Konferencja SEMAFOR to jedno z najważniejszych wydarzeń dotyczących świata bezpieczeństwa informacji i audytu IT w Polsce. Podczas konferencji gromadzimy ponad 500 uczestników, którzy może wybierać spośród ponad 50 prelekcji i 4 ścieżek tematycznych: Audyt IT, Techniczne aspekty bezpieczeństwa, Zarządzanie bezpieczeństwem informacji i Gospodarka 4.0.  SEMAFOR to idealne miejsce do zapoznania się z bieżącymi zagrożeniami i ciekawymi case studies, zdobycia nowego doświadczenia oraz nawiązania i podtrzymania relacji w środowisku bezpieczeństwa i audytu IT.

 

FOTOGALERIA

PROGRAM KONFERENCJI

1 dzień konferencji 14 marca 2019
08.00–09.00

Rejestracja uczestników, poranna kawa, networking.

09.00–09.10

Rozpoczęcie konferencji.

09.10–09.35

COBIT 2019 - co nowego?

Po 6 latach od wprowadzenia poprzedniej edycji COBIT, ISACA opublikowała COBIT 2019. W czasie prelekcji słuchacze będą mieli okazję dowiedzieć się dlaczego taka zmiana jest potrzebna, na czym ona polega oraz jak może on wpłynąć na codzienną pracę korzystających z tego standardu organizacji? Na te i inne pytania dotyczące nowej edycji COBIT odpowie ekspert biorący bezpośredni udział w procesie jego aktualizacji.

Krzysztof Bączkiewicz Krzysztof Bączkiewicz, ISACA Warsaw Chapter
09.35–10.05

Incident and Breach Management: Building a Harmonized Response Plan for Privacy & Security Teams.

In the event of a breach, privacy and security professionals often approach incident response from two different outlooks. Whereas security teams are focused on threat vectors, privacy teams are concerned with personal data leaks and adhering to various global privacy laws. While the two come from different perspectives, it is possible to build an incident and breach response plan that addresses the needs of both teams. In this session, we’ll discuss how to build a harmonized response plan that addresses both the security team’s technical needs and privacy team’s regulatory requirements across the patchwork of US privacy laws, the GDPR and other global privacy regulations. We’ll also provide tips to help you map out a 72-hour personal data breach action plan and share practical advice to improve your privacy program.

Dave Horton Dave Horton, GDPR Solutions Engineer Manager, OneTrust
10.05–10.30

Badanie FortiGuard: Trendy i statystyki zagrożeń dla Polski.

A member of Fortinet's FortiGuard team will talk about how Threat Intelligence works within FortiGuard and what Cybersecurity trends FortiGuard have seen in regards to Poland and how these threats compare to the Global Market.  The presentation will also highlight how the Threat Intelligence produced by FortiGuard can be utilized and how best to use your Threat Intelligence Feeds.

Kash Valji Kash Valji, Director of Consulting Systems Engineering, Fortinet
10.30–10.55

Modern Cyber Security; What We’ve Learnt Building a Bank.

Traditional banks have a lot to answer for. They’ve charged us too much, took too long and lost our trust. Revolut is changing that by building a service which is beyond banking; a current account that lets you hold up to 150 currencies with no bad charges, send money for free worldwide and earn cashback up to 1% on your purchases. This has required a relentless approach to technology and security. In this talk we will share what we have learnt building these services from scratch and what modern cyber security looks like. By attending you’ll find out:

  • What are the ingredients of a security culture
  • How to integrate security into DevOps processes
  • What automation can and cannot fix
Paul Heffernan Paul Heffernan, CISO, Revolut
10.55–11.25

Przerwa na kawę i herbatę. Networking.

11.25–11.45

Wyzwania w obszarze cyberbezpieczeństwa.

Marek Bieńkowski Marek Bieńkowski, Dyrektor Departamentu Porządku i Bezpieczeństwa Wewnętrznego, Najwyższa Izba Kontroli
11.45–12.05

Extend Your Reach – Beyond the Authentication for Enterprises.

David Taylor David Taylor, Technical Sales Consultant, CISSP, Entrust Datacard
12.05–12.25

Droga od centralizacji logów do systemu SIEM : Elasticsearch, LogManagement, Wazuh, Bro.

Podczas wykładu porozmawiamy o budowaniu wydajnego środowiska centralizacji logów w oparciuo Energy Logserver. System pracuje na bazie Elasticsearch, dla którego zostaną omówione parametry skalowania oraz optymalnej konfiguracji. System zostanie zaprezentowany w integracji z modułem SIEM Wazuh oraz Bro IDS, które to projekty rozszerzają kompletność analizy o obszar bezpieczeństwa.

