Konferencja SEMAFOR to jedno z najważniejszych wydarzeń
dotyczących świata bezpieczeństwa informacji i audytu IT w Polsce.

 

SEMAFOR to idealne miejsce do zapoznania się z bieżącymi zagrożeniami i ciekawymi case studies z zakresu cyberbezpieczeństwa. To wyjątkowa, doskonale znana w środowisku osób związanych z bezpieczeństwem, okazja do zdobycia nowego doświadczenia oraz nawiązania i podtrzymania relacji w środowisku bezpieczeństwa i audytu IT. Tegoroczna edycja konferencji odbędzie się w dniach 27-28 maja 2021. Po raz pierwszy organizujemy ją w całości w formule online, ale pozostaje sprawdzonym forum dzielenia się wiedzą – będzie to w pełni interaktywne wydarzenie.

W czasie tegorocznej konferencji będziemy mówić o najnowszych rozwiązaniach, wykorzystaniu ich w celu podnoszenia poziomu bezpieczeństwa oraz o potencjalnych podatnościach na ataki. Poruszymy również temat technologii Zero Trust, bezpieczeństwa w chmurze, jak również bezpieczeństwa w nowych hybrydowych formach pracy, które stały się codziennością większości firm. Wiele uwagi poświęcimy także trendom, które dopiero zyskują na znaczeniu, ale wkrótce mogą okazać się przełomowe. Tego wszystkiego uczestnicy dowiedzą się od najlepszych na rynku ekspertów #cybersecurity z Polski i zagranicy.

Podczas konferencji w 2020 r. gościliśmy ponad 500 uczestników, którzy mogli wybierać spośród 50 prelekcji i 4 ścieżek tematycznych, a uczestnictwo było możliwe zarówno online jak i stacjonarnie. W tym roku nie zwalniamy tempa i działamy z jeszcze większym rozmachem!

 

50 +

Prelegentów

500 +

Uczestników

10 +

Eksperckich stref partnerskich z czatami

0

Dni do Semafor 2021

Ostatni rok był wielkim wyzwaniem dla nas wszystkich, a obszar cyberbezpieczeństwa stał się jednym z kluczowych elementów zapewnienia ciągłości działania i przetrwania wielu nowoczesnych przedsiębiorstw. Skala cyberataków stała się nieporównywalnie większa w otaczającej nas „nowej rzeczywistości”. Cyberprzestępcy wykorzystują innowacyjne techniki oraz narzędzia, które mają posłużyć ich celom i zagrozić funkcjonowaniu firm. Jak zatem radzić sobie w tych czasach? Jakie technologie wybrać dla zapewnienia bezpieczeństwa naszym przedsiębiorstwom i nam samym?

Wideorelacja z edycji 2020

Tematyka konferencji

Tematem przewodnim konferencji jest "Cyberbezpieczeństwo w nowej rzeczywistości". Konferencja odbędzie się z podziałem na 4 ścieżki tematyczne:

Audyt IT:

  • Rozwój audytora, narzędzia, umiejętności, certyfikacje - nowe wyzwania rynkowe
  • Prowadzenie audytów - rafy, zagrożenia, pułapki, trudny klient
  • Audyt cyberbezpieczeństwa, ciągłość działania
  • Audyt - różne aspekty a warstwy modelu architektury - organizacja, ludzie, procesy, technologie, jak uzyskać dowody i połączyć dane w wyniki
  • Audyt IT na poziomie zarządu
  • Audyt w projektach DevOps
  • Audyt rozwiązań chmurowych i hybrydowych
  • Audyt rozwiązań kryptograficznych
  • Audyt KSC z puntu widzenia regulatora
  • Audyt SOC / DevOps / Develop / Efektywnośći RedTem-BlueTeam
  • Prawne aspekty audytu, gdy rozwiązanie chmurowe wychodzi poza jeden region (USA-EU-APAC)
  • Prowadzenie audytów w nowych sektorach (systemy autonomiczne, blockchain, Fintech...)

Cyberbezpieczeństwo, Hacking i Forensic:

  • IoT/ICS - więcej urządzeń i więcej wektorów ataku i rosnąca popularność urządzeń IoT w życiu codziennym
  • Urządzenia autonomiczne i ich bezpieczeństwo
  • Bezpieczeństwo łańcucha dostaw - rosnące znaczenie rozwiązań
  • Phishing automation - wykorzystanie botów, maszyn etc.
  • Jak nadążyć nad zmiennością cyberataków – ciekawe incydenty
  • Wywiad otwartoźródłowy wraz z prezentacja jego narzędzi
  • Zabezpieczenie rozproszonych danych - jak poradzić sobie z nowym modelem ich przetwarzania
  • Cyberataki - studium przypadku pentestera
  • Szyfrowanie end-to-end - wyzwania i niebezpieczeństwa
  • Wieloskładnikowe uwierzytelnianie
  • Sprzętowe backdoor’y - jak wykrywać i zarządzać ryzykiem
  • Wbudowanie bezpieczeństwa w proces CI/CD

Zarządzanie Bezpieczeństwem:

  • Zero trust to technologia, metodyka, a może sposób myślenia (rozwiązania Mesh VPN, Secure Access Service Edge)
  • Cloud Security - czy uczymy się bezpiecznie korzystać z chmury
  • Przyszłość bezpieczeństwa IT – jak zabezpieczać nową rzeczywistość
  • Odporność biznesowa, jako kolejny poziom dojrzałości w zapewniania ciągłości działania
  • Zapobieganie Insider Threats
  • Zabezpieczenie zdalnych pracowników - jedno z głównych wyzwań działów bezpieczeństwa na 2021
  • Ochrona urządzeń mobilnych - najważniejsze wyzwania w tym roku
  • Jak zarządzać cyberbezpieczeństwem w sieciach społecznościowych
  • European Union Network and Information Systems (NIS)- jakie zmiany w zakresie cyberbezpieczeństwa proponuje komisja europejska?
  • Digital Services Act i Digital Markets Act – co przyniosą nowe zmiany prawne

