomes and service improvements. To get the Why-What-How sequence right when selecting and executing initiatives, he developed the BOSITE framework. These days, Omar's passions lie in three areas: people, measurement and change management. Omar currently serves on the boards of: HITRUST, Leadership Pittsburgh, Action Housing and FAIR Institute; on the Governing Body of Evanta; on the CISO Workgroup of BCBSA; and adjunct faculty for the CISO program at Carnegie Mellon University. In addition, he serves as an advisor to half a dozen tech firms. Omar's certifications include: CISSP, CCSK, CCSP, CPHIMS, SAFe Agilist and FAIR Risk. He has a BS in Electrical Engineering from Georgia Tech and an MBA from the Darden School of Business at the University of Virginia.
Robert Kośla, Dyrektor Departamentu Cyberbezpieczeństwa, Kancelaria Prezesa Rady Ministrów
Absolwent Wydziału Inżynierii Elektrycznej i Komputerowej Politechniki Krakowskiej. Ukończył również studia podyplomowe „Inżynieria oprogramowania” na Wydziale EAIE krakowskiej Akademii Górniczo-Hutniczej. Od ponad 15 lat zajmuje się tematyką wdrożeń, projektowania i administracji systemami bezpieczeństwa, a także integracji rozwiązań komercyjnych oraz open source. Zawodowo interesuje się również zagadnieniami testów penetracyjnych i audytu teleinformatycznego oraz szkoleniami dotyczącymi tematyki bezpieczeństwa sieci. Posiada szereg certyfikatów branżowych. Wolne chwile poświęca na uprawianie jeździectwa i literaturę. Doświadczenie zawodowe zdobywał w firmach: Gridwise Tech, Veracomp oraz Compendium, gdzie pracował jako trener i szkoleniowiec. W Fortinet od 2010 roku.
W branży cyberbezpieczeństwa od ponad 20 lat. Swoją przygodę z bezpieczeństwem zaczynał jako analityk systemowy odpowiedzialny za zabezpieczenia pierwszego w Polsce internetowego domu maklerskiego Woodstock. Od tego czasu stale zajmuje się zagadnieniami bezpieczeństwa informatycznego i specjalizuje w zarządzaniu tożsamością oraz zarządzaniem ryzykiem. Jako konsultant i architekt rozwiązań brał udział w krajowych i międzynarodowych projektach w małych i dużych organizacjach. Uczestniczył w budowie od podstaw kilkunastu systemów klasy IDM, IGA i GRC. Aktualnie pracuje w SimplySec jako architekt rozwiązań z obszaru zarządzania tożsamością oraz zarządzania ryzykiem w organizacji. Członek ISACA Warsaw Chapter. Posiada m. in. certyfikaty CISA, CDPSE, CISSP, TOGAF9, audytora wiodącego ISO 27001.
Absolwent Wydziału Elektroniki PW z ponad czterdziestoletnim doświadczeniem zawodowym. Wstępne zaangażowanie w projektowanie cyfrowych układów logicznych, stanowiące kontynuację pracy dyplomowej, zastąpił z czasem całkowitemu poświęceniu się programowaniu i wszelkim aspektom z tym związanym. W trakcie zatrudnienia w korporacjach (bankach i telekomie) zajmował się wdrażaniem systemów informatycznych, wdrażaniem systemów bezpieczeństwa, a ostatecznie wyłącznie audytowi wewnętrznemu. Uzyskał certyfikaty CISA i CRISC. Był czlonkiem Komitetu Technicznego PKiN ds. Bankowości i Bankowych Usług Finansowych. Obecnie współpracuje z Zarządem ISACA Warsaw Chapter.
Przewodniczący Komitetu Technicznego PKN nr 333 ds. Blockchain i Technologii Rozproszonych Rejestrów oraz członek grupy roboczej ISO/TC 307/WG 6 ds. praktycznego zastosowania technologii. Ponadto certyfikowany specjalista bezpieczeństwa funkcjonalnego (CFSS), auditor w obszarze certyfikacji systemów zarządzania bezpieczeństwem funkcjonalnym – FSM oraz cyberbezpieczeństwa. Głównym obszarem jego działalności zawodowej są zagadnienia bezpieczeństwa systemów automatyki – sterowania i kontroli procesów przemysłowych i powiązane z nimi nowe technologie, jak systemy rozproszone blockchain, komponenty IIoT - przemysłowy internet rzeczy, innowacyjne rozwiązania podnoszące poziom dostępności i niezawodności systemów automatyki.
12 lat zawodowo związany z bezpieczeństwem informacji w globalnych instytucjach rynku finansowego. Obecnie zatrudniony w grupie BNY Mellon na potrzeby wielokierunkowych analiz ryzyka technologicznego i procesowego. Od ponad czterech lat aktywnie działający na forum Technology Risk &Information Security Wrocław i jej społecznej aktywności – Inicjatywy Kultury Bezpieczeństwa. Wolontariusz SANS OUCH! Newsletter, uczestnik spolecznosci SANS Security Awareness. Entuzjasta i poszukiwacz szerszej perspektywy analizowanego problemu, związanej z szeroko pojętą wymianą informacji, kontekstem biznesowym i technologicznym. Zwolennik standaryzacji w zakresie technologii, przejrzystości procesów i otwartego oprogramowania. Aktywnie zaangażowany w promowanie Netykiety i Cyber Security Framework jako dobrych praktyk z zakresu bezpieczeństwa w życiu prywatnym i służbowym. Praktyk i teoretyk Pechowej12 oraz CyberMindfullness.
Inżynier systemów bezpieczeństwa, specjalista konsultant Ernst&Young Business Advisory, który jest równocześnie dziennikarzem technologicznym. Przez ponad dekadę prowadził dział technologii i bezpieczeństwa Computerworld, pracował również jako inżynier systemów bezpieczeństwa w kilku firmach. Obecnie prowadzi projekty mające na celu poprawę bezpieczeństwa teleinformatycznego środowisk IT oraz OT. Specjalizuje się w ochronie informacji i dostępie uprzywilejowanym.
Absolwentka Uniwersytetu Ekonomicznego w Krakowie o kierunku „informatyka i ekonometria” oraz podyplomowych studiów menedżerskich na Uniwersytecie Warszawskim, od 20 lat związana z IT. Zbudowała od podstaw systemowe zarządzanie bezpieczeństwem informacji w Zakładzie Ubezpieczeń Społecznych. Kierownik projektu budowy Koncepcji Security Operations Center dla ZUS. Inspektor ochrony danych osobowych w Centralnym Ośrodku Sportu i wszystkich Ośrodkach Olimpijskich. Doradza, szkoli oraz audytuje przedsiębiorstwa prywatne, organizacje rządowe, spółki skarbu państwa w kwestiach bezpieczeństwa informacji, ciągłości działania, zarządzania ryzykiem oraz blockchain. Posiada certyfikaty: ISO 27001 LA, ISO 22301 LA, ISO 9001 LA, CDPSE, PRINCE, P3O, MoR, ITIL, CyberSec. Od 10 lat działa w stowarzyszeniu ISACA Warsaw Chapter. Doktorantka Wydziału Cybernetyki w Wojskowej Akademii Technicznej, w obszarze jej badań są mechanizmy konsensusu stosowane w technologii blockchain.
