Rejestracja Uczestników. Powitalny poczęstunek.
Rozpoczęcie konferencji.
Piotr Filip Sawicki, ISACA Warszawa
Jacek Skorupka, ISSA Polska, Citibank International
Sebastian Watras, IDG Poland
The Windows Phone Freak Show – analiza luk w bezpieczeństwie aplikacji dla systemu Windows Phone razem z możliwością ich wykorzystania w praktyce.
Podatność zostanie połączona z odpowiednią pozycją raportu OWASP, katalogując przypadki niebezpiecznego użycia API Windows Phone SDK. Podczas sesji odbędzie się demonstracja strategii wykorzystania tych podatności oraz dyskusja na ten temat. Prelekcja w języku angielskim.
Luca De Fulgentis, Secure Network S.r.I
Ewolucja systemów zabezpieczeń wobec wyzwań w zwalczaniu ataków APT.
Ataki APT zadomowiły się w świadomości właścicieli i zarządców sieci informatycznych. Kiedy stajemy przed wyborem właściwego rozwiązania do ochrony infrastruktury dochodzimy do wniosku, że nie wystarczą już systemy pracujące w oparciu o statyczne sygnatury. Jednak dokładniejsza analiza nieznanego dotąd kodu stwarza zagrożenie zmniejszenia wydajności. Prezentacja ma na celu przedstawienie koncepcji rozszerzenia istniejących systemów zabezpieczeń w celu zwiększenia ich skuteczności w walce z zaawansowanymi atakami.
Robert Dąbrowski, Fortinet Polska
Jak wykorzystać moc systemów Sandbox?
Systemy typu Sandbox pojawiły się już jakiś czas temu na naszym rynku. W istocie rzeczy dają nam odpowiedź na pytanie, czy dana próbka kodu jest złośliwa czy też nie opierając się nie tylko na sygnaturach, ale również ma analizie dynamicznej. Co jednak zrobić z rezultatem analizy i jak sprawnie wykorzystać to, jaką informację mogą nam przekazać systemy typu Sandbox? Podczas mojego wystąpienia opowiem o systemie integrującym różne komponenty infrastruktury bezpieczeństwa by automatycznie reagować na incydenty związane z APT i niwelować skutki zaawansowanych ataków na infrastrukturę wewnętrzną.
Bartosz Chmielewski, McAfee. Part of Intel Security
Przerwa kawowa i networking.
CASE STUDY: Chińczycy od dawna atakują polskie firmy.
Historia ataku ukierunkowanego na jednego z klientów Niebezpiecznika, który w wyniku działań chińskich włamywaczy poniósł ponad milionowe straty.
Prelekcja przedstawi historię ataku ukierunkowanego na jednego z klientów Niebezpiecznika, który w wyniku działań chińskich włamywaczy poniósł ponad milionowe straty. Ukazane zostaną techniki pracy chińskiego gangu oraz wyniki śledztwa, które ujawniło, że nasz klient nie był pierwszą ofiarą, a proceder wykradania pieniędzy jest regularny i masowy.
Piotr Konieczny, Niebezpiecznik.pl
The World's First Privileged Activity Monitoring Solution.
Privileged users, such as system administrators, managers or outsourcing providers have unrestricted and uncontrolled access to your company's most sensitive IT assets. Privileged accounts have emerged as the primary target for cyber criminals and been exploited to perpetrate the most devastating data breaches today. Therefore, controlling and monitoring the access of these users is crucial to protect your high-risk assets. BalaBit's Shell Control Box (SCB) activity monitoring tool is a perfect fit for this challenge. Since it's market launch in 2007, SCB has become the global leader in proxy-based session recording technologies. Beyond the introduction of the technology, the presentation highlights the key use cases and competitive advantages of the product. The presentation is closed with a short technical demo.
Viktor Varga, Balabit
Defending against Advanced Persistent Threats with Identity Governance.
Starting by explaining what is an "Advanced Persistent Threat”, we will characterize the cybersecurity as a targeted attack which is more complex to defend against. We will acknowledge the existence of the ISACA European Cyber Security Implementation Series. Then, we will look how to defend ourselves at the various steps of an attack (Reconnaissance,. Initial Entry, Escalation of Privileges, Escalation of Privileges, Continuous Exploitation). We will find that Identity is the heart of your defense.