Technologie i Innowacje:

  • Bezpieczeństwo usług 5G
  • Deepfake - jak może posłużyć cyberprzestępcom
  • Automatyzacja serwisów chmurowych (usługi związane z bezpieczeństwem i odpowiedzi na zagrożenia)
  • Sztuczna inteligencja- perspektywy rozwoju i aspekt etyczny
  • Szyfrowanie – innowacje, które mogą zmienić wykorzystywane obecnie algorytmy
  • Autonomiczne biznesy – firmy zarządzane przez maszyny – aspekty bezpieczeństwa
  • Neuromorphic computing, DNA storage, quantum computing, technological biohacking – jak technologie przyszłości wpłyną na nasze życie i bezpieczeństwo

 

Udział w konferencji Semafor 2021 to
13 punktów CPE do certyfikatów: CISSP/ CISA/ CISM/ CRISC/ CGEIT

Keynote speakerzy tegorocznej edycji:

dr Eric Cole

Founder & CEO, Secure Anchor Consulting

Bruno Horta Soares

CISA®, CGEIT®, CRISC™, PMP®, Founder & Senior Advisor, GOVaaS

Omar Khawaja

Chief Information Security Officer, Highmark Health

William B. Nelson

Chair & CEO, Global Resilience Federation

Marc Taverner

Executive Director, INATBA - International Association for Trusted Blockchain Application

Kash Valji

Director of Consulting Systems Engineering, Fortinet

Wśród prelegentów m. in.:

Jan Anisimowicz

Director Audit, Risk & Compliance, ISACA Warsaw Chapter

Michał Bentkowski

Sekurak.pl

Jacek Bochenek

Cloud and Security Team Leader, ITEO

Andrzej Brągiel

Główny Specjalista w Zespole Analiz Stanu Bezpieczeństwa Cyberprzestrzeni, Ministerstwo Sprawiedliwości

Anna Chałupska

Audytor Bezpieczeństwa, ISACA Warsaw Chapter

Bartosz Chmielewski

Członek, ISSA Polska

Cezar Cichocki

Szef Centrum Kompetencyjnego, OpenBIZ

Wojciech Ciemski

Specjalista i Trener, Eksperckie Centrum Szkolenia Cyberbezpieczeństwa

dr Piotr Dzwonkowski

CISA, CISM, CRISC, ISACA Warsaw Chapter, ISSA Polska

Jacek Grymuza

Członek Zarządu, (ISC)² Poland Chapter

Tomasz Janczewski

Security Architect

Joanna Karczewska

Audytor SI, DPO (Inspektor Ochrony Danych), ISACA Warsaw Chapter

Robert Kośla

Dyrektor Departamentu Cyberbezpieczeństwa, Kancelaria Prezesa Rady Ministrów

Sebastian Krystyniecki

Principal Systems Engineer, Fortinet

Paweł Kulpa

Architekt bezpieczeństwa, ISACA Warsaw Chapter

Zbigniew Kupisz-Andrzejewski

Konsultant audytu (CISA, CRISC), ISACA Warsaw Chapter

Michał Łoniewski

Kierownik Wydziału Rozwoju Usług Technicznych i Metod Badawczych Departament Innowacji i Rozwoju, Urząd Dozoru Technicznego

Artur Marek Maciąg

Analityk, Inicjatywa Kultury Bezpieczeństwa

Marcin Marciniak

Manager, Implementation Expert, EY Business Advisory, Cyber Security Implementations

Małgorzata Michniewicz

Member of the Audit Committee, ISACA Warsaw Chapter

Marek Moszkowski

System Engineer - Operating Systems Specialist, ISACA Katowice Chapter

Barbara Nerć-Szymańska

Prezes, ISACA Warsaw Chapter

Krzysztof Radecki

Audytor Wewnętrzny CGAP®, DPO (Inspektor Ochrony Danych), ISACA Warsaw Chapter

Anna Słodczyk

CRISC, EITCA/IS, Audytor ISO/IEC 27001, Inspektor ochrony danych, Menadżer ryzyka

Tomasz Stachlewski

CEE Senior Solutions Architecture Manager, Amazon Web Services

dr inż. Mariusz Stawowski

Senior Member, ISSA Polska

Krzysztof Szmigielski

Kierownik Sekcji Informatyki, Szpital Wolski w Warszawie

Ireneusz Tarnowski

Analityk cyberzagrożeń, Santander Bank Polska

Marek Ujejski

IT Security Expert - CISM, CPDSE Board Adviser, COIG S.A.

Piotr Zarzycki

Ekspert ds. cyberbezpieczeństwa, Orange

Artur Zięba-Kozarzewski

Lider zespołu ds. Badań i Rozwoju, ISSA Polska

WŚRÓD PIERWSZYCH TEMATÓW WYSTĄPIEŃ M. IN.:

Dostęp do infrastruktury krytycznej - fakty, mity i dobre porady.

Marcin Marciniak – Manager, Implementation Expert,EY Business Advisory, Cyber Security Implementations

W czasie prelekcji przedstawione zostaną istotne problemy związane z dostępem do szeroko rozumianej infrastruktury krytycznej przedsiębiorstwa, uwzględniając specyfikę środowisk automatyki przemysłowej oraz dedykowanych urządzeń. Zaprezentowane zostaną także sposoby i rozwiązania bardziej lub mniej typowych przypadków, z którymi mają do czynienia specjaliści bezpieczeństwa w wielu firmach. 

Audyt chmury - jak się do tego zabrać? Standardy, metodyki, narzędzia.

Anna Chałupska – Audytor bezpieczeństwa, ISACA Warsaw Chapter

W obecnych czasach nikt już nie dyskutuje z ogromnym wpływem technologii chmurowej na dynamiczny rozwój i cyfryzację praktycznie każdej dziedziny życia. Chmura obliczeniowa kusi i zachęca coraz więcej biznesów do jej wdrażania. Rodzi to nowe wyzwania dla audytorów. Podczas prezentacji uczestnicy dowiedzą się jakie są najważniejsze standardy i metodyki, jakimi audytor może się posłużyć podczas audytu rozwiązań chmurowych. Zostaną przedstawione m.in. istotne zmiany, które pojawiły się w tym roku w jednym z najważniejszych frameworków, używanym do audytu chmury: Cloud Control Matrix, stworzonym przez Cloud Security Alliance. W trakcie spotkania zostaną omówione najważniejsze wyzwania stojące przed audytorem chmury. 