Bill Nelson is the Chair and CEO of the Global Resilience Federation (GRF). GRF is a non-profit association dedicated to help ensure the resilience and continuity of vital infrastructure and individual organizations against threats, incidents and vulnerabities. GRF is comprised of nine information sharing organizations from various industries. Before joining the GRF in 2019, Mr. Nelson was the President and CEO of the Financial Services Information Sharing & Analysis Center (FS-ISAC) from 2006-2018. While at FS-ISAC, he grew the membership from under 200 to over 7,000 organizations in 50 countries. He was Executive Vice President of NACHA, The Electronic Payments Association from 1988 to 2006. Mr. Nelson has served on many boards of directors and is a sought-after speaker on cyber security, information sharing, risk and business resilience. He has received numerous awards including the prestigious RSA Award for Excellence in Information Security and the FS-ISAC Critical Infrastructure Protection award. Mr. Nelson is also a current member of the Leadership Council of the National Small Business Association (NSBA).
Kieruje Stowarzyszeniem audytu i kontroli systemów informatycznych ISACA Warszawa.
Absolwentka Politechniki Warszawskiej oraz menedżerskich studiów MBA walidowanych przez czołową francuską szkołę biznesu przy Uniwersytecie w Marsylii. Ukończyła studia podyplomowe z bankowości na Uniwersytecie Warszawskim. Posiada certyfikaty z audytu systemów informatycznych oraz zarządzania bezpieczeństwem informacji CISA i CISM. Odbyła praktyki w Banku Rezerwy Federalnej w USA oraz w centrali Commerzbanku we Frankfurcie nad Menem. W mBanku wdrożyła system zarządzania tożsamością i uprawnieniami, analizy ryzyka cyberbezpieczeństwa, produktów informatycznych i usług oraz analizę ryzyka kontrahentów zewnętrznych. Obecnie zajmuje się rozwojem i utrzymaniem systemu standardów bezpieczeństwa IT. Wcześniej prowadziła hub bezpieczeństwa na Europę Środkową i Wschodnią w Commerzbanku, w Banku ABN AMRO oraz kierowała audytem IT w banku Pekao S.A.. Pełniła także rolę regionalnego oficera bezpieczeństwa w banku ABN AMRO oraz Compliance oficera w Invest banku. Działa aktywnie w Radzie Programowej Cyber Women Community, bierze udział w debatach oraz wygłasza prezentacje. Popularyzuje pracę w cyberbezpieczeństwie wśród kobiet.
Audytor Wewnętrzny CGAP®, DPO (Inspektor Ochrony Danych),
ISACA Warsaw Chapter, członek IIA Polska.
Właściciel firmy BAS Krzysztof Radecki (Bezpieczeństwo Audyt Szkolenia). Absolwent Politechniki Łódzkiej, Uniwersytetu Łódzkiego oraz Francuskiego Instytutu Zarządzania. Certyfikat Międzynarodowego Instytutu Audytorów Wewnętrznych poświadczający uzyskanie uprawnień do wykonywania zawodu audytora wewnętrznego w sektorze administracji państwowej (Certified Government Auditing Professional®), egzamin państwowy przed Komisją Egzaminacyjną Ministerstwa Finansów uprawniający do pracy na stanowisku audytora wewnętrznego w jednostkach sektora finansów publicznych.
W 2007 roku uzyskanie uprawnień trenera Ministerstwa Finansów w zakresie audytu wewnętrznego. W 2016r Studia podyplomowe w Akademii Marynarki Wojennej , kierunek „cyberbezpieczeństwo".
27 –letnie doświadczenie w dziedzinach: Zarządzania; Bezpieczeństwa informacji; Audytu; Szkoleń.
Doświadczenie zdobyte w trakcie pracy zawodowej na stanowiskach kierowniczych w bankach w latach 1993-2003 oraz audytora wewnętrznego i administratora bezpieczeństwa informacji – inspektora ochrony danych, w instytucjach sektora publicznego od 2003 r. do dnia dzisiejszego.
Główne kierunki aktywności to:
· Wsparcie w budowaniu systemów bezpieczeństwa informacji w firmie, w tym ochrony danych osobowych wg wymagań GDPR/RODO
· Doradztwo i realizacja projektów w zakresie kontroli zarządczej i audytu.
Anna Słodczyk – absolwentka Politechniki Śląskiej w Gliwicach, Wyższej Szkoły Ubezpieczeń i Bankowości w Warszawie oraz Europejskiej Akademii Technologii IT w Brukseli. Menedżer, ekspert w zakresie korporacyjnego zarządzania ryzykiem, bezpieczeństwa informacji i ochrony danych osobowych, audytor i konsultant. Współwłaścicielka tyskiej firmy ASA Consulting w obszarze Risk Management Team Poland. Kocha taniec towarzyski i podróże. Mówi o sobie, że jest globtroterem, który podczas swoich licznych podróży stosuje standardy zarządzania ryzykiem. W życiu kieruje się dewizą: “Uczciwość w dłuższej perspektywie czasu zawsze się opłaca i daje spokojny sen”.
Szef zespołu architektów w Amazon Web Services na Europę Środkowo-Wschodnią. Na co dzień doradza klientom w tworzeniu architektury systemów, które mają zostać zmigrowane lub utworzone w chmurze AWS i w pełni wykorzystywać możliwości jakie niesie ze sobą chmura. Doradza wielu wiodącym firmom (począwszy od startupów po korporacje) z różnych branż tj. IT, telekomunikacja, finanse i inne. Prowadzi szkolenia dla polskich i zagranicznych partnerów podczas których przekazuje w jaki sposób firmy powinny korzystać z chmury, jak powinna wyglądać ich droga z tradycyjnej infrastruktury do infrastruktury chmurowej, aby zmaksymalizować korzyści z tego płynące.
Posiada ponad 20-letnie doświadczenie w prowadzeniu projektów i audytów bezpieczeństwa. Odpowiada za rozwój strategii biznesowej oraz zarządzanie działem technicznym CLICO w Polsce i krajach Europy Środkowo-Wschodniej. Posiada certyfikaty CISSP, CEH, CCISO i PRINCE2 Practitioner. Jest aktywnym instruktorem prowadzącym w Polsce autoryzowane seminaria (ISC)2 CISSP. Otrzymał tytuł doktora nauk technicznych w Wojskowej Akademii Technicznej w Warszawie za pracę w dziedzinie analizy i projektowania zabezpieczeń sieciowych systemów informatycznych. Jest autorem wielu artykułów w polskich i zagranicznych magazynach IT (w tym 7 publikacji w ISSA Journal) oraz 6 książek o tematyce bezpieczeństwa IT. Członek ISSA Polska, Senior Member.
Specjalista baz danych, od 19 lat związany z informatyzacją jednostek służby zdrowia. Od 2008 roku Kierownik Sekcji Informatyki w Szpitalu Wolskim w Warszawie. Brał udział we wdrażaniu 4 projektów unijnych związanych z informatyzacją szpitala. W swojej karierze zajmował się wdrażaniem i utrzymaniem systemów medycznych w Szpitalach w całej Polsce. Wykładowca i Prodziekan ds. Studenckich Wydziału Informatyki Europejskiej Uczelni w Warszawie. Entuzjasta rozwiązań Open Source.