Consequently, you must have an identity governance which will allow you to:
Yves LE ROUX, CA Technologies
Technologie mobilne w przedsiębiorstwie – aktualne trendy, zagrożenia i rozwiązania bezpieczeństwa.
W trakcie prezentacji omówione zostaną światowe trendy związane z wykorzystaniem technologii mobilnych w zastosowaniach biznesowych. Przedstawione zostaną zagrożenia z tym związane oraz typowe metody ataku na urządzenia mobilne. Zaprezentowane zostaną również rozwiązania pozwalające na skuteczne zabezpieczenie danych na urządzeniach oraz kontrolę i zarządzanie mobilnością w przedsiębiorstwie.
Maciej Smyk, Samsung R&D Institute Poland
Lunch dla Uczestników konferencji w restauracji.
Wybrane problemy bezpieczeństwa aplikacji webowych.
W trakcie prelekcji omówione zostaną ciekawe podatności w aplikacjach webowych. Zaprezentowana zostanie m.in. możliwość wykorzystania podatności shellshock przy ataku na aplikację, czy mało znany problem - XXE. Każda omawiana luka, po krótkim wstępie teoretycznym, prezentowana jest na żywo.
Michał Sajdak, Sekurak
Poznaj swojego wroga: Metasploit czyli jedno z bardziej lubianych narzędzi hakerów/pentesterów w praktyce.
Metasploit to bardzo popularne narzędzie zarówno w świecie black jak i white hatów. Używają go chętnie hakerzy, pentesterzy czy nawet, jak się ostatnio okazuje, FBI. Podczas prelekcji przedstawiony zostanie Metasploit jako framework wspierający przeprowadzenie ataku na organizacje w jego różnych fazach. Na podstawie doświadczeń zdobytych podczas przeprowadzania wielu testów penetracyjnych zarówno w niedużych firmach jak i wielkich korporacjach, autor w oparciu o specjalnie przygotowane laboratorium przedstawi wykorzystanie Metasploita w akcji.
Paweł Maziarz, PwC Cyber Security
Złośliwe oprogramowanie w bankowości: „żaden problem…”
W ostatnich latach przestępcy dużo częściej napadają klientów sektora finansowego niż same banki. Wysoka skuteczność ataków na komputery, urządzenia mobilne czy punkty dostępowe to znakomita okazja dla cyberprzestępców, by pójść krok dalej i spróbować nielegalnie zarobić. Napastnik jest poważny, to „bóg” ZeuS lub jego bliższy/dalszy krewny – potrafi m.in. wykonać operację w systemie bankowości elektronicznej i nakłonić (zmanipulować) klienta, by autoryzował przelew, którym wyprowadzi środki finansowe. Większość Ekspertów ds. Bezpieczeństwa proponuje „higienę” na urządzeniach klientów bankowości internetowej, równocześnie stosowanie systemów bezpieczeństwa jak antywirus, firewall, instalację wszystkich aktualizacji, a bankom wdrożenie systemów typu FDS (Fraud Detection System). Efektem są kolejne żniwa zbierane przez przestępców. W trakcie prezentacji wysnuję hipotezę o innym podejściu do problematyki złośliwego oprogramowania ukierunkowanego na klientów systemów bankowości elektronicznej – rozwiązanie, w praktyce dużo szybsze w implementacji, tańsze i efektywniejsze niż powszechnie stosowane propozycje.
Bezpieczeństwo w SDLC - dlaczego inne drogi prowadzą na manowce?
Tematyka dotycząca cyklu rozwoju oprogramowania i systemów jest doskonale znana od wielu lat. Nie zawsze jednak przykłada się odpowiednią atencję do zapewnienia choćby minimalnego poziomu bezpieczeństwa w tym procesie. Skutki mogą być opłakane – od nieujawnionych, poważnych podatności na środowiskach produkcyjnych, przez uciążliwe błędy, aż po skutki finansowe – zarówno w postaci dodatkowych kosztów naprawy błędów, poprzez koszty odszkodowań, aż po straty finansowe wynikłe z wykorzystania podatności i np. wyprowadzenie środków z banku czy wykonanie oszukańczego przelewu.
Michał Brandt, Raiffeisen Bank Polska
Kluczowe czynniki sukcesu programu IDM.