Co w sieci piszczy...?

Jacek Grymuza – Członek Zarządu, (ISC)² Poland Chapter

Najczęściej wykorzystywanymi źródłami danych do wykrywania zagrożeń bezpieczeństwa są logi i pakiety. Ale nie tylko te źródła danych mogą wspomóc zespoły cyberbezpieczeństwa podczas inwestygacji incydentów bezpieczeństwa. Anomalie i zagrożenia bezpieczeństwa z powodzeniem mogą być wykrywane również za pomocą metadanych sieciowych, tzw. flowów generowanych przez urządzenia sieciowe. Pomimo, że informacje zawarte we flowach sieciowych nie zawierają zbyt wielu szczegółów dot. potencjalnego zagrożenia (brak payloadu), to i tak dzięki odpowiedniemu monitorowaniu, istnieje możliwość wykrycia wielu anomalii bezpieczeństwa. Podczas prezentacji zostaną przedstawione przykładowe Use Cases, które można wykrywać dzięki analizie flowów sieciowych, takie jak np. wykrywanie niedowozwolonej komunikacji sieciowej, kopania kryptowalut czy rozprzestrzeniania się złośliwego oprogramowania w organizacji.

XSS - czy nadal jest groźny w 2021?

Michał Bentkowski – Sekurak.pl

Podatność bezpieczeństwa XSS (Cross-Site Scripting) znana jest od bardzo dawna i mogłoby się wydawać, że już wszyscy dawno powinni wiedzieć, w jaki sposób się przed nią zabezpieczać i jak ograniczać jej skutki. Niestety, w rzeczywistości nadal jest bardzo rozpowszechniona, a ze względu na użycie technologii webowych poza przeglądarkami (tzw. aplikacje hybrydowe) okazuje się, że skutki są nawet poważniejsze niż we wcześniejszych latach. Na prezentacji opowiem o XSS-ach; przypomnę do czego napastnicy używali tej podatności w tradycyjnych aplikacjach webowych, a do czego mogą ją wykorzystywać obecnie. Przejrzę też nowoczesne mechanizmy obronne, pozwalające zniwelować ryzyka XSS-ów.

Paradigm Shift to an Operational Resilience Model.

William B. Nelson – Chair & CEO, Global Resilience Federation

Traditional IT security tools focus on Identity, Detection, Prevention, and Response. However, ransomware, wiper malware and other destructive attacks has caused the need for a paradigm shift to implement solutions that enable an enterprise to fully recover data, applications, systems, networks, and configurations, plus restore physical assets and operational technologies.  This session will discuss multi-sector initiatives underway to develop recovery rules and guidelines to achieve true operational resilience from IT, physical, and OT threats.

Banki spółdziecze w chmurze? Ocena ryzyka w róznych modelach outsourcingu.

Marek Moszkowski  System Engineer - Operating Systems Specialist, ISACA Katowice Chapter

Wysokie formalne wymagania dotyczące bezpieczeństwa przechowywania i przetwarzania danych powodują, że wiele instytucji nie jest w stanie im sprostać. Nie posiadają odpowiednich środków finasowych i/ lub odpowiedniej infrastruktury technicznej. Dobrym rozwiązaniem może być outsourcing usług przetwarzania danych czyli potocznie ujmując przeniesienie danych i usług do chmury. W swojej prezentacji przedstawię różne modele chmury obliczeniowej i ich przydatność dla takich instytucji finasowych jak banki spółdzielcze.

Implementing an Effective Zero Trust Architecture.

Dr Eric Cole – Founder and CEO, Secure Anchor Consulting

With all of the changes cause by the epidemic, organizations had to rethink their entire architecture.  In many cases, changes were made out of necessity without direct involvement of cybersecurity.  Now organizations have to rethink what their architecture looks like.  While zero trust is a concept that has been used through cybersecurity, many organizations struggle with how to actually implement it in an effective manner.  This presentation will focus on creating a zero trust architecture that provides proper cybersecurity and provides for the new requirements of being location agnostic.

Rzecz o bezpieczeństwie kontenerów, czyli dobre praktyki w pracy z Docker.

Tomasz Janczewski – Security Architect

Docker jest nieodzownym narzędziem podczas współczesnego dostarczania rozwiązań IT. Niestety nie każdy kontener wystawiony w Internecie jest bezpieczny. Z prezentacji użytkownicy dowiedzą się w jaki sposób zabezpieczać kontenery Docker oraz otrzymają zestaw dobrych praktyk przydatnych w pracy z kontenerami. Prelekcja adresowana jest zarówno dla początkujących adeptów DevSecOps jak i zaawansowanych użytkowników.

Top 10 – czyli o czym pamiętać, aby korzystać bezpiecznie z chmury. 

Tomasz Stachlewski – CEE Senior Solutions Architecture Manager, Amazon Web Services

Dla wielu firm chmura stała się nową normalnością. Jedni idą do niej w pogoni za redukcją kosztów, drudzy w gonitwie za nowymi technologiami. Jednak u podstaw każdego z powodów są (a przynajmniej powinny być) solidne reguły i zrozumienie jak korzystać z chmury bezpiecznie. Podczas tej sesji przyjrzymy się subiektywnej liście najczęściej popełnianych błędów, jeśli chodzi o (nie)poprawną konfigurację (nie)bezpieczeństwa tworzonych środowisk chmurowych oraz przyjrzymy się zasadom jakie powinny zostać wdrożone przez każdego już na samym początku wędrówki do chmury. Postaramy się również odpowiedzieć sobie na pytanie, gdzie jest granica pomiędzy ‘sensownym bezpieczeństwem’ w chmurze a ‘przesadą’ – blokującą faktyczne wykorzystanie wehikułu nowych technologii, którym jest chmura. Sesja będzie przeprowadzona na przykładzie chmury AWS.