Artur Bicki Artur Bicki, CEO, EMCA
12.25–12.45

Z dużej chmury duże możliwości: w jaki sposób chmura pomaga zapewnić bezpieczeństwo.

Jakich nowych możliwości w dziedzinie bezpieczeństwa dostarcza chmura? Podczas sesji zaprezentowane zostanie oparte na chmurze obliczeniowej podejście Microsoft do bezpieczeństwa – dowiemy się, co to jest Microsoft Intelligent Security Graph, w jaki sposób big data przekłada się na praktyczne rozwiązania i co zrobić, aby badać nowe zagrożenia w czasie rzeczywistym w oparciu globalną optykę Microsoft. 

Paweł Łakomski Paweł Łakomski, Technology Solution Professional, Microsoft Polska
12.45–13.45

LUNCH

Audyt IT
13.45–14.15

W służbie bezpieczeństwa (danych, płatności).

Podczas prezentacji przedstawione zostanie podejście do zarzadzania cyberbezpieczeństwem, uwzględniające podejście odnoszące się do czynności prewencyjnych i detekcyjnych oraz reakcyjnych. W pierwszej części prezentacji przedstawione zostanie podejście z perspektywy audytora IT, przeprowadzającego badanie zarządzania procesem cyberbezpieczeństwa i wykorzystującego narzędzia do skanowania podatności urządzeń. Natomiast w ramach drugiej części prezentacji przedstawione zostaną doświadczenia biegłego sądowego badającego sprawy cyberbezpieczeństwa.

Artur Gębicz Artur Gębicz, CFE, CFDA, biegły sądowy, Zastępca Dyrektora ds. Audytu IT, IPS-SGB
Techniczne aspekty bezpieczeństwa
13.45–14.15

Nowe oblicze phishingu.

Prezentacja zawierać będzie przypomnienie, na czym polega klasyczny phishing oraz zaprezentuje nowe techniki stosowane przez przestępców w celu pozyskania danych klientów bankowości internetowej i wyprowadzenia ich środków finansowych. Prelegent opowie jak przestępcy manipulują użytkownikami by zmusić ich do skorzystania z linku zawartego w mailu, komunikatorze lub SMS-ie. Prezentacja obejmie techniki manipulacji takie jak np. „na znajomego z Facebooka”, „na sprzedawcę OLX/Allegro”, czy opisze ostanie przypadki związane z morele.net.

Paweł Olszar Paweł Olszar, Ekspert ds. Monitoringu i Kontroli Procesów, ING Bank Śląski
Zarządzanie bezpieczeństwem informacji
13.45–14.15

KSC, główne bariery wdrożenia wymagań ustawy dla Operatora Usługi Kluczowej (OUK).

Przygotowanie Operatora Usługi Kluczowej do nowych zadań wg ustawy KSC, wymaga podjęcia szeregu działań w organizacji. Podczas prelekcji uczestnicy dowiedzą sią jakie bariery we wdrożeniu KSC mogą napotkać i jakie wiążą się z tym wyzwania - głównie związane z:  ograniczeniami w zasobach (dostępności i jakości kadry, technologii); stanem świadomości w zakresie celu i potrzeb cyberbezpieczeństwa; odpowiedzialności  finansowej  wg KSC  a realnymi możliwościami spełnienia wymogów ustawy.

Krzysztof Radecki Krzysztof Radecki, Audytor Wewnętrzny CGAP®, DPO (Inspektor Ochrony Danych), ISACA Warsaw Chapter
Gospodarka 4.0
13.45–14.15

Fake newsy vs. nauka.

W dzisiejszym świecie jesteśmy nagminnie atakowani fake newsami. Ich źródłem nie zawsze jest niewiedza, często są one celowymi działaniami. Czy istnieje realna szansa obrony przed nimi?

dr Maksymilian Karczewski dr Maksymilian Karczewski, Asystent, Instytut Chemii Organicznej PAN
Audyt IT
14.15–14.35

Diabeł tkwi w szczegółach – co wiemy o bezpieczeństwie naszej firmy?

Centralizacja procesów jest wyzwaniem w każdej dużej, zdywersyfikowanej firmie. Opowiemy o tym jak zarządzać bezpieczeństwem dużej organizacji i co zrobić, aby zapewnić przepływ wiedzy między rozproszonymi działami firmy.