Prezentacja ma za zadanie pokazać, o co sponsor projektu IDM i wspierający go kierownik projektu musi zadbać, aby projekt lub program mający na celu implementację zgodnych z najlepszymi praktykami procesów zarządzania tożsamością i uprawnieniami użytkowników systemów informatycznych, przy wparciu zautomatyzowanymi narzędziami klasy IDM/IAM, mógł przynieść satysfakcjonujące efekty.
Jeremi Gryka, Bank BGŻ
CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzestępcą?
Przez ostatnie dekady tzw. „podziemie cyberprzestępcze” zmieniło się zasadniczo. Od pojedynczych grup hakerów dokonujących ataków dla prestiżu do obecnego kształtu dobrze zorganizowanych „korporacji” zarabiających na różnych działaniach biliony dolarów rocznie. Czy w dalszym ciągu zagrożeniem są „hakerzy”, crakerzy, skryp kiddies? To jedno z pytań, które musimy postawić sobie w przypadku wykorzystywania sieci Internet. Kto faktycznie i jak bardzo nam zagraża? Obecne trendy rozwoju cyberprzestępczości wskazują na bardzo intensywny rozwój tzw. „podziemia cybernetycznego” oferującego całkowicie kompletne środowiska i zarazem narzędzia do samodzielnego przeprowadzenia ataku, ukrycia działalności, uniemożliwienia wykrycia śladów ataku oraz sprzedaży danych czy też uzyskanych informacji. Rozwiązania takie stanowią swoistego rodzaju platformę cyberprzestepczą zwaną „Crime-as-a-Service” (przestępstwo jako serwis – CaaS). Jak ten system jest zorganizowany oraz jakie są jego elementy, jakie wykorzystywane są narzędzia i dlaczego jest to bardzo duży problem dla organizacji, firm oraz osób zajmujących się bezpieczeństwem IT? Gdzie są dostępne oraz co oferują usługi CaaS? Ta wiedza jest niezbędna do zabezpieczenia/przygotowania organizacji na potencjalny atak. Nie ulega wątpliwości że dostęp do „profesjonalnych” narzędzi ułatwiających czy też pozwalających na przeprowadzenie bardzo wyrafinowanego ataku z wykorzystaniem np. exploita 0-day jest poważnym problemem, na który należy zwrócić uwagę i odpowiednio wcześniej przygotować się na takie scenariusze ataku. Tym bardziej, że do przeprowadzenia takiego ataku nie potrzeba dzisiaj bardzo zaawansowanej wiedzy informatycznej – wystarczy karta kredytowa.
Obszar IT Governance i jego rola w procesie audytowym.
Prezentacja będzie dotyczyć procesu audytowego w zakresie ryzyk technologicznych czyli w skrócie audytów w obszarze IT W szczególności zaprezentowany zostanie przykład współpracy pomiędzy Departamentem Audytu Wewnętrznego z jednej strony a Departamentem Ładu Korporacyjnego IT po stronie IT. Departament ten jest odpowiedzialny między innymi za obszar ryzyk i kontroli w obszarze IT. W trakcie prezentacji będziemy tez chcieli omówić rolę takiego Departamentu jako drugiej linii kontroli. W czasie prezentacji omówimy przyjęte zasady współpracy, korzyści wynikające dla obydwu stron i co za tym idzie dla całej organizacji. Opowiemy też o wyzwaniach, które powstają w trakcie takiej współpracy i sposoby ich adresowania. Prezentacja będzie prowadzona wspólnie przez Audytora IT jak i pracownika IT Governance co pozwoli na jej obiektywne pokazanie tematu z obydwu stron widzenia.
Łukasz Bydłosz, Bank BPH
Bartłomiej Dyrga, Bank BPH
Audytowanie ukierunkowane na ryzyko – przejście z mechanizmów kontrolnych w kierunku analizy i identyfikacji ryzyk.
Podczas prezentacji zostanie przedstawione podejście do audytu, jednak nie z punktu widzenia kontroli istniejących w procesie, ale z punktu widzenia ryzyk w nim występujących. Ryzyko jest nieodłącznym elementem procesu. Dlatego też w ciągu ostatnich lat zmieniło się podejście do przeprowadzania audytów: z podejścia opartego o kontrole na podejście oparte o analizę ryzyk. W prezentacji zostaną zawarte między innymi informacje dotyczące:
Lilianna Rother-Obrączka, ING Bank Śląski
(Nie)ład informatyczny w praktyce.