Dyrektywa NIS 2 - jakie zmiany w zakresie cyberbezpieczeństwa proponuje Komisja Europejska?

Barbara Nerć-Szymańska – Prezes, ISACA Warsaw Chapter

Uczestnicy dowiedzą się jakie istotne zmiany są proponowane przez Unię  Europejską w tzw. Dyrektywie NIS 2, czyli projekcie zmian do Dyrektywy NIS. Omówione zostaną ryzyka i skutki jakie mogą się wiązać  z ich wprowadzeniem. Uczestnikom zaprezentowane będą znaczące zmiany, co pozwoli zaoszczędzić czasu w zapoznawaniu się z całym dokumentem.

Czy możemy ufać systemom?

Joanna Karczewska – Audytor SI, ISACA Warsaw Chapter

Skoro, chcąc nie chcąc, przenosimy coraz więcej naszych aktywności do Internetu, oczekujemy, że systemy informatyczne będą działać szybko, sprawnie i bezproblemowo, a w razie kłopotów nasze reklamacje i wątpliwości będą wyjaśniane "bez zbędnej zwłoki". Krótko mówiąc, zakładamy, że właściciele systemów nie zawiodą naszego zaufania. Rzeczywistość bywa różna. W trakcie wystąpienia przedstawię kilka przykładów z życia wziętych i uzasadnię szczególne znaczenie cyberbezpieczeństwa dla naszego zaufania do używanych systemów i Internetu oraz dalszej cyfryzacji.

„Cyberbezpieczeństwo-RODO-Pandemia. Czy cyber ubezpieczenia mogą być panaceum na nasze słabości w zarządzaniu cyberbezpieczeństwem?

Krzysztof Radecki – Audytor Wewnętrzny CGAP®, DPO (Inspektor Ochrony Danych), ISACA Warsaw Chapter

W trakcie prelekcji zaprezentowane będzie studium przypadku dotyczące problematyki cyber ubezpieczeń (cyber insurence) również w kontekście RODO. Prelekcja ma na celu zaprezentowanie najważniejszych problemów z jakimi powinni się zmierzyć kierownicy jednostek sektora publicznego tj. reagowania na istotne zmiany w funkcjonowaniu jednostki w dobie pandemii, skupieniu się na identyfikacji obecnych i przyszłych ryzyk związanych z cyberbezpieczeństwem.

Nie samymi sukcesami człowiek żyje, czyli historia pewnego incydentu...

Krzysztof Szmigielski – Kierownik Sekcji Informatyki, Szpital Wolski w Warszawie

Świeża historia włamania na jeden z serwerów Szpitala Wolskiego w Warszawie: wektor ataku, popełnione błędy, działania podjęte i finał... Wszystko bez owijania w bawełnę i wybielania siebie, przedstawię wszystkie błędy popełnione przeze mnie i mój zespół, a także całą historię włamania.

Jak przejść do chmury zgodnie z wymogami UKNF i nie zwariować?

Paweł Kulpa – Architekt bezpieczeństwa, ISACA Warsaw Chapter

W obecnej sytuacji coraz więcej organizacji rozważa przeniesienie części lub całości swoich usług informatycznych do chmury. Wygoda i prostota zachwalana przez dostawców jest kusząca ale nie można przy tym zapomnieć o naturalnej nieufności i ostrożności jaka powinna charakteryzować każdego kto zajmuje się bezpieczeństwem ani o zgodności z przepisami. W mojej prezentacji pokażę jak zorganizować proces wykorzystania chmury obliczeniowej w instytucji finansowej.

Cyberastronomia, czyli atak na łańcuch dostaw.

Ireneusz Tarnowski – Analityk cyberzagrożeń, Santander Bank Polska

Supernova, SolarWinds, SolarStorm, czy Orion – brzmią niemal jak terminy z poradnika astronomii, jednak w cyberprzestrzeni niosą za sobą poważne zagrożenie dla firm. Wiedza astronomiczna nie jest wymagana, jednak zrozumienie tych ataków jest już obowiązkiem każdego analityka zagrożeń i incydentów. Ci, których ten atak dotknął, mają obecnie bardzo poważne zadanie w obszarze analizy oraz mitygacji incydentu, jak również odbudowy bezpiecznego środowiska informatycznego. Dla tych, których ten atak nie dotyczył bezpośrednio powinien być lekcją do odrobienia – analiza scenariusza ataku i badanie odporności na niego. Cyberatak za pośrednictwem łańcucha dostaw, już od kilku lat jest wskazywany jako jeden z ważniejszych wektorów. Z pewnością rok 2020 zmienił rozumienie cyberbezpieczeństwa na całym świecie. Przyspieszona, wymuszona pandemią, adaptacja technologiczna do warunków pracy zdalnej, do nowych usług, czy wręcz zjawisk internetowych to dla cyberbezpieczeństwa prawdziwe wyzwanie: migracja do rozwiązań chmurowych, wdrażanie zdalnego modelu pracy w sposób bezpieczny, zabezpieczanie infrastruktury, a jednocześnie zmiana modeli operacyjnych w organizacjach. W końcówce roku ujawniono jednak szczegóły największego ataku APT, w którym zastosowano metodę wodopoju (zatrutego źródła).  Prezentacja przybliży  analizę tego ataku, jego przyczyny i potencjalne skutki.

Zapewnienie jakości i bezpieczeństwa aplikacji w środowiskach regulowanych.