Ekspert w Zespole Analiz i Reagowania na Cyberzagrożenia w Santander Bank Polska, gdzie na co dzień zajmuje się taktycznym oraz operacyjnym Cyber Threat Intelligence. Analizując zagrożenia w cyberprzestrzeni oraz TTP (techniki, taktyki i procedury) w atakach ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające zagrożenia. Wieloletni specjalista we Wrocławskim Centrum Sieciowo-Superkomputerowym, gdzie z pasją zajmował się administracją i bezpieczeństwem usług sieciowych. Absolwent Informatyki oraz Cyber Security Management. Na polu bezpieczeństwa systemów informatycznych skutecznie łączy zdobytą wiedzę z ponad 13-letnim doświadczeniem. Będąc niezależnym konsultantem przeanalizował setki incydentów komputerowych. Angażując się w opracowywanie metod wykrywania oraz analizę zagrożeń szeroko rozumianej infrastruktury informatycznej, przygotowuje techniczne oraz organizacyjne rozwiązania mające na celu zwiększanie poziomu bezpieczeństwa organizacji. Miłośnik defensywnego podejścia do cyberbezpieczeństwa oraz uczestnik “bleuteam” w grach treningowych zespołów reagowania na incydenty. Od czasu do czasu dzieli się swoją wiedzą i doświadczeniami na krajowych konferencjach oraz prowadząc szkolenia.
Marc Taverner is the Executive Director of the International Association for Trusted Blockchain Applications (inatba.org), the pre-eminent nonprofit organization supporting the growth of DLT & blockchain technologies. INATBA does this by engaging public and private audiences to address and reduce frictions that inhibit market growth. As executive director, Marc works with INATBA’s members to host bilateral conversations between governments (including the European Commission) and companies to inform policies and regulations and advance the international adoption of blockchain. Most recently, he led INATBA to partner with the European Commission and the University College London to create a pandemic blockchain task force to convene key players in the blockchain ecosystem to activate resources and deploy tech solutions for the governmental, social, and commercial challenges caused by COVID-19. Marc has been active in the global blockchain ecosystem for more than six years, working across 20 countries, engaging with organisations from core cryptocurrency companies to governments and financial institutions, to large corporates and industry associations. Prior to joining INATBA, he was the Global Ambassador and head of Business Development for the Bitfury Group, one of Europe’s largest blockchain unicorns. To INATBA he brings a unique set of experiences gained from a career in start-ups and industry-leading companies. The founder of a successful modem distribution company, Nuvo, Marc has held leadership roles with many top technology companies, including Genesys Conferencing, the world's largest provider of unified communications services, and Promethean, a market leader in educational technology solutions.
Ponad 40 letnie doświadczenia w świecie informatyki, począwszy od projektowania sterowników, systemów komputerowych, poprzez wieloletnią ścieżkę managerską w firmach IT, bankach i instytucji publicznej. Współtworzył wielkie systemy informatyczne, budował pierwsze komórki bezpieczeństwa w tych instytucjach. Przedstawiciel Polski w EIDAS Working Group Komisji Europejskiej, współtwórca tego rozporządzenia i rozporządzeń wykonawczych UE. Po zakończeniu aktywności managerskiej od 5 lat aktywnie zajmuje się audytem i testami penetracyjnymi realizowanymi przez COIG S.A. , także w podmiotach objętych ustawą o krajowym systemie cyberbezpieczeństwa. Autor wielu publikacji dotyczących modelu usług, projektowania infrastruktury oraz RODO w prasie specjalistycznej. Wieloletni prezenter tej tematyki na konferencjach krajowych i zagranicznych.
Kash Valji is a Director of Consulting Systems Engineering. He has more than 18 years of experience in the network security industry. His focussed areas include; authentication, threat intelligence, denial of service and malware analysis. Kash has a BA honours degree in Information Systems and Masters of Science in Distributed Computing Systems from the University of Greenwich.
Od ponad dekady związany z branżą bezpieczeństwa IT. Początkowo doświadczenie zdobywał jako programista i administrator. Następnie jako członek zespołu bezpieczeństwa mBanku zajmował się ochroną banku i jego klientów przed zagrożeniami ze strony cyberprzestępców. Ostatnie dwa lata to zmiana barwy na czerwoną i koncentracja na działaniach ofensywnych - testach penetracyjnych i zadaniach Red Team.
Należy do Stowarzyszenia audytu i kontroli systemów informatycznych ISACA Warsaw Chapter.
Z wykształcenia matematyk, absolwent Wydziału Matematyki i Nauk Informacyjnych Politechniki Warszawskiej, z zawodu i zainteresowań specjalista ds. bezpieczeństwa systemów informatycznych. Współtworzył i wdrażał rozwiązania zabezpieczające jedne z największych systemów ochrony informacji niejawnych w Polsce, m.in. Policyjną Sieć Transmisji Danych Niejawnych i systemy Straży Granicznej. Brał udział w projektach naukowo badawczych z zakresu bezpieczeństwa teleinformatycznego. Uczestniczył w międzynarodowych Ćwiczeniach NATO CWIX (Coalition Warrior Interoperability eXercise) oraz w konferencjach organizowanych przez Agencja NATO ds. Łączności i Informatyki (NCIA). Aktualnie odpowiada za pracę zespołu badawczo-rozwojowego zajmującego się projektowaniem nowych rozwiązań do ochrony systemów teleinformatycznych w KRYPTON Polska. Sp. z o.o. Jest członkiem stowarzyszenia ISSA Polska i aktywnie działa w celu poszerzania świadomości otocznia na zagrożenia związane z systemami informatycznymi.
Dostęp do infrastruktury krytycznej - fakty, mity i dobre porady.
Marcin Marciniak – Manager, Implementation Expert,EY Business Advisory, Cyber Security Implementations
W czasie prelekcji przedstawione zostaną istotne problemy związane z dostępem do szeroko rozumianej infrastruktury krytycznej przedsiębiorstwa, uwzględniając specyfikę środowisk automatyki przemysłowej oraz dedykowanych urządzeń. Zaprezentowane zostaną także sposoby i rozwiązania bardziej lub mniej typowych przypadków, z którymi mają do czynienia specjaliści bezpieczeństwa w wielu firmach.
Audyt chmury - jak się do tego zabrać? Standardy, metodyki, narzędzia.
Anna Chałupska – Audytor bezpieczeństwa, ISACA Warsaw Chapter
W obecnych czasach nikt już nie dyskutuje z ogromnym wpływem technologii chmurowej na dynamiczny rozwój i cyfryzację praktycznie każdej dziedziny życia. Chmura obliczeniowa kusi i zachęca coraz więcej biznesów do jej wdrażania. Rodzi to nowe wyzwania dla audytorów. Podczas prezentacji uczestnicy dowiedzą się jakie są najważniejsze standardy i metodyki, jakimi audytor może się posłużyć podczas audytu rozwiązań chmurowych. Zostaną przedstawione m.in. istotne zmiany, które pojawiły się w tym roku w jednym z najważniejszych frameworków, używanym do audytu chmury: Cloud Control Matrix, stworzonym przez Cloud Security Alliance. W trakcie spotkania zostaną omówione najważniejsze wyzwania stojące przed audytorem chmury.
Co w sieci piszczy...?