Wiele się ostatnio mówi o zaawansowanych narzędziach informatycznych wspierających zarządzanie bezpieczeństwem informacji, o zaawansowanych technikach organizacyjnych, budowie wyspecjalizowanych zespołów dedykowanych do tego typu zagadnień. Rzeczywistość, którą widzą audytorzy podczas codziennej pracy często odbiega jednak od stereotypu świetnie zarządzanych działów IT i bezpieczeństwa realizujących cele biznesowe.
W trakcie prezentacji autor dokona subiektywnego przeglądu najprostszych mechanizmów kontrolnych, które naprawdę wnoszą wartość dla organizacji. Zademonstruje te kwestie, które stanowią niezbędny fundament, bez którego inne, bardziej zaawansowane zagadnienia po prostu nie mają sensu. Wszystko będzie bogato okraszone przykładami z różnych projektów, w których uczestniczyliśmy w ostatnim czasie.
Jakub Syta, IMMUSEC
Przerwa kawowa i networking.
Sesja stolików tematycznych.
To doskonała okazja, oprócz pozyskania nowej wiedzy i inspiracji, do networkingu i wymiany doświadczeń. Uczestnicy będą mieli dwie rundy po 30 minut, w trakcie których będą mogli wybrać stolik z określonym tematem. Każdy stolik będzie miał swojego opiekuna, który ma duże doświadczenie w tym temacie i który będzie moderował dyskusję.
Oto lista tematów, które będą poruszane przy stolikach:
STRUMIEŃ AUDYTOWY
STRUMIEŃ HARD SECURITY
STRUMIEŃ SECURITY MANAGEMENT
Zakończenie pierwszego dnia konferencji.
Spotkanie integracyjne Uczestników konferencji.
Konferencja Semafor 2015 to nie tylko niezwykle bogaty program merytoryczny. To także wieczorne spotkanie integracyjne Uczestników z pysznym poczęstunkiem, podczas którego będzie można lepiej się poznać i wymienić doświadczeniami.
Managing Your Business According to the Rules – How the Privacy and Security Regulation Patchwork affects Business.
This presentation will give an overview of the patchwork of laws, regulations and customs that exist today in the U.S. business arena for dealing with Security and Privacy. We will then examine more in depth how these relate to other selected jurisdictions. Finally we will dive more deeply into the use of a GRC tool to help manage the workflow and reporting that is required.
Mark Williams, BlueCross BluShield of Tennessee
Bezpieczeństwo informacji - trzy perspektywy, wspólna odpowiedzialność.
Dla instytucji finansowych informacje i dane to „najcenniejsze srebra rodowe” pozwalające budować przewagę konkurencyjną, a właściwe ich zabezpieczanie jest tym trudniejsze im większa jest skala działalności organizacji. W trakcie prezentacji przedstawiona zostanie formuła zarzadzania bezpieczeństwem informacji w PZU, oraz role i zadania, jakie w tym procesie zostały wyznaczone dla IT, Bezpieczeństwa i Audytu. Postaramy się pokazać, że „odpowiednie” nakłady finansowe na bezpieczeństwo to nie wszystko, najważniejsze to rozumienie potrzeb organizacji, efektywność i synergia.
Hubert Konopacki, PZU SA
Piotr Ratajczak, PZU
Artur Rudy, PZU
Five trends you should worry about. And the other 5 you probably shouldn't.
For 2015, WatchGuard security expert Michael Haas has identified 5 security trends you shouldn't worry about, and 5 you should. From government policies to business practices to new technologies, Michael will help you gain some perspective around network security for the coming year. We can’t promise it will all be rainbows and unicorns. But if you're going to look to expert predictions for guidance, wouldn't it be nice to know what NOT to worry about?
Michael Haas, WatchGuard
Czym ONI nas atakują? Analiza prawdziwych zagrożeń pochodzących z Internetu.
Każdy serwis dostępny przez Internet jest narażony na ataki z zewnątrz. Z Internetu przychodzą połączenia mające na celu przełamanie wykorzystywanych zabezpieczeń, naruszenie ciągłości działania serwisu oraz różne mniej lub bardziej skomplikowane ataki hakerskie. Przed prawdziwym produkcyjnym serwisem webowym w Polsce umieszczone zostały odpowiednie urządzenia, które rejestrowały, wykrywały i katalogowały ruch przychodzący. Przedstawimy analizę tego, co zarejestrowaliśmy i jak przekłada się zarejestrowany ruch na możliwość przeprowadzenia różnych ataków przez napastników. Właśnie takie internetowe śmieci mogą docierać do twoich aplikacji i im zagrozić – poznaj swojego wroga!