Jan Anisimowicz – Director Audit, Risk & Compliance, ISACA Warsaw Chapter

Zapewnienie jakości i bezpiecznego kodu w wytwarzanym oprogramowaniu jest niewątpliwie wyzwaniem dla każdej organizacji. Pisząc aplikacje startujące rakietą kosmiczną, nadzorujące pracę samochodów autonomicznych czy też sterujące pracą robotów w fabrykach wytwarzających leki – trzeba zadbać o najwyższą możliwą jakość. Błędy mogą kosztować życie ludzkie.  Jednocześnie świat cały czas idzie do przodu i każda firma podlega presji skracania cyklu produkcyjnego, dopasowywania się do oczekiwań biznesowych. Rynek oczekuje wdrażania nowych wersji aplikacji nie w cyklach rocznych czy miesięcznych, ale tygodniowych czy nawet dziennych. Pogodzenie tych rozbieżnych oczekiwań (z jednej strony wysoka jakość oprogramowania, a z drugiej szybkie i częste wdrożenia) jest możliwa tylko wtedy, gdy proces wytwórczy będzie odpowiednio zorganizowany. Pokażę w jaki sposób można zorganizować pracę zespołów programistów i testerów tak, aby mogły pracować nad wspólnym celem bez niepotrzebnej konkurencji. Dodatkowo na przykładzie regulacji GMP (Good Manufacturing Practices) przedstawię w jaki sposób nakładane wymogi regulacyjne mogą stanowić wsparcie, a nie ograniczenie dla zespołu wytwórczego. Przedstawię także główne sposoby automatyzacji działań wspierających zapewnienie jakości tak aby możliwe było zapewnienie Continous Delivery and Continous Integration.

Jak pandemia zmieniła VPNy?

Bartosz Chmielewski – ISSA Polska

Podczas prezentacji uczestnicy dowiedzą się jak zmienia się mechanizm dostępu do zasobów, który wielokrotnie był realizowany lub jest realizowany z użyciem VPN. Opowiedziane zostanie o modelu Software Defined Perimeter Zero Trust opracowanym przez Cloud Security Alliance i jak jest on realizowany.

Banki spółdzielcze w chmurze? Ocena ryzyka w różnych modelach outsourcingu.

Marek Moszkowski – Inżynier systemów, ISACA Katowice Chapter

Porównanie różnych modeli outsourcingu dostępnych dla banków z sektora spółdzielczego. Omówienie zalet i wad każdego z rozwiązań oraz próba oceny ryzyka wynikającego z ich wyboru.

Ojejku. Ktoś się pod nas podszywa!

Piotr Zarzycki – Ekspert ds. bezpieczeństwa, Orange

Ktoś się pod nas podszywa - i co dalej. Proste i jednocześnie skuteczne metody monitorowania i walki z phishingiem. Praktyczne rozwiązania i przykłady.

Blockchain – jak kontrolować za pomocą frameworku ISACA.

Małgorzata Michniewicz – Member of the Audit Committee, ISACA Warsaw Chapter

Wykorzystanie Blockchain jest coraz powszechniejsze, jednak organizacje, które zdecydują się na tę technologię, powinny zidentyfikować i opracować kluczowe zasady, procedury i mechanizmy kontrolne w celu ograniczenia ryzyka i usprawnienia procesów. Podczas prezentacji przedstawię  i omówię  przydatne narzędzie analityczne: "Blockchain Preparation Audit Program" - ISACA, które wskazuje luki oraz wspiera w uzmysłowieniu jakie wartości niesie ze sobą wdrożenie w danym przypadku technologii Blockchain, bo jest ich zdecydowanie więcej niż powszechnie uznane tj. niezaprzeczalność, skalowalność, transparentność. Dodatkowo przedstawione i omówione zostaną wyniki badań własnych dot. stosowanych w Blockchain mechanizmów konsensusu ( ze szczególnym uwzględnieniem trendu ich zastosowania w poszczególnych działach gospodarki), narzędzia oparte o technologie Blockchain, które wspierają audyty systemów IT (opcja) oraz regulacje i dobre praktyki stosowania Blockchain na gruncie krajowym i światowym.

Audytowanie procesu zarządzania ryzykiem.

Dr Piotr Dzwonkowski  – Akredytowany trener, ISACA Warsaw Chapter

Głównym problemem w audycie procesu Zarządzania Ryzykiem organizacji jest brak najlepszych wzorców postępowania, które mogły by być kryteriami audytu. Audytor ma do dyspozycji zasady lub opisy dobrych praktyk jak na przykład te, które zostały zawarte w dokumentach ISO 31000 czy ISO/IEC 27005 albo NIST SP 800-39. Dokumenty te jednak nie są opisem systemów zarządzania, nie podlegają certyfikacji i nie można być pewnym czy opisują najlepszy z możliwych sposobów zarządzania ryzykiem. Trudno zatem uzasadnić konieczność zgodnego z nimi postępowania. W prezentacji przedyskutuję ten problem i zaproponuję możliwy sposób postępowania.

Od backup'u do disaster recovery.

Zbigniew Kupisz-Andrzejewski, ISACA Warsaw Chapter

W oparciu o doświadczenia audytora przedstawię elementy, które powinny być obiektem weryfikacji w trakcie realizacji audytu. Jednocześnie elementy te mogą być pomocne dla komórki bezpieczeństwa w trakcie tworzenia planu zabezpieczania organizacji przed skutkami awarii. W ramach wystąpienia odniosę się do następujących zagadnień: tworzenie kopii zapasowych, w tym uzgodnienia pomiędzy biznesem i informatyką, planowanie polityk backupu, monitorowanie, - wykonywanie odtworzeń testowych, weryfikacja poprawności wykonanego odtworzenia, - wdrożenie monitorowania, raportowania i udoskonalania procesu.

Rada programowa:

Mariusz Belka

Członek Zarządu, ISSA Polska

Tomasz Brożek

Wiceprezes, (ISC)2 Poland Chapter

Łukasz Bydłosz

Prezes Isaca Katowice Chapter, ISACA Katowice Chapter

Grzegorz Cenkier

Członek Zarządu, ISSA Polska

Jerzy Piotr Duczyński

Wiceprezes, ISACA Warsaw Chapter

Bartłomiej Dyrga

Członek Zarządu, ISACA Katowice Chapter

Julia Juraszek

Dyrektor, ISSA Polska

Marcin Marciniak

Manager, Implementation Expert, EY Business Advisory, Cyber Security Implementations

Adam Mizerski

Wiceprezes, ISACA Katowice Chapter

Barbara Nerć-Szymańska

Prezes, ISACA Warsaw Chapter

Katarzyna Rusa-Mikurenda

Członek, ISSA Polska

Magdalena Szczodrońska

Dyrektor działu konferencji, Computerworld

Filip Walicki

Project Manager, Computerworld

Wanda Żółcińska

Redaktor Naczelna, Computerworld

Zostań partnerem Semafor 2021!