Jacek Grymuza – Członek Zarządu, (ISC)² Poland Chapter
Najczęściej wykorzystywanymi źródłami danych do wykrywania zagrożeń bezpieczeństwa są logi i pakiety. Ale nie tylko te źródła danych mogą wspomóc zespoły cyberbezpieczeństwa podczas inwestygacji incydentów bezpieczeństwa. Anomalie i zagrożenia bezpieczeństwa z powodzeniem mogą być wykrywane również za pomocą metadanych sieciowych, tzw. flowów generowanych przez urządzenia sieciowe. Pomimo, że informacje zawarte we flowach sieciowych nie zawierają zbyt wielu szczegółów dot. potencjalnego zagrożenia (brak payloadu), to i tak dzięki odpowiedniemu monitorowaniu, istnieje możliwość wykrycia wielu anomalii bezpieczeństwa. Podczas prezentacji zostaną przedstawione przykładowe Use Cases, które można wykrywać dzięki analizie flowów sieciowych, takie jak np. wykrywanie niedowozwolonej komunikacji sieciowej, kopania kryptowalut czy rozprzestrzeniania się złośliwego oprogramowania w organizacji.
XSS - czy nadal jest groźny w 2021?
Michał Bentkowski – Sekurak.pl
Podatność bezpieczeństwa XSS (Cross-Site Scripting) znana jest od bardzo dawna i mogłoby się wydawać, że już wszyscy dawno powinni wiedzieć, w jaki sposób się przed nią zabezpieczać i jak ograniczać jej skutki. Niestety, w rzeczywistości nadal jest bardzo rozpowszechniona, a ze względu na użycie technologii webowych poza przeglądarkami (tzw. aplikacje hybrydowe) okazuje się, że skutki są nawet poważniejsze niż we wcześniejszych latach. Na prezentacji opowiem o XSS-ach; przypomnę do czego napastnicy używali tej podatności w tradycyjnych aplikacjach webowych, a do czego mogą ją wykorzystywać obecnie. Przejrzę też nowoczesne mechanizmy obronne, pozwalające zniwelować ryzyka XSS-ów.
Paradigm Shift to an Operational Resilience Model.
William B. Nelson – Chair & CEO, Global Resilience Federation
Traditional IT security tools focus on Identity, Detection, Prevention, and Response. However, ransomware, wiper malware and other destructive attacks has caused the need for a paradigm shift to implement solutions that enable an enterprise to fully recover data, applications, systems, networks, and configurations, plus restore physical assets and operational technologies. This session will discuss multi-sector initiatives underway to develop recovery rules and guidelines to achieve true operational resilience from IT, physical, and OT threats.
Banki spółdziecze w chmurze? Ocena ryzyka w róznych modelach outsourcingu.
Marek Moszkowski – System Engineer - Operating Systems Specialist, ISACA Katowice Chapter
Wysokie formalne wymagania dotyczące bezpieczeństwa przechowywania i przetwarzania danych powodują, że wiele instytucji nie jest w stanie im sprostać. Nie posiadają odpowiednich środków finasowych i/ lub odpowiedniej infrastruktury technicznej. Dobrym rozwiązaniem może być outsourcing usług przetwarzania danych czyli potocznie ujmując przeniesienie danych i usług do chmury. W swojej prezentacji przedstawię różne modele chmury obliczeniowej i ich przydatność dla takich instytucji finasowych jak banki spółdzielcze.
Implementing an Effective Zero Trust Architecture.
Dr Eric Cole – Founder and CEO, Secure Anchor Consulting
With all of the changes cause by the epidemic, organizations had to rethink their entire architecture. In many cases, changes were made out of necessity without direct involvement of cybersecurity. Now organizations have to rethink what their architecture looks like. While zero trust is a concept that has been used through cybersecurity, many organizations struggle with how to actually implement it in an effective manner. This presentation will focus on creating a zero trust architecture that provides proper cybersecurity and provides for the new requirements of being location agnostic.
Rzecz o bezpieczeństwie kontenerów, czyli dobre praktyki w pracy z Docker.
Tomasz Janczewski – Security Architect
Docker jest nieodzownym narzędziem podczas współczesnego dostarczania rozwiązań IT. Niestety nie każdy kontener wystawiony w Internecie jest bezpieczny. Z prezentacji użytkownicy dowiedzą się w jaki sposób zabezpieczać kontenery Docker oraz otrzymają zestaw dobrych praktyk przydatnych w pracy z kontenerami. Prelekcja adresowana jest zarówno dla początkujących adeptów DevSecOps jak i zaawansowanych użytkowników.
Top 10 – czyli o czym pamiętać, aby korzystać bezpiecznie z chmury.
Tomasz Stachlewski – CEE Senior Solutions Architecture Manager, Amazon Web Services
Dla wielu firm chmura stała się nową normalnością. Jedni idą do niej w pogoni za redukcją kosztów, drudzy w gonitwie za nowymi technologiami. Jednak u podstaw każdego z powodów są (a przynajmniej powinny być) solidne reguły i zrozumienie jak korzystać z chmury bezpiecznie. Podczas tej sesji przyjrzymy się subiektywnej liście najczęściej popełnianych błędów, jeśli chodzi o (nie)poprawną konfigurację (nie)bezpieczeństwa tworzonych środowisk chmurowych oraz przyjrzymy się zasadom jakie powinny zostać wdrożone przez każdego już na samym początku wędrówki do chmury. Postaramy się również odpowiedzieć sobie na pytanie, gdzie jest granica pomiędzy ‘sensownym bezpieczeństwem’ w chmurze a ‘przesadą’ – blokującą faktyczne wykorzystanie wehikułu nowych technologii, którym jest chmura. Sesja będzie przeprowadzona na przykładzie chmury AWS.
Dyrektywa NIS 2 - jakie zmiany w zakresie cyberbezpieczeństwa proponuje Komisja Europejska?
Barbara Nerć-Szymańska – Prezes, ISACA Warsaw Chapter
Uczestnicy dowiedzą się jakie istotne zmiany są proponowane przez Unię Europejską w tzw. Dyrektywie NIS 2, czyli projekcie zmian do Dyrektywy NIS. Omówione zostaną ryzyka i skutki jakie mogą się wiązać z ich wprowadzeniem. Uczestnikom zaprezentowane będą znaczące zmiany, co pozwoli zaoszczędzić czasu w zapoznawaniu się z całym dokumentem.
Czy możemy ufać systemom?
Joanna Karczewska – Audytor SI, ISACA Warsaw Chapter
Skoro, chcąc nie chcąc, przenosimy coraz więcej naszych aktywności do Internetu, oczekujemy, że systemy informatyczne będą działać szybko, sprawnie i bezproblemowo, a w razie kłopotów nasze reklamacje i wątpliwości będą wyjaśniane "bez zbędnej zwłoki". Krótko mówiąc, zakładamy, że właściciele systemów nie zawiodą naszego zaufania. Rzeczywistość bywa różna. W trakcie wystąpienia przedstawię kilka przykładów z życia wziętych i uzasadnię szczególne znaczenie cyberbezpieczeństwa dla naszego zaufania do używanych systemów i Internetu oraz dalszej cyfryzacji.
„Cyberbezpieczeństwo-RODO-Pandemia. Czy cyber ubezpieczenia mogą być panaceum na nasze słabości w zarządzaniu cyberbezpieczeństwem?