Marcin Marciniak, Computerworld
Przerwa kawowa i networking.
High Assurance Information Exchange Between Protected Domains.
Advenica has been active for over 20 years supplying some of the most demanding clients in society with encryption solutions. The demand for higher security is raising all the time and Advenica adresses the challenge continuosly thru the introduction of new solutions. In Our presentation we will handle the following subjects:
Martin Nordqvist, Advenica AB
VPN dla dużych chłopców. Co fizycy zrobili z protokołem IPSec?
Wiosna, 2000 rok. Na Uniwersytet w Innsbrucku zgłasza się jeden z największych banków w Austrii - Raiffeisen Bank. Trzeba wyeliminować wady IPSeca. Zespół fizyków pod przywództwem dra Wielanda Alge i Klausa Gheriego zabiera się do pracy. Powstaje nowy protokół VPN, który bije na głowę klasycznego IPSeca, jednocześnie wykorzystując jego najmocniejsze strony… Rok 2015. Z rozwiązania korzysta już ponad 2 000 firm logistycznych i produkcyjnych, banków i sieci handlowych - organizacji z rozproszonym środowiskiem. Zobacz co fizycy zrobili z protokołem IPSec. Zauważ jak wiele wad VPNa można wyeliminować zmieniając protokół. Sprawdź wyjątkowe narzędzia do centralnego zarządzania …i zrezygnuj w końcu z IPSeca!
Piotr Nowotarski, Barracuda Networks
Trojany finansowe w 2014 roku.
Od ponad dziesięciu lat instytucje finansowe walczą z zagrożeniami dotyczącymi bankowości elektronicznej. Metody ataku zmieniają się, tak aby nadal być skutecznym przy zmieniających się zabezpieczeniach. Z drugiej strony instytucje finansowe zmieniają swoje polityki bezpieczeństwa, tak aby sprostać otaczającej rzeczywistości. Walka jest nierówna. Metody ataku nie zmieniły się drastycznie w ciągu ostatniego roku (socjotechnika oraz man-in-the-browser), a mimo to wprowadzane przez instytucje finansowe zabezpieczenia okazują się być często nieskuteczne w zderzeniu z nowoczesnymi trojanami. Podczas tej prezentacji chcielibyśmy państwu przedstawić raport firmy Symantec dotyczy trojanów finansowych w roku 2014. Raport obejmuje 9 najbardziej powszechnych, a zarazem wyrafinowanych trojanów finansowych. Trojany, o których mowa, zainfekowały w zeszłym roku 4.1 miliona komputerów i zaatakowały użytkowników instytucji finansowych na całym świecie. Analiza wykazała, że byli to klienci 1467 firm, z których 95% stanowiły instytucje finansowe. Statystyki te nie oznaczają, że cyberprzestępcy okradają każdego bez przeszkód. Są one miarą aktywności cyberprzestępców, ich zakresu działania i świadczą o ciągłym poszukiwaniu nowych sposobów obejścia zabezpieczeń oraz kradzieży.
Maciej Iwanicki, Symantec Poland
Paweł Wojciechowski, Symantec Poland
Zarządzania ryzykiem w kontekście wieloaspektowej oceny wagi zagrożeń.
Nieustanna walka między cyberprzestępcami a osobami, które rozwijają systemy zabezpieczeń teleinformatycznych z dnia na dzień przechodzi na coraz wyższy poziom. Twórcy zagrożeń wciąż udoskonalają swoje metody ataków celem obejścia stosowanych przez organizacje środków zaradczych. Efekty pracy jednej ze stron stają się motorem napędowym rozwoju drugiej. Kluczowym czynnikiem w boju z najnowszymi cyberzagrożeniami staje się ciągła ocena ryzyka, dokładniejsza wiedza o działaniach podejmowanych przez wrogie podmioty oraz wypracowanie odpowiednich metod reakcji na nowe zagrożenia. Prezentacja odpowie na pytanie jak skutecznie wdrożyć proces oceny ryzyka IT oraz jak zapewnić odpowiedni poziom bezpieczeństwa usług teleinformatycznych. Zastanowimy się czy lepsze poznanie naszych przeciwników jest możliwe. Odpowiemy sobie na pytanie dlaczego warto analizować motywy zachowań atakującego, jak lepiej poznać swoją organizacji i co to oznacza w praktyce? Zastanowimy się też jaka jest rola ciągłej oceny ryzyka w skutecznym osiąganiu założonych celów biznesowych. W trakcie tej sesji chcemy też spojrzeć na ważne kwestie dotyczące bezpieczeństwa, które wychodzą poza skalę pojedyńczej firmy. Zastanowimy się jakie są perspektywy cyberbezpieczeństwa, jak działać razem, jakie rodzi to wyzwania i jak je pokonywać.