Udział w roli Partnera to wyjątkowa okazja do zaprezentowania doświadczeń oraz rozwiązań dotyczących świata bezpieczeństwa informacji i audytu IT w Polsce.

Zostań partnerem

TAK WYGLĄDAŁY POPRZEDNIE EDYCJE KONFERENCJI SEMAFOR

Na konferencję zapraszają

 

Partnerzy generalni

Mecenas

Patroni medialni

Jesteśmy do Państwa dyspozycji



Filip Walicki
Tel. 662 287 904
[email protected]

Piotr Fergin
Tel. 533 358 952
[email protected]

Agata Rydzewska
Tel. 662 287 833
[email protected]

Włodzimierz Duszyk
Tel. 662 287 870
[email protected]

Magdalena Szczodrońska
Tel. 662 287 935
[email protected]

1 dzień konferencji 27 maja 2021
09.30–09.40

Powitanie uczestników. Rozpoczęcie konferencji.

09.40–10.10

Implementing an Effective Zero Trust Architecture.

With all of the changes cause by the epidemic, organizations had to rethink their entire architecture. In many cases, changes were made out of necessity without direct involvement of cybersecurity. Now organizations have to rethink what their architecture looks like. While zero trust is a concept that has been used through cybersecurity, many organizations struggle with how to actually implement it in an effective manner. This presentation will focus on creating a zero trust architecture that provides proper cybersecurity and provides for the new requirements of being location agnostic.

dr Eric Cole dr Eric Cole, Founder & CEO, Secure Anchor Consulting
10.10–10.40

ITnorance (I invented this sh*t).

Collective intelligence; Artificial Intelligence; Information Transformation; Privacy; Security; Knowledge Management; Ignorance Summary Presentation: ITnorance is a lack of Information and Technologies related knowledge. The word "ITnorant" is an adjective that describes a person or professional in the state of being unaware of Information and Technologies related value, and can describe Organizations who deliberately ignore or disregard the contribute of information and technologies to the value creation. ITnorance can appear in three different types: factual ITnorance (absence of information and technologies related knowledge), objectual ITnorance (unacquaintance with some information and technology related practice), and technical ITnorance (absence of knowledge of how to use Information and Technologies to create value).

Bruno Horta Soares Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, Founder & Senior Advisor, GOVaaS
10.40–11.10

FortiGuard Regional Threat Briefing and how an AI can supplement the Security Operations Team.

A FortiGuard researched review of the threats targeting the various industries across the region. Followed up by a discussion on how AI technology embedded in your cyber-security portfolio can support your security operations team and prevent them from being overwhelmed.

Kash Valji Kash Valji, Director of Consulting Systems Engineering, Fortinet
11.10–11.40

Oczekujemy na potwierdzenie tematu wystąpienia.

11.40–12.00

Przerwa na odwiedziny Stref Partnerskich.

12.00–12.30

Oczekujemy na potwierdzenie tematu wystąpienia.

Robert Kośla Robert Kośla, Dyrektor Departamentu Cyberbezpieczeństwa, Kancelaria Prezesa Rady Ministrów
12.30–13.00

Oczekujemy na potwierdzenie tematu wystąpienia.

13.00–13.20

KSC - jak wdrożyć wymogi rzetelnie (i przygotować się na KSC 2).

Mówi się w branży żartobliwie, że za każdym audytorem stoi grupa zirytowanych inżynierów. Frustracja inżynierów wynika w głównej mierze z tego, że zapisy zawarte w wewnętrznych regulacjach niepokojąco często przypominają swoją forma i zawiłością Ordynację Podatkową, a wdrażaniem i audytowaniem zajmują się prawnicy, którzy wiedzę o bezpieczeństwie IT i OT zwykle mają... humanistyczną. Jak zatem wdrożyć rzetelnie KSC, tak aby spełniał zarówno wymogi prawne, jak i funkcjonalne - ergo: w faktyczny sposób przyczynił się do wzrostu bezpieczeństwa organizacji? W jaki sposób trafnie realizować proces audytu, tak aby badać rzeczywisty stan bezpieczeństwa? I czemu organizacje muszą zmienić swoje dotychczasowe podejście do KSC w związku ze zbliżającą się nowelizacją zapisów regulacji NIS?

Cezar Cichocki Cezar Cichocki, Szef Centrum Kompetencyjnego, OpenBIZ
13.20–13.50

The Future of Blockchain: Analytics and the Data Trail.

Blockchain poses a number of unique data privacy challenges due to its undeletable nature. Some blockchain projects have shown a vulnerability to being hacked due to this characteristic and it raises a number of questions about the usage of this data in security-related settings. It is important to understand how the blockchain data trail can be explored in these cases and how this will shape the future of the technology.

13.50–14.20

Przerwa na odwiedziny Stref Partnerskich.

14.20–15.20

Sesja stolików eksperckich - roundatables.

Audyt IT
15.20–15.50

Od backup'u do disaster recovery.

Zbigniew Kupisz-Andrzejewski Zbigniew Kupisz-Andrzejewski, Konsultant audytu (CISA, CRISC), ISACA Warsaw Chapter
Cyberbezpieczeństwo, Hacking i Forensic
15.20–15.50

Nie samymi sukcesami człowiek żyje, czyli historia pewnego incydentu...

Krzysztof Szmigielski Krzysztof Szmigielski, Kierownik Sekcji Informatyki, Szpital Wolski w Warszawie
Zarządzanie bezpieczeństwem informacji
15.20–15.50

Dyrektywa NIS 2 - jakie zmiany w zakresie cyberbezpieczeństwa proponuje Komisja Europejska?