Krzysztof Radecki – Audytor Wewnętrzny CGAP®, DPO (Inspektor Ochrony Danych), ISACA Warsaw Chapter
W trakcie prelekcji zaprezentowane będzie studium przypadku dotyczące problematyki cyber ubezpieczeń (cyber insurence) również w kontekście RODO. Prelekcja ma na celu zaprezentowanie najważniejszych problemów z jakimi powinni się zmierzyć kierownicy jednostek sektora publicznego tj. reagowania na istotne zmiany w funkcjonowaniu jednostki w dobie pandemii, skupieniu się na identyfikacji obecnych i przyszłych ryzyk związanych z cyberbezpieczeństwem.
Nie samymi sukcesami człowiek żyje, czyli historia pewnego incydentu...
Krzysztof Szmigielski – Kierownik Sekcji Informatyki, Szpital Wolski w Warszawie
Świeża historia włamania na jeden z serwerów Szpitala Wolskiego w Warszawie: wektor ataku, popełnione błędy, działania podjęte i finał... Wszystko bez owijania w bawełnę i wybielania siebie, przedstawię wszystkie błędy popełnione przeze mnie i mój zespół, a także całą historię włamania.
Jak przejść do chmury zgodnie z wymogami UKNF i nie zwariować?
Paweł Kulpa – Architekt bezpieczeństwa, ISACA Warsaw Chapter
W obecnej sytuacji coraz więcej organizacji rozważa przeniesienie części lub całości swoich usług informatycznych do chmury. Wygoda i prostota zachwalana przez dostawców jest kusząca ale nie można przy tym zapomnieć o naturalnej nieufności i ostrożności jaka powinna charakteryzować każdego kto zajmuje się bezpieczeństwem ani o zgodności z przepisami. W mojej prezentacji pokażę jak zorganizować proces wykorzystania chmury obliczeniowej w instytucji finansowej.
Cyberastronomia, czyli atak na łańcuch dostaw.
Ireneusz Tarnowski – Analityk cyberzagrożeń, Santander Bank Polska
Supernova, SolarWinds, SolarStorm, czy Orion – brzmią niemal jak terminy z poradnika astronomii, jednak w cyberprzestrzeni niosą za sobą poważne zagrożenie dla firm. Wiedza astronomiczna nie jest wymagana, jednak zrozumienie tych ataków jest już obowiązkiem każdego analityka zagrożeń i incydentów. Ci, których ten atak dotknął, mają obecnie bardzo poważne zadanie w obszarze analizy oraz mitygacji incydentu, jak również odbudowy bezpiecznego środowiska informatycznego. Dla tych, których ten atak nie dotyczył bezpośrednio powinien być lekcją do odrobienia – analiza scenariusza ataku i badanie odporności na niego. Cyberatak za pośrednictwem łańcucha dostaw, już od kilku lat jest wskazywany jako jeden z ważniejszych wektorów. Z pewnością rok 2020 zmienił rozumienie cyberbezpieczeństwa na całym świecie. Przyspieszona, wymuszona pandemią, adaptacja technologiczna do warunków pracy zdalnej, do nowych usług, czy wręcz zjawisk internetowych to dla cyberbezpieczeństwa prawdziwe wyzwanie: migracja do rozwiązań chmurowych, wdrażanie zdalnego modelu pracy w sposób bezpieczny, zabezpieczanie infrastruktury, a jednocześnie zmiana modeli operacyjnych w organizacjach. W końcówce roku ujawniono jednak szczegóły największego ataku APT, w którym zastosowano metodę wodopoju (zatrutego źródła). Prezentacja przybliży analizę tego ataku, jego przyczyny i potencjalne skutki.
Zapewnienie jakości i bezpieczeństwa aplikacji w środowiskach regulowanych.
Jan Anisimowicz – Director Audit, Risk & Compliance, ISACA Warsaw Chapter
Zapewnienie jakości i bezpiecznego kodu w wytwarzanym oprogramowaniu jest niewątpliwie wyzwaniem dla każdej organizacji. Pisząc aplikacje startujące rakietą kosmiczną, nadzorujące pracę samochodów autonomicznych czy też sterujące pracą robotów w fabrykach wytwarzających leki – trzeba zadbać o najwyższą możliwą jakość. Błędy mogą kosztować życie ludzkie. Jednocześnie świat cały czas idzie do przodu i każda firma podlega presji skracania cyklu produkcyjnego, dopasowywania się do oczekiwań biznesowych. Rynek oczekuje wdrażania nowych wersji aplikacji nie w cyklach rocznych czy miesięcznych, ale tygodniowych czy nawet dziennych. Pogodzenie tych rozbieżnych oczekiwań (z jednej strony wysoka jakość oprogramowania, a z drugiej szybkie i częste wdrożenia) jest możliwa tylko wtedy, gdy proces wytwórczy będzie odpowiednio zorganizowany. Pokażę w jaki sposób można zorganizować pracę zespołów programistów i testerów tak, aby mogły pracować nad wspólnym celem bez niepotrzebnej konkurencji. Dodatkowo na przykładzie regulacji GMP (Good Manufacturing Practices) przedstawię w jaki sposób nakładane wymogi regulacyjne mogą stanowić wsparcie, a nie ograniczenie dla zespołu wytwórczego. Przedstawię także główne sposoby automatyzacji działań wspierających zapewnienie jakości tak aby możliwe było zapewnienie Continous Delivery and Continous Integration.
Jak pandemia zmieniła VPNy?
Bartosz Chmielewski – ISSA Polska
Podczas prezentacji uczestnicy dowiedzą się jak zmienia się mechanizm dostępu do zasobów, który wielokrotnie był realizowany lub jest realizowany z użyciem VPN. Opowiedziane zostanie o modelu Software Defined Perimeter Zero Trust opracowanym przez Cloud Security Alliance i jak jest on realizowany.
Banki spółdzielcze w chmurze? Ocena ryzyka w różnych modelach outsourcingu.
Marek Moszkowski – Inżynier systemów, ISACA Katowice Chapter
Porównanie różnych modeli outsourcingu dostępnych dla banków z sektora spółdzielczego. Omówienie zalet i wad każdego z rozwiązań oraz próba oceny ryzyka wynikającego z ich wyboru.
Ojejku. Ktoś się pod nas podszywa!
Piotr Zarzycki – Ekspert ds. bezpieczeństwa, Orange
Ktoś się pod nas podszywa - i co dalej. Proste i jednocześnie skuteczne metody monitorowania i walki z phishingiem. Praktyczne rozwiązania i przykłady.
Blockchain – jak kontrolować za pomocą frameworku ISACA.
Małgorzata Michniewicz – Member of the Audit Committee, ISACA Warsaw Chapter
Wykorzystanie Blockchain jest coraz powszechniejsze, jednak organizacje, które zdecydują się na tę technologię, powinny zidentyfikować i opracować kluczowe zasady, procedury i mechanizmy kontrolne w celu ograniczenia ryzyka i usprawnienia procesów. Podczas prezentacji przedstawię i omówię przydatne narzędzie analityczne: "Blockchain Preparation Audit Program" - ISACA, które wskazuje luki oraz wspiera w uzmysłowieniu jakie wartości niesie ze sobą wdrożenie w danym przypadku technologii Blockchain, bo jest ich zdecydowanie więcej niż powszechnie uznane tj. niezaprzeczalność, skalowalność, transparentność. Dodatkowo przedstawione i omówione zostaną wyniki badań własnych dot. stosowanych w Blockchain mechanizmów konsensusu ( ze szczególnym uwzględnieniem trendu ich zastosowania w poszczególnych działach gospodarki), narzędzia oparte o technologie Blockchain, które wspierają audyty systemów IT (opcja) oraz regulacje i dobre praktyki stosowania Blockchain na gruncie krajowym i światowym.