Łukasz Guździoł, Technology Risk & Information Security Wrocław
Administrator – pan i władca, czy zwykły pracownik?
Jednym z najbardziej priorytetowych, ale jednocześnie najtrudniejszych zadań polityki bezpieczeństwa, jest zabezpieczenie i kontrola dostępu pracowników o podwyższonych uprawnieniach (w tym administratorów i pracowników firm zewnętrznych) do najważniejszych danych i systemów w firmie. W każdym systemie operacyjnym, bazie danych, czy aplikacji istnieją konta, których przechwycenie lub niewłaściwe wykorzystanie może spowodować znaczne straty, a nawet paraliż firmy. Dostęp do tych kont powinien być szczególnie chroniony i monitorowany, gdyż w związku ze swoją uprzywilejowaną rolą i przeznaczeniem są to konta, z których wykorzystaniem najczęściej przeprowadzane są ataki hackerskie oraz próby zatuszowania śladów działań o znamionach przestępczych. Kim więc wobec firmowej polityki bezpieczeństwa jest, a kim powinien być Administrator? Czy możemy sobie pozwolić na zaufanie, czy kontrola jego działań jest niezbędna? Wykład poświęcamy dobrym praktykom w zarządzaniu użytkownikami uprzywilejowanymi, ich hasłami oraz sesjami dostępowymi. Prezentacja porusza dostępne możliwości kontroli użytkowników uprzywilejowanych oraz efektywny i zaawansowany audyt zmian w systemach.
Mariusz Przybyła, Quest Dystrybucja
Grzegorz Szafrański, Quest Dystrybucja
Websense Security Labs - the concept behind it.
Alexander Raczyński, Websense
Nowe normy serii 27000.
W prezentacji będzie postawiona i uzasadniona teza, że wprowadzenie nowych norm stanowi wyzwanie dla organizacji posiadających systemy ISMS oraz dla audytorów ISO 27001. Przede wszystkim norma ISO/IEC 27001:2013 jest bardziej lakoniczna od poprzedniej wersji i wymaga dodatkowej interpretacji. Przykładowo, wymagania z jej części głównej nie zawierają takich terminów, jak „działania zapobiegawcze”, „incydenty związane z bezpieczeństwem” czy „skuteczność zabezpieczeń”, co wcale nie znaczy, że te obszary nie powinny podlegać audytowi. Załącznik A normy jest z jednej strony bardziej obszerny tematycznie – dotychczasowe 15 obszarów zastąpiono osiemnastoma, rozwinięto takie dziedziny jak np. relacje z dostawcami. Z drugiej jednak strony wiele szczegółowych wymagań dotyczących bezpieczeństwa sieci zastąpiono wymaganiami ogólnymi. Dopiero uważna lektura normy ISO/IEC 27002:2013 – zbioru zaleceń rozwijających wymagania ww. Załącznika A – dostarcza dowodu, że kwestie obecne w poprzednich wersjach dalej są aktualne i istotne dla audytu. Głównym problemem przy audytowaniu może się jednak stać ocena procesu szacowania ryzyka. Norma ISO/IEC 27001:2013 nie wymaga już stosowania podejścia zalecanego w normie ISO/IEC 27005. Zamiast tego preferowana jest norma ISO 31000, która jest bardzo ogólna, uniwersalna, ale i wygodna dla organizacji, gdyż wprowadza pojęcie szansy – ryzyka pozytywnego. Stosowanie szansy jako obejścia konieczności stosowania zabezpieczeń w ochronie informacji może jednak stanowić obszar nieporozumień w budowie ISMS a w szczególności w czasie ich audytowania. Dogłębna znajomość ww. norm oraz umiejętność właściwego ich stosowania będzie więc konieczna przy budowie nowych systemów ISMS oraz ich audytowaniu i certyfikacji.