Andrzej Dalasiński Andrzej Dalasiński, Head of Vulnerability Management, Grupa Bosch
Adam Sosnowski Adam Sosnowski, IT Security Engineer, Grupa Bosch
Techniczne aspekty bezpieczeństwa
14.15–14.35

Jak wykryć malware w ruchu zaszyfrowanym (bez odszyfrowywania)?

Ilość ruchu zaszyfrowanego rośnie każdego roku spędzając sen z powiek analityków cyberbezpieczeństwa. Odszyfrowywanie ruchu wzbudza wiele kontrowersji etycznych i jest kłopotliwe technicznie. Czy istnieje zatem alternatywa? W czasie swojej sesji pokażę opatentowaną technologię Cisco Encrypted Traffic Analytics (ETA) pozwalająca na wykrywanie złośliwego oprogramowania w ruchu zaszyfrowanym bez konieczności jego odszyfrowania.

Mateusz Pastewski Mateusz Pastewski, Cybersecurity Sales Manager, CISCO
Zarządzanie bezpieczeństwem informacji
14.15–14.35

(Twoje) Informacje w niebezpieczeństwie!

  • Czy koszt utraty danych powinien wpływać na ocenę ich wartości? 
  • Czy ich wartość powinna określać poziom zabezpieczeń? 
  • Czy istnieją niezawodne metody zabezpieczenia danych? 
  • Opisany tu proces postaramy się omówić na konkretnych przykładach, zachęcając do nieco świeższego podejścia do tego mocno przepracowanego już tematu.
Tomasz Janiec Tomasz Janiec, Senior Client Technical Specialist, IBM Polska
Jakub Nowakowski Jakub Nowakowski, SoftCare Expert, COMPAREX Poland
Gospodarka 4.0
14.15–14.35

Cyberbezpieczeństwo ery mobile.

„Mobile” – najszerszy znaczeniowo buzzword, który śmiało może konkurować o popularność z AI. Mobile jest dziś biznes, życie, usługi, komunikacja, mobile jest też bezpieczeństwo i mnóstwo innych rzeczy jest mobile. Mobile jest też teraz zasilany przez AI. Coraz częściej centrum sterowania naszym osobistym wszechświatem służbowym i prywatnym to smartfon. Jest też niespodziewanym zagrożeniem. Smartfon - najbardziej osobisty komputer jaki każdy posiada, jest najbardziej niedocenianym źródłem potencjalnych kłopotów dla organizacji biznesowej. Prezentacja traktuje o (czasem nieoczywistych) zasadach bezpieczeństwa i dostępnych mechanizmach prewencji zagrożeń oraz ewentualnych konsekwencjach dla mobilnego świata – tego biznesowego i tego prywatnego.

Renata Bilecka Renata Bilecka, Ekspertka rozwiązań bezpieczeństwa mobilnego, Samsung
Audyt IT
14.35–15.05

COBIT2019 – Po co nam to? Rozprawa o zaletach i wadach wykorzystywania zdrowego rozsądku oraz nowego COBIT’u do zarządzania IT i do spełniania wymagań prawnych.

Regulacje prawne takie jak RODO, KSC, KRI, jak również najlepsze praktyki zarządzania wyrażone systemami zarządzania ISO (np. ISO/IEC 27001, ISO 22301) wprowadzają wymóg projektowania przetwarzania informacji w organizacji zobowiązując jednocześnie kierownictwo do rozliczenia się ze swych adekwatnych i skutecznych działań. Naprzeciw tym wymaganiom wychodzi COBIT2019, dostarcza zasady, metody, koncepcje i narzędzi aby całościowo podejść do tematu przetwarzania informacji w organizacjach:  przemyślana struktura, dobrze naoliwiony mechanizm od lat dostosowywany i ulepszany … oraz od lat niedoceniony, a może słusznie? Pragmatyzm podpowiada iż dobre zaprojektowanie (design) i nastawienie się na osiąganie zaplanowanych wartości, a w tym zgodności z wymaganiami prawnymi zawsze były, są i będą dobrą strategią. Działania zgodne z tą strategią świadczyć mogą o profesjonalnym, adekwatnym i starannym spełnianiu wymagań przez zarządzających. Tylko czy zawsze potrzebujemy czegoś tak skomplikowanego i oderwanego od naszych wyobrażeń? Może zdrowy rozsądek, doświadczenie, kreatywność i szczypta romantyzmu wystarczą?

dr Piotr Dzwonkowski dr Piotr Dzwonkowski, CISA, CISM, CRISC, ISACA Warsaw Chapter, ISSA Polska
Rafał Krakowski Rafał Krakowski, CISA, CISSP, ISSA Polska, ISACA Warsaw Chapter
Techniczne aspekty bezpieczeństwa
14.35–15.05

Jak MITRE ATT&CK może zostać wykorzystane w budowaniu monitoringu bezpieczeństwa aplikacji?