Audytowanie procesu zarządzania ryzykiem.
Dr Piotr Dzwonkowski – Akredytowany trener, ISACA Warsaw Chapter
Głównym problemem w audycie procesu Zarządzania Ryzykiem organizacji jest brak najlepszych wzorców postępowania, które mogły by być kryteriami audytu. Audytor ma do dyspozycji zasady lub opisy dobrych praktyk jak na przykład te, które zostały zawarte w dokumentach ISO 31000 czy ISO/IEC 27005 albo NIST SP 800-39. Dokumenty te jednak nie są opisem systemów zarządzania, nie podlegają certyfikacji i nie można być pewnym czy opisują najlepszy z możliwych sposobów zarządzania ryzykiem. Trudno zatem uzasadnić konieczność zgodnego z nimi postępowania. W prezentacji przedyskutuję ten problem i zaproponuję możliwy sposób postępowania.
Od backup'u do disaster recovery.
Zbigniew Kupisz-Andrzejewski, ISACA Warsaw Chapter
W oparciu o doświadczenia audytora przedstawię elementy, które powinny być obiektem weryfikacji w trakcie realizacji audytu. Jednocześnie elementy te mogą być pomocne dla komórki bezpieczeństwa w trakcie tworzenia planu zabezpieczania organizacji przed skutkami awarii. W ramach wystąpienia odniosę się do następujących zagadnień: tworzenie kopii zapasowych, w tym uzgodnienia pomiędzy biznesem i informatyką, planowanie polityk backupu, monitorowanie, - wykonywanie odtworzeń testowych, weryfikacja poprawności wykonanego odtworzenia, - wdrożenie monitorowania, raportowania i udoskonalania procesu.
Posiada ponad 20 lat doświadczenie w branży usług IT/Telecom, które zdobył realizując projekty w międzynarodowych organizacjach. Ostatnio w Atos Consulting oraz Deloitte, współpracując z klientami w kraju i zagranicą przeprowadził szereg audytów środowisk informatycznych oraz pomagał w ulepszeniu strategii rozwoju bezpieczeństwa teleinformatycznego. Od 2019 pracuje w JPMorgan Chase & Co, gdzie specjalizuje się w audytach podwykonawców. Posiada certyfikaty CISSP, CISA, CISM, CIPM, CEH, CHFI, ISO 27001 LA, Azure Solutions Architect Expert oraz GCCC. Od 2018 Dyrektor, a następnie Członek Zarządu Stowarzyszenia ISSA Polska.
Menedżer odpowiedzialny za zapewnienie bezpieczeństwa i ciągłości działania biznesu, poprzez efektywne zarządzanie ryzykiem oraz zgodnością obowiązującymi regulacjami. W ramach dotychczasowej kariery poznał w pełni punkty widzenia bezpiecznika, audytora oraz konsultanta, wspierając lub odpowiadając za ochronę informacji szeregu instytucji finansowych m.in. banków, zakładów ubezpieczeń, towarzystw funduszy inwestycyjnych, oraz podmiotów dostarczających dla nich kluczowe usługi. Reprezentuje pogląd, że kwestionowanie rozwiązań i szukanie dziur już od narodzin danego pomysłu jest dla organizacji znaczącą wartością, która nie kończy się wraz dniem jego wprowadzenia w życie lub porzucenia.
Aktualnie Starszy Audytor IT w Systemie Ochrony Zrzeszenia BPS odpowiedzialny za audyt IT w Banku BPS. Z ogólnie rozumianym bezpieczeństwem IT związany od ponad 20 lat. Audytorem IT jest od roku 2006. Przez 10 lat w Banku BPH SA (na przestrzeni tego czasu była to grupa BACA, Unicredit, i GE Capital), a następnie w Banku Alior i Santander Consumer Bank.
Od 2015 działa w lokalnym Oddziale ISACA w Katowicach, a od 2017 jest jego Prezesem.
Wieloletni pracownik Politechniki Warszawskiej i Instytutu Podstaw Informatyki PAN oraz instytucji finansowych i międzynarodowych systemu ONZ. Członek Zarządu ISSA Polska, Naczelnego Sądu Koleżeńskiego oraz Izby Rzeczoznawców Polskiego Towarzystwa Informatycznego. Ekspert grupy roboczej w zakresie normalizacji: ISO/TC307/AHG2– Guidance for Auditing DLT Systems, reprezentant w Komitecie Technicznym PKN 333 Blockchain i Technologii Rozproszonych Rejestrów.
Certyfikowany audytor ISO/IEC 27001, 27002 i 27006.
Ekspert, menadżer z wieloletnim doświadczeniem i wiedzą w zakresie projektowania, budowania, wdrażania i utrzymania systemów zarządzana: ciągłością działania (BCMS, ISO 22301), bezpieczeństwem informacji (ISMS, ISO/EC 27001), ryzykiem (ERM, ISO 31000), usługami IT (ITSM, ISO/IEC 20000), projektami. Uczestniczył, prowadził audyty w obszarze systemów zarządzania.
Obecnie pracuje w Asseco Poland S.A., w Pionie Utrzymania Systemów jako zastępca kierownika Zespołu Organizacji Systemów Zarządzania i zastępca Koordynatora ds. Ciągłości Działania w Pionie.
Aktywny członek stowarzyszenia zawodowego ISACA (Wiceprezes, poprzednio Sekretarz Zarządu Warsaw Chapter), odpowiadał za tłumaczenie publikacji COBIT na język polski. Członek Grupy Roboczej ds. Kompetencji Cyfrowych przy Ministerstwie Cyfryzacji.
Certyfikaty: ITIL 3 Expert, Prince 2 Practitioner, CISA, CGEIT, COBIT 5 Foundation, TOGAF 9 Certified.
Ponad 20 lat doświadczenia w obszarze bezpieczeństwa IT, w tym 10 lat w audycie IT. Zarządzał procesem ciągłości działania IT, przeprowadzał szereg audytów w zakresie bezpieczeństwa technologii i oceny ryzyka IT zgodnie z międzynarodowymi standardami. Wdrażał i zarządzał procesem samokontroli w obszarze IT. Niezależny doradca w zakresie projektów informatycznych. Obecnie pracuje jako Ekspert ds. Rozwoju Infrastruktury Bezpieczeństwa. Od 2017 roku aktywny Członek Zarządu lokalnego Oddziału ISACA Katowice.
Sekretarz Zarządu ISSA Polska w wolnych chwilach, a zawodowo pracujedla operatora telekomunikacyjnego. Od 10 lat zajmuje się bezpieczeństwem technologicznym i teleinformatycznym, zabezpieczając sieci tele- u operatorów. Wierzy w program awernessowy i lubi wspólpracować z użytkownikiem. Posiada certyfikaty CISSP, CEH
Inżynier systemów bezpieczeństwa, specjalista konsultant Ernst&Young Business Advisory, który jest równocześnie dziennikarzem technologicznym. Przez ponad dekadę prowadził dział technologii i bezpieczeństwa Computerworld, pracował również jako inżynier systemów bezpieczeństwa w kilku firmach. Obecnie prowadzi projekty mające na celu poprawę bezpieczeństwa teleinformatycznego środowisk IT oraz OT. Specjalizuje się w ochronie informacji i dostępie uprzywilejowanym.