Barbara Nerć-Szymańska Barbara Nerć-Szymańska, Prezes, ISACA Warsaw Chapter
Innowacje
15.20–15.50

Rzecz o bezpieczeństwie kontenerów, czyli dobre praktyki w pracy z Docker.

Tomasz Janczewski Tomasz Janczewski, Security Architect
Audyt IT 16 września 2020
15.50–16.10

Audyt IT na poziomie zarządu.

Cyberbezpieczeństwo, Hacking i Forensic 16 września 2020
15.50–16.10

Cyberataki - studium przypadku pentestera.

Zarządzanie bezpieczeństwem informacji 16 września 2020
15.50–16.10

Jak zarządzać cyberbezpieczeństwem w sieciach społecznościowych

Innowacje 16 września 2020
15.50–16.10

Bezpieczeństwo usług 5G.

Audyt IT 16 września 2020
16.10–16.30

Audyt rozwiązań kryptograficznych.

Cyberbezpieczeństwo, Hacking i Forensic 16 września 2020
16.10–16.30

Jak nadążyć nad zmiennością cyberataków.

Zarządzanie bezpieczeństwem informacji 16 września 2020
16.10–16.30

Odporność biznesowa, jako kolejny poziom dojrzałości w zapewniania ciągłości działania.

Innowacje 16 września 2020
16.10–16.30

Sztuczna inteligencja- perspektywy rozwoju i aspekt etyczny.

Audyt IT 16 września 2020
16.30–17.00

Audytowanie procesu zarządzania ryzykiem.

dr Piotr Dzwonkowski dr Piotr Dzwonkowski, CISA, CISM, CRISC, ISACA Warsaw Chapter, ISSA Polska
Cyberbezpieczeństwo, Hacking i Forensic 16 września 2020
16.30–17.00

Cyberastronomia, czyli atak na łańcuch dostaw.

Ireneusz Tarnowski Ireneusz Tarnowski, Analityk cyberzagrożeń, Santander Bank Polska
Zarządzanie bezpieczeństwem informacji 16 września 2020
16.30–17.00

Cyberbezpieczeństwo-RODO-Pandemia. Czy cyber ubezpieczenia mogą być panaceum na nasze słabości w zarządzaniu cyberbezpieczeństwem?

Krzysztof Radecki Krzysztof Radecki, Audytor Wewnętrzny CGAP®, DPO (Inspektor Ochrony Danych), ISACA Warsaw Chapter
Innowacje 16 września 2020
16.30–17.00

Zapewnienie jakości i bezpieczeństwa aplikacji w środowiskach regulowanych.

Jan Anisimowicz Jan Anisimowicz, Director Audit, Risk & Compliance, ISACA Warsaw Chapter
17.00

Zakończenie pierwszego dnia konferencji.

2 dzień konferencji 28 maja 2021
09.30

Otwarcie drugiego dnia konferencji.

09.30–10.00

Czy możemy ufać systemom?

Skoro, chcąc nie chcąc, przenosimy coraz więcej naszych aktywności do Internetu, oczekujemy, że systemy informatyczne będą działać szybko, sprawnie i bezproblemowo, a w razie kłopotów nasze reklamacje i wątpliwości będą wyjaśniane "bez zbędnej zwłoki". Krótko mówiąc, zakładamy, że właściciele systemów nie zawiodą naszego zaufania. Rzeczywistość bywa różna. W trakcie wystąpienia przedstawię kilka przykładów z życia wziętych i uzasadnię szczególne znaczenie cyberbezpieczeństwa dla naszego zaufania do używanych systemów i Internetu oraz dalszej cyfryzacji.

Joanna Karczewska Joanna Karczewska, Audytor SI, DPO (Inspektor Ochrony Danych), ISACA Warsaw Chapter
10.00–10.20

Oczekujemy na potwierdzenie tematu wystąpienia.

10.20–11.10

Paradigm Shift to an Operational Resilience Model.

Traditional IT security tools focus on Identity, Detection, Prevention, and Response. However, ransomware, wiper malware and other destructive attacks has caused the need for a paradigm shift to implement solutions that enable an enterprise to fully recover data, applications, systems, networks, and configurations, plus restore physical assets and operational technologies. This session will discuss multi-sector initiatives underway to develop recovery rules and guidelines to achieve true operational resilience from IT, physical, and OT threats.

William B. Nelson William B. Nelson, Chair & CEO, Global Resilience Federation
11.10–11.30

Przerwa na odwiedziny Stref Partnerskich.

11.30–12.00

XSS - czy nadal jest groźny w 2021?

Podatność bezpieczeństwa XSS (Cross-Site Scripting) znana jest od bardzo dawna i mogłoby się wydawać, że już wszyscy dawno powinni wiedzieć, w jaki sposób się przed nią zabezpieczać i jak ograniczać jej skutki. Niestety, w rzeczywistości nadal jest bardzo rozpowszechniona, a ze względu na użycie technologii webowych poza przeglądarkami (tzw. aplikacje hybrydowe) okazuje się, że skutki są nawet poważniejsze niż we wcześniejszych latach. Na prezentacji opowiem o XSS-ach; przypomnę do czego napastnicy używali tej podatności w tradycyjnych aplikacjach webowych, a do czego mogą ją wykorzystywać obecnie. Przejrzę też nowoczesne mechanizmy obronne, pozwalające zniwelować ryzyka XSS-ów.

Michał Bentkowski Michał Bentkowski, Sekurak.pl
12.00–12.20

Automatyzacja procesu bezpieczeństwa.

12.20–12.50

5 metaphors that can make CISO's conversations with the business easier.

Without establishing trust with the business, security leaders cannot be successful. A prerequisite to building trust is understanding, which requires a common language. For security leaders, that means not using acronyms, vendor names and technology names. During this session, Omar will share metaphors that anyone can use to readily build trust with the business.