MITRE ATT&CK jako framework wskazuje jakimi metodami hackerzy mogą dostać się do infrastruktury informatycznej naszej organizacji. Szczególnie istotnym wydaje się to w jaki sposób fazy ataku na środowiska systemów operacyjnych mogą posłużyć do budowania scenariuszy wyłapujących ataki na krytyczne aplikacje firmowe. Podczas prelekcji słuchaczom zostaną zaprezentowane stworzone i przetestowane scenariusze wyłapujące ataki hackerskie w narzędziach typu SIEM.

Krzysztof Cudak Krzysztof Cudak, IT Security Chapter Lead, ING TECH Poland
Zarządzanie bezpieczeństwem informacji
14.35–15.05

Nowe możliwości kontroli dostępu do informacji, aplikacji, systemów i zasobów IT w organizacji.

Jak zapewnić użytkownikom natychmiastowy, łatwy i kontrolowany dostęp do informacji w środowiskach lokalnych, mobilnych i chmurowych? Podczas sesji Micro Focus przedstawimy nowe rozwiązania IT zaprojektowane od podstaw na systemach zarządzania tożsamością, wspierające kontrolę dostępu do informacji, aplikacji, systemów i innych zasobów. Powiemy też, jak szybko i ekonomicznie wprowadzić do firmy zaawansowane metody uwierzytelniania użytkowników. 

Marcin Madey Marcin Madey, Country Manager, Micro Focus Polska
Gospodarka 4.0
14.35–15.05

Sztuczna inteligencja, blockchain, metody zwinne – czy audyt jest na nie gotowy?

W prezentacji prelegent przedstawi jak zwinne metody i ich innowacyjność przyczyniły się do zwiększenia wskaźników sukcesu w rozwoju oprogramowania, poprawy jego jakości i szybkości wprowadzania rozwiązań na rynek, a także zwiększyły motywację i wydajność zespołów IT. Metody te rozprzestrzeniają się na inne branże i funkcje. Przedstawione zostanie jak można promować i korzystać ze zwinności, także w podejściu do nowoczesnych audytów. W trakcie prelekcji ekspert omówi możliwe wpływy nowych technologii na pracę audytorów oraz  jak sztuczna inteligencja będzie mogła wspierać audyt w sposób ciągły, tak by w automatyczny sposób mitygować ryzyka, które mogą wystąpić w przyszłości. Mechanizmy samokontroli i weryfikacji zaimplementowane w nowych technologiach (jak blockchain) mogą zmienić sposób pracy działów audytu. Czy audytorzy zamiast głównej koncentracji na analizie przeszłości, będą mieli odpowiednie narzędzia by przewidywać możliwe przyszłe zdarzenia i ewentualnie korygować błędy, które mogłyby się pojawić w przyszłości? Nowe technologie wymagają zmiany myślenia i nowego podejścia do działań audytowych, jak i inwestycji w nowe obszary. Powstaną nowe wyzwania i nowe ryzyka, na które najlepszym rozwiązaniem wydaje się ciągłe śledzenie zmian technologicznych i odpowiadanie na nie w sposób zwinny.

Łukasz Krzewicki Łukasz Krzewicki, Audit, Risk & Compliance Expert, ISACA Warsaw Chapter
15.05–15.30

Przerwa na kawę i herbatę. Networking.

Audyt IT
15.30–16.00

Zarządzanie bezpieczeństwem informacji w aspekcie projektów informatycznych realizowanych w administracji publicznej ze środków UE.

W czasie prelekcji dowiemy się w jaki sposób na poprawę poziomu bezpieczeństwa wpływają projekty finansowane ze środków unijnych na szczeblach:  centralnym, regionalnym i lokalnym  wynikających z kryteriów oceny projektów Programu Operacyjnego Polska Cyfrowa oraz Regionalnych Programów Operacyjnych. Dodatkowo omówione zostanie kompleksowe podejście do zarządzania bezpieczeństwem Informacji nie tylko w zakresie przetwarzania danych, lecz także w połączeń dla potrzeb interoperacyjności systemów lokalnych, regionalnych i centralnych oraz systemów komunikacji elektronicznej. Ponadto prześledzimy wpływ technologii oraz rozwoju sieci telekomunikacyjnej w kierunku ALL IP na rozwiązania systemów  informatycznych i systemów komunikacji elektronicznej w administracji publicznej. Na zakończenie zostaną przedstawione proponowane kierunki działań, dotyczące tych kwestii.