Pasjonat bezpieczeństwa (co współpracownicy nazywają obsesją) oraz metod oceny zintegrowanej (PN-ISO/IEC 27005/COBIT Risk IT/COSO) analizy ryzyka czego efektem ubocznym są prowadzone na własnej osobie badania terenowe z analizy ryzyk podczas skoków spadochronowych i nurkowania. Audytor systemów teleinformatycznych, ekspert ds. bezpieczeństwa oraz spełniony „karbowy XXI wieku” zarządzający przez wiele lat działem IT zgodnie z filozofią ITIL. W latach 2010-2016 biegły sądowy z zakresu informatyki przy Sądzie Okręgowym w Katowicach. Specjalista z obszaru informatyki w zakresie wyceny środków trwałych oraz wartości niematerialnych i prawnych wartości spółek giełdowych realizowanych według wartości godziwej na potrzeby przygotowania sprawozdań finansowych według wymogów MSR / MSSF. Kierownik Zespołu Audytu Systemów Informatycznych Departamentu Audytu Wewnętrznego Getin Noble Bank S.A. Wiceprezes Zarządu ISACA Katowice Chapter – Stowarzyszenia audytu, bezpieczeństwa i kontroli systemów informacyjnych. Członek Zarządu Głównego Polskiego Towarzystwa informatycznego oraz Rzeczoznawca nr 130 Izby Rzeczoznawców PTI.
Kieruje Stowarzyszeniem audytu i kontroli systemów informatycznych ISACA Warszawa.
Absolwentka Politechniki Warszawskiej oraz menedżerskich studiów MBA walidowanych przez czołową francuską szkołę biznesu przy Uniwersytecie w Marsylii. Ukończyła studia podyplomowe z bankowości na Uniwersytecie Warszawskim. Posiada certyfikaty z audytu systemów informatycznych oraz zarządzania bezpieczeństwem informacji CISA i CISM. Odbyła praktyki w Banku Rezerwy Federalnej w USA oraz w centrali Commerzbanku we Frankfurcie nad Menem. W mBanku wdrożyła system zarządzania tożsamością i uprawnieniami, analizy ryzyka cyberbezpieczeństwa, produktów informatycznych i usług oraz analizę ryzyka kontrahentów zewnętrznych. Obecnie zajmuje się rozwojem i utrzymaniem systemu standardów bezpieczeństwa IT. Wcześniej prowadziła hub bezpieczeństwa na Europę Środkową i Wschodnią w Commerzbanku, w Banku ABN AMRO oraz kierowała audytem IT w banku Pekao S.A.. Pełniła także rolę regionalnego oficera bezpieczeństwa w banku ABN AMRO oraz Compliance oficera w Invest banku. Działa aktywnie w Radzie Programowej Cyber Women Community, bierze udział w debatach oraz wygłasza prezentacje. Popularyzuje pracę w cyberbezpieczeństwie wśród kobiet.
Doświadczony praktyk, z branżą IT związana od 2009 roku. Członek ISSA Polska. Zainteresowanie tematyką IT Security to wynik wieloletnich obserwacji złych praktyk w pracy użytkowników i administratorów. Od 2,5 roku w zespole Security Operations Center, na co dzień zajmuje się wyszukiwaniem oraz analizą anomalii, mogących świadczyć o działalności złośliwego aktora.
Producent wydarzeń i merytoryczny kierownik projektów konferencyjnych. Posiada doświadczenie jako konsultant ds. szkoleń dla Kadry Zarządzającej. Wcześniej pełnił rolę organizatora i stage managera koncertów muzycznych o charakterze masowym największych gwiazd polskiej muzyki. Z wykształcenia i zamiłowania socjolog. Kolekcjoner płyt Audio CD i fan muzyki brytyjskiej i karaibskiej.
Dziennikarz. Koncentruje się na tematyce biznesowej i IT, interesuje się nowymi technologiami, zarządzaniem, wykorzystaniem informatyki w przedsiębiorstwach. Absolwentka Wydziału Italianistyki na Uniwersytecie Warszawskim.
Udział w roli Partnera to wyjątkowa okazja do zaprezentowania doświadczeń oraz rozwiązań dotyczących świata bezpieczeństwa informacji i audytu IT w Polsce.
Filip Walicki
Tel. 662 287 904
[email protected]
Piotr Fergin
Tel. 533 358 952
[email protected]
Agata Rydzewska
Tel. 662 287 833
[email protected]
Włodzimierz Duszyk
Tel. 662 287 870
[email protected]
Magdalena Szczodrońska
Tel. 662 287 935
[email protected]
Powitanie uczestników. Rozpoczęcie konferencji.
Implementing an Effective Zero Trust Architecture.
With all of the changes cause by the epidemic, organizations had to rethink their entire architecture. In many cases, changes were made out of necessity without direct involvement of cybersecurity. Now organizations have to rethink what their architecture looks like. While zero trust is a concept that has been used through cybersecurity, many organizations struggle with how to actually implement it in an effective manner. This presentation will focus on creating a zero trust architecture that provides proper cybersecurity and provides for the new requirements of being location agnostic.
ITnorance (I invented this sh*t).
Collective intelligence; Artificial Intelligence; Information Transformation; Privacy; Security; Knowledge Management; Ignorance Summary Presentation: ITnorance is a lack of Information and Technologies related knowledge. The word "ITnorant" is an adjective that describes a person or professional in the state of being unaware of Information and Technologies related value, and can describe Organizations who deliberately ignore or disregard the contribute of information and technologies to the value creation. ITnorance can appear in three different types: factual ITnorance (absence of information and technologies related knowledge), objectual ITnorance (unacquaintance with some information and technology related practice), and technical ITnorance (absence of knowledge of how to use Information and Technologies to create value).
FortiGuard Regional Threat Briefing and how an AI can supplement the Security Operations Team.
A FortiGuard researched review of the threats targeting the various industries across the region. Followed up by a discussion on how AI technology embedded in your cyber-security portfolio can support your security operations team and prevent them from being overwhelmed.
Oczekujemy na potwierdzenie tematu wystąpienia.
Przerwa na odwiedziny Stref Partnerskich.
Oczekujemy na potwierdzenie tematu wystąpienia.
Oczekujemy na potwierdzenie tematu wystąpienia.
KSC - jak wdrożyć wymogi rzetelnie (i przygotować się na KSC 2).
Mówi się w branży żartobliwie, że za każdym audytorem stoi grupa zirytowanych inżynierów. Frustracja inżynierów wynika w głównej mierze z tego, że zapisy zawarte w wewnętrznych regulacjach niepokojąco często przypominają swoją forma i zawiłością Ordynację Podatkową, a wdrażaniem i audytowaniem zajmują się prawnicy, którzy wiedzę o bezpieczeństwie IT i OT zwykle mają... humanistyczną. Jak zatem wdrożyć rzetelnie KSC, tak aby spełniał zarówno wymogi prawne, jak i funkcjonalne - ergo: w faktyczny sposób przyczynił się do wzrostu bezpieczeństwa organizacji? W jaki sposób trafnie realizować proces audytu, tak aby badać rzeczywisty stan bezpieczeństwa? I czemu organizacje muszą zmienić swoje dotychczasowe podejście do KSC w związku ze zbliżającą się nowelizacją zapisów regulacji NIS?