Janusz Cendrowski, Asseco Poland
Wdrożenie i integracja SZCD ISO22301 z SZBI ISO/IEC 27001.
Wystąpienie ma na celu zapoznanie uczestników z przykładowym, praktycznym procesem wdrożenia systemu zarządzania ciągłością działania (SZCD) wg ISO 22301 w spółce telekomunikacyjnej z funkcjonującym systemem zarządzania bezpieczeństwem informacji (SZBI) ISO/IEC 27001.
Omawiane zagadnienia:
Piotr Stępniewicz, Exatel SA
Ocena bezpieczeństwa dostawców.
Prezentacja odpowie na pytanie jak skutecznie wdrożyć proces oceny bezpieczeństwa dostawców oraz jak zapewnić odpowiedni poziom dostępności usług zewnętrznych. Przedstawione zostaną zagrożenia wynikające z outsourcowania procesów, wymagania regulacyjne oraz korzyści płynące z wdrożenia procesu kontroli dostawców. Słuchacze będą mieli możliwość zapoznania się z realnym procesem wdrożonym w międzynarodowym banku, największymi wyzwaniami, najczęściej spotykanymi ryzykami, a także dowiedzą się ile trwa przegląd, jakie kompetencje musi posiadać analityk i jakie są alternatywy.
Łukasz Komorzycki, The Royal Bank of Scotland
Lunch dla Uczestników konferencji w restauracji.
Typowe podatności mobilnego dostępu do Internetu.
Autor przedstawi typowe podatności spotykane podczas prowadzonych testów mobilnego dostępu do Internetu. Podatności w oprogramowaniu urządzeń sieciowych, jak również związane z konfiguracją sieci/urządzeń umożliwiają korzystanie z mobilnego Internetu bez opłat. Część z przedstawionych mechanizmów ma zastosowanie przy omijaniu restrykcji w wydzielonych/zabezpieczonych sieciach innych niż mobilne.
Warsztat: Testowanie bezpieczeństwa aplikacji mobilnych na przykładach platformy Android. Część 1
Celem warsztatu jest zapoznanie uczestników z technikami weryfikacji bezpieczeństwa, ataku i zabezpieczania aplikacji mobilnych. W ramach warsztatów przeprowadzone zostaną m.in. ćwiczenia:
Uczestnicy otrzymają maszynę wirtualną zawierającą komplet narzędzi wspomagających ocenę bezpieczeństwa aplikacji mobilnych oraz przykładowe aplikacje zawierające podatności, możliwe do uruchomienia w załączonym emulatorze Android. Dla każdej podatności omówione zostanie ryzyko z nią związane, a także sposoby jej usunięcia.
Sławomir Jasek, Securing
Warsztat: Testowanie bezpieczeństwa aplikacji mobilnych na przykładach platformy Android. Część 2
Sławomir Jasek, Securing
Nowe trendy i wymagania budowy sieci bezprzewodowych z uwzględnieniem analityki aplikacji, zarządzania tożsamością użytkowników i korelacji informacji bezpieczeństwa - WiFi 2.0.
Konsumeryzacja rynku IT, usługi wirtualizacji i przetwarzania w chmurze oraz technologia BYOD jako wyznaczniki nowych tendencji rynkowych jednoznacznie pokazały, iż system zabezpieczania danych przedsiębiorstwa musi być zintegrowany z całą infrastrukturą sieciową - a ochrona zasobów nie może sprowadzać się jedynie do reakcji na to co się już wydarzyło. Sieć wysokiej niezawodności dziś - to misterna układanka rozwiązań sprzętowych i programowych, które potrafią przewidywać ryzyko zagrożenia w sieci zanim ono wystąpi, poprzez użycie mechanizmów automatycznie dopasowujących się do zmieniających się warunków. Sieć bezpieczna to taka która w pełni przenosi polityki bezpieczeństwa z infrastruktury przewodowej jaki i bezprzewodowej. Sieci bezprzewodowe zacierają różnice między tym, co firma uważa za środowisko wewnętrzne, a tym, co jest wobec niego zewnętrzne. Pierwszym wyzwaniem jest więc zasięg fizyczny sieci. Zakładając, że planowanie radiowe, podział na strefy, zarządzanie mocą transmisji, sterowanie wiązkami sygnału, konfiguracje anten i wytłumienia, np. w oknach, zostały wykonane poprawnie, utrzymanie sygnału wyłącznie wewnątrz budynku jest zupełnie wykonalne. Z drugiej strony, trzeba sobie zadać pytanie: co z przestrzenią publiczną czy też 'mieszaną' wokół budynku, w której pracownicy również wykonują swoją pracę? W wielu przypadkach ograniczanie zasięgu po prostu mija się z celem, co oczywiście nie oznacza rezygnacji z silnych mechanizmów zabezpieczeń i zarządzania - wręcz odwrotnie.