Jerzy Paczocha Jerzy Paczocha, Główny specjalista, Instytut Łączności – PIB
Techniczne aspekty bezpieczeństwa
15.30–16.00

Testowanie bezpieczeństwa chmury na przykładzie AWS.

W dzisiejszych czasach powszechną praktyką jest przeprowadzanie okresowych testów bezpieczeństwa lokalnej sieci, jednakże rzadko kiedy właściciele firm decydują się na podobne testy ich środowisk chmurowych. Musimy zrozumieć nowe zagrożenia i ryzyka, które pojawiły się wraz z usługami chmurowymi oraz jak powinniśmy zmienić nasze podejście do ich testowania. Celem prezentacji jest pokazanie konieczności testowania środowiska chmurowego oraz jak bardzo różni się ono od testów środowiska opartego o klasyczną architekturę. W formie dema przedstawiony zostanie przykładowy atak na firmę wykorzystującą usługi AWS. Wykorzystując podatność w aplikacji webowej, a następnie szereg drobnych zaniedbań w konfiguracji AWS, prelegent pokaże jak potencjalny atakujący może krok po kroku przejąć rolę administratora AWS, a następnie usunąć wszystkie dowody swojej aktywnności. Na podstawie przeprowadzonego ataku i zebranych wniosków odpowie na pytanie "jak powinien wyglądać test bezpieczeństwa chmury?".

Paweł Rzepa Paweł Rzepa, Starszy konsultant ds. bezpieczeństwa, Securing
Zarządzanie bezpieczeństwem informacji
15.30–16.00

Ochrona informacji w firmie farmaceutycznej – jak znaleźć balans między bezpieczeństwem, a elastycznością działania.

Ochrona informacji w firmach komercyjnych, które nie podlegają ścisłym regulacjom w tym zakresie (jak np. banki) nie jest łatwa, niemniej jednak konieczna. Podczas prelekcji prelegent postara się znaleźć odpowiedź na pytanie: „Jak zrównoważyć bezpieczeństwo z elastycznością działania biznesu?”. Prezentacja będzie poruszała kwestie specyfiki bezpieczeństwa informacji w farmacji na podstawie case study (Marketing, R&D, Badania Kliniczne, Internet of Things). W czasie prelekcji uczestnicy dowiedzą się w jaki sposób budować pozycję działów bezpieczeństwa informacji w organizacji, świadomość bezpieczeństwa informacji oraz jak w tym wszystkim zachować umiar i zdrowy rozsądek.

Piotr Stecz Piotr Stecz, Kierownik Działu Bezpieczeństwa Informacji, Adamed
Gospodarka 4.0
15.30–16.00

Na co ty znowu chcesz ode mnie pieniędzy? - Jak analiza ryzyka może pomóc znaleźć sens w wydatkach na bezpieczeństwo.

Przed 25 maja 2018 każda inwestycję w bezpieczeństwo można było uzasadnić przygotowaniem do RODO. Teraz niezbędne wydatki trzeba już uzasadniać inaczej. W prezentacji prelegent postara się pokazać jak analiza ryzyka i podejście GRC pozwala nie tylko uzasadnić wydatki na bezpieczeństwo ale także określić, które z nich są ważniejsze.

Paweł Kulpa Paweł Kulpa, Architekt rozwiązań bezpieczeństwa, ISACA Warsaw Chapter
Audyt IT
16.00–16.20

Bezpieczeństwo rozwiązań Hybrid Cloud.

  • Wprowadzenie do Hybrid Cloud /podstawowe definicje, SLA, SLO, SLI na bazie Google Cloud/
  •  Hybrid Cloud o rozwiązanie IaaS Google Cloud, AWS lub Azure - podział odpowiedzialności, jak podejść do identyfikacji i oceny ryzyk na bazie doświadczeń z prowadzonych projektów
  • Opieramy Hybrid Cloud o rozwiązanie SaaS, które jest zbudowane na bazie Google Cloud, AWS lub Azure - podział odpowiedzialności, jak podejść do identyfikacji i oceny ryzyk na bazie doświadczeń z prowadzonych projektów