Omar Khawaja Omar Khawaja, Chief Information Security Officer, Highmark Health
12.50–13.20

DEBATA Lessons Learned = ostatnia faza incydentu. Case study ataku ransomware Gmina Kościerzyna

13.20–13.50

Przerwa na odwiedziny Stref Partnerskich.

Audyt IT
13.50–14.20

Blockchain – jak kontrolować za pomocą frameworku ISACA.

Małgorzata Michniewicz Małgorzata Michniewicz, Member of the Audit Committee, ISACA Warsaw Chapter
Cyberbezpieczeństwo, Hacking i Forensic
13.50–14.20

Radykalne ataki na systemy przemysłowe (OT) poprzez infrastrukturę wspierającą (IT/ICT) - przykłady i dobre praktyki.

Artur Zięba-Kozarzewski Artur Zięba-Kozarzewski, Lider zespołu ds. Badań i Rozwoju, ISSA Polska
Zarządzanie bezpieczeństwem informacji
13.50–14.20

Dostęp do infrastruktury krytycznej - fakty, mity i dobre porady.

Marcin Marciniak Marcin Marciniak, Manager, Implementation Expert, EY Business Advisory, Cyber Security Implementations
Innowacje
13.50–14.20

Banki spółdzielcze w chmurze? Ocena ryzyka w różnych modelach outsourcingu.

Marek Moszkowski Marek Moszkowski, System Engineer - Operating Systems Specialist, ISACA Katowice Chapter
Audyt IT 17 września 2020
14.20–14.40

Audyt rozwiązań chmurowych i hybrydowych.

Cyberbezpieczeństwo, Hacking i Forensic 17 września 2020
14.20–14.40

Wbudowanie bezpieczeństwa w proces CI/CD.

Zarządzanie bezpieczeństwem informacji 17 września 2020
14.20–14.40

Jak pandemia zmieniła VPNy?

Bartosz Chmielewski Bartosz Chmielewski, Członek, ISSA Polska
Innowacje 17 września 2020
14.20–14.40

Mechanizmy AI w służbie cyberbezpieczeństwa.

Sebastian Krystyniecki Sebastian Krystyniecki, Principal Systems Engineer, Fortinet
13.50–14.20

Przerwa na kawę i herbatę. Networking.

Audyt IT 17 września 2020
14.40–15.10

Audyt chmury - jak się do tego zabrać? Standardy, metodyki, narzędzia.

Anna Chałupska Anna Chałupska, Audytor Bezpieczeństwa, ISACA Warsaw Chapter
Cyberbezpieczeństwo, Hacking i Forensic 17 września 2020
14.40–15.10

Top 10 – czyli o czym pamiętać, aby korzystać bezpiecznie z chmury.

Tomasz Stachlewski Tomasz Stachlewski, CEE Senior Solutions Architecture Manager, Amazon Web Services
Zarządzanie bezpieczeństwem informacji 17 września 2020
14.40–15.10

Jak przejść do chmury zgodnie z wymogami UKNF i nie zwariować?

Paweł Kulpa Paweł Kulpa, Architekt bezpieczeństwa, ISACA Warsaw Chapter
Innowacje 17 września 2020
14.40–15.10

Normalizacja technologii blockchain i rozproszonych rejestrów DLT.

Michał Łoniewski Michał Łoniewski, Kierownik Wydziału Rozwoju Usług Technicznych i Metod Badawczych Departament Innowacji i Rozwoju, Urząd Dozoru Technicznego
Audyt IT 17 września 2020
15.10–15.40

Zdobywanie niebronionej twierdzy – przykłady audytu w sektorze finansowym i ochrony zdrowia.

Marek Ujejski Marek Ujejski, IT Security Expert - CISM, CPDSE Board Adviser, COIG S.A.
Cyberbezpieczeństwo, Hacking i Forensic 17 września 2020
15.10–15.40

Ojejku. Ktoś się pod nas podszywa!

Piotr Zarzycki Piotr Zarzycki, Ekspert ds. cyberbezpieczeństwa, Orange
Zarządzanie bezpieczeństwem informacji 17 września 2020
15.10–15.40

Analiza ryzyka w okresie pandemii - jak radzić sobie z nowymi ryzykami.

Anna Słodczyk Anna Słodczyk, CRISC, EITCA/IS, Audytor ISO/IEC 27001, Inspektor ochrony danych, Menadżer ryzyka
Innowacje 17 września 2020
15.10–15.40

Red teaming - nowa filozofia testowania bezpieczeństwa.

dr inż. Mariusz Stawowski dr inż. Mariusz Stawowski, Senior Member, ISSA Polska
15.40–16.10

Oczekujemy na potwierdzenie tematu wystąpienia.

15.40–16.10

Oczekujemy na potwierdzenie tematu wystąpienia.

15.40–16.10

Jak audytować odporność organizacji (resilience).

Sesja warsztatowa
15.40–16.40

Jak zacząć audyt infrastruktury w jeden dzień - dla osób technicznych i nie.

Wojciech Ciemski Wojciech Ciemski, Specjalista i Trener, Eksperckie Centrum Szkolenia Cyberbezpieczeństwa
16.10–16.40

Audit, czy audyt, czyli kto może badać stan cyberbezpieczeństwa?

Andrzej Brągiel Andrzej Brągiel, Główny Specjalista w Zespole Analiz Stanu Bezpieczeństwa Cyberprzestrzeni, Ministerstwo Sprawiedliwości
16.10–16.40

Co w sieci piszczy...?

Jacek Grymuza Jacek Grymuza, Członek Zarządu, (ISC)² Poland Chapter
16.10–16.40

Disaster Recovery w chmurze - potrzebne czy nie? - lekcja z OVH Fire Case Study.

Jacek Bochenek Jacek Bochenek, Cloud and Security Team Leader, ITEO
16.40

Zakończenie konferencji SEMAFOR 2021 Online.

Organizatorzy dołożą wszelkich starań, aby konferencja odbyła się zgodnie z prezentowanym programem, jednak zastrzega się możliwość częściowych zmian godzin poszczególnych wystąpień.