Dawid Królica, Extreme Networks
Marcin Laskowski, Extreme Networks
Wdrożenie PCI DSS w organizacji.
Podczas prezentacji przedstawione zostaną sposoby zarządzania zgodnością z wymaganiami standardu PCI DSS w globalnej organizacji. Autor przedstawi wyzwania, jakie stoją przed centralą oraz lokalnymi oddziałami podczas wdrażania wymagań standardu. Omówiony zostanie sposób, w jaki można scentralizować cześć usług IT w celu dostarczenia gotowych do implementacji rozwiązań zgodnych z wymaganiami standardu PCI DSS. Przedstawione i omówione zostaną wady i zalety modelu opartego o centralne moduły. Autor zaprezentuje w jaki sposób centralne, zgodne z PCI DSS rozwiązania mogą zostać wdrożone m.in. w małych oddziałach. Implementacja tego modelu pozwala ograniczyć zarówno nakłady finansowe jak i czasowe potrzebne na osiągnięcie zgodności. Małym oddziałom daje to możliwość wdrożenia nowych kontraktów wymagających zgodności z PCI DSS np. usług typu concierge dla posiadaczy kart kredytowych.
Bartosz Kwiatkowski, AXA Assistance Solutions
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Borys Łącki, Logicaltrust
Czy Twoje firewalle chronią Cię wystarczająco?
Prezentacja przybliży najważniejsze elementy, jakie powinien zawierać każdy kompleksowy przegląd bądź audyt zarządzania urządzeniami typu firewall. Od konfiguracji samych urządzeń i oprogramowania firewall po procesy zarządzania bezpieczeństwem IT w organizacji. Materiał skierowany do do wszystkich, którzy chcieliby sprawdzić czy implementacja i procesy utrzymaniowe urządzeń firewall w ich organizacji zapewniają akceptowalny poziom ochrony. W czasie prelekcji zostanie przedstawione:
- Co to jest i do czego służy firewall dzisiaj, w tym np. typy zapór sieciowych;
- Dlaczego potrzebujemy firewalli, najczęstsze zastosowania oraz wymagania regulacyjne;
- Weryfikacja aspektów technicznych takich jak architektura, konfiguracja, ochrona dostępu do firewall, hardening, logowanie, klastrowanie;
- Sprawdzenie aspektów procesowych jak np. zarządzanie konfiguracją, analiza ryzyka związana z modyfikacją reguł firewall, rejestr wyjątków, wpływ na Secure SDLC i zarzadzanie projektami;
- Przykłady, gdzie można się spodziewać najsłabszych punktów
Prezentacja celuje w omówienie najważniejszych i najciekawszych elementów takiego audytu. Nie jest celem prezentacji dostarczenie kompletnego zestawienia testów audytowych czy też podręcznikowej wiedzy dot. audytowania systemów informatycznych.Temat zainteresuje zapewne audytorów IT, osoby zarządzające IT i bezpieczeństwem IT, architektów infrastruktury oraz administratorów sieci.
Rafał Gucwa, UBS
Warsztat: Zastosowanie nowego programu audytu w metodyce COBIT 5 do prowadzenia kompleksowych audytów IT. Część 1
W czasie warsztatów uczestnicy poznają nowe podejście do audytu technologii informatycznych opisane w metodyce COBIT 5 i jego przydatność do prowadzenia kompleksowych audytów IT. Pokazane zostanie praktyczne zastosowanie na przykładzie wybranego systemu IT dostępnego w internecie - uczestnicy sami przeprowadzą mikroaudyt tego systemu z zastosowaniem 5 zasad i 7 czynników umożliwiających COBIT 5.
Joanna Karczewska, ISACA Warsaw Chapter
Warsztat: Zastosowanie nowego programu audytu w metodyce COBIT 5 do prowadzenia kompleksowych audytów IT. Część 2
Joanna Karczewska, ISACA Warsaw Chapter
Podsumowanie i zakończenie drugiego dnia konferencji.