The Future of Blockchain: Analytics and the Data Trail.
Blockchain poses a number of unique data privacy challenges due to its undeletable nature. Some blockchain projects have shown a vulnerability to being hacked due to this characteristic and it raises a number of questions about the usage of this data in security-related settings. It is important to understand how the blockchain data trail can be explored in these cases and how this will shape the future of the technology.
Przerwa na odwiedziny Stref Partnerskich.
Sesja stolików eksperckich - roundatables.
Od backup'u do disaster recovery.
Nie samymi sukcesami człowiek żyje, czyli historia pewnego incydentu...
Dyrektywa NIS 2 - jakie zmiany w zakresie cyberbezpieczeństwa proponuje Komisja Europejska?
Rzecz o bezpieczeństwie kontenerów, czyli dobre praktyki w pracy z Docker.
Audyt IT na poziomie zarządu.
Cyberataki - studium przypadku pentestera.
Jak zarządzać cyberbezpieczeństwem w sieciach społecznościowych
Bezpieczeństwo usług 5G.
Audyt rozwiązań kryptograficznych.
Jak nadążyć nad zmiennością cyberataków.
Odporność biznesowa, jako kolejny poziom dojrzałości w zapewniania ciągłości działania.
Sztuczna inteligencja- perspektywy rozwoju i aspekt etyczny.
Audytowanie procesu zarządzania ryzykiem.
Cyberastronomia, czyli atak na łańcuch dostaw.
Cyberbezpieczeństwo-RODO-Pandemia. Czy cyber ubezpieczenia mogą być panaceum na nasze słabości w zarządzaniu cyberbezpieczeństwem?
Zapewnienie jakości i bezpieczeństwa aplikacji w środowiskach regulowanych.
Zakończenie pierwszego dnia konferencji.
Otwarcie drugiego dnia konferencji.
Czy możemy ufać systemom?
Skoro, chcąc nie chcąc, przenosimy coraz więcej naszych aktywności do Internetu, oczekujemy, że systemy informatyczne będą działać szybko, sprawnie i bezproblemowo, a w razie kłopotów nasze reklamacje i wątpliwości będą wyjaśniane "bez zbędnej zwłoki". Krótko mówiąc, zakładamy, że właściciele systemów nie zawiodą naszego zaufania. Rzeczywistość bywa różna. W trakcie wystąpienia przedstawię kilka przykładów z życia wziętych i uzasadnię szczególne znaczenie cyberbezpieczeństwa dla naszego zaufania do używanych systemów i Internetu oraz dalszej cyfryzacji.
Oczekujemy na potwierdzenie tematu wystąpienia.
Paradigm Shift to an Operational Resilience Model.
Traditional IT security tools focus on Identity, Detection, Prevention, and Response. However, ransomware, wiper malware and other destructive attacks has caused the need for a paradigm shift to implement solutions that enable an enterprise to fully recover data, applications, systems, networks, and configurations, plus restore physical assets and operational technologies. This session will discuss multi-sector initiatives underway to develop recovery rules and guidelines to achieve true operational resilience from IT, physical, and OT threats.
Przerwa na odwiedziny Stref Partnerskich.
XSS - czy nadal jest groźny w 2021?
Podatność bezpieczeństwa XSS (Cross-Site Scripting) znana jest od bardzo dawna i mogłoby się wydawać, że już wszyscy dawno powinni wiedzieć, w jaki sposób się przed nią zabezpieczać i jak ograniczać jej skutki. Niestety, w rzeczywistości nadal jest bardzo rozpowszechniona, a ze względu na użycie technologii webowych poza przeglądarkami (tzw. aplikacje hybrydowe) okazuje się, że skutki są nawet poważniejsze niż we wcześniejszych latach. Na prezentacji opowiem o XSS-ach; przypomnę do czego napastnicy używali tej podatności w tradycyjnych aplikacjach webowych, a do czego mogą ją wykorzystywać obecnie. Przejrzę też nowoczesne mechanizmy obronne, pozwalające zniwelować ryzyka XSS-ów.
Automatyzacja procesu bezpieczeństwa.
5 metaphors that can make CISO's conversations with the business easier.
Without establishing trust with the business, security leaders cannot be successful. A prerequisite to building trust is understanding, which requires a common language. For security leaders, that means not using acronyms, vendor names and technology names. During this session, Omar will share metaphors that anyone can use to readily build trust with the business.
DEBATA Lessons Learned = ostatnia faza incydentu. Case study ataku ransomware Gmina Kościerzyna
Przerwa na odwiedziny Stref Partnerskich.
Blockchain – jak kontrolować za pomocą frameworku ISACA.
Radykalne ataki na systemy przemysłowe (OT) poprzez infrastrukturę wspierającą (IT/ICT) - przykłady i dobre praktyki.
Dostęp do infrastruktury krytycznej - fakty, mity i dobre porady.
Marcin Marciniak, Manager, Implementation Expert, EY Business Advisory, Cyber Security ImplementationsBanki spółdzielcze w chmurze? Ocena ryzyka w różnych modelach outsourcingu.
Audyt rozwiązań chmurowych i hybrydowych.
Wbudowanie bezpieczeństwa w proces CI/CD.
Jak pandemia zmieniła VPNy?
Mechanizmy AI w służbie cyberbezpieczeństwa.
Przerwa na kawę i herbatę. Networking.
Audyt chmury - jak się do tego zabrać? Standardy, metodyki, narzędzia.
Top 10 – czyli o czym pamiętać, aby korzystać bezpiecznie z chmury.
Jak przejść do chmury zgodnie z wymogami UKNF i nie zwariować?
Normalizacja technologii blockchain i rozproszonych rejestrów DLT.
Michał Łoniewski, Kierownik Wydziału Rozwoju Usług Technicznych i Metod Badawczych Departament Innowacji i Rozwoju, Urząd Dozoru TechnicznegoZdobywanie niebronionej twierdzy – przykłady audytu w sektorze finansowym i ochrony zdrowia.
Ojejku. Ktoś się pod nas podszywa!
Analiza ryzyka w okresie pandemii - jak radzić sobie z nowymi ryzykami.
Red teaming - nowa filozofia testowania bezpieczeństwa.
Oczekujemy na potwierdzenie tematu wystąpienia.
Oczekujemy na potwierdzenie tematu wystąpienia.
Jak audytować odporność organizacji (resilience).
Jak zacząć audyt infrastruktury w jeden dzień - dla osób technicznych i nie.
Audit, czy audyt, czyli kto może badać stan cyberbezpieczeństwa?
Andrzej Brągiel, Główny Specjalista w Zespole Analiz Stanu Bezpieczeństwa Cyberprzestrzeni, Ministerstwo SprawiedliwościCo w sieci piszczy...?
Disaster Recovery w chmurze - potrzebne czy nie? - lekcja z OVH Fire Case Study.
Zakończenie konferencji SEMAFOR 2021 Online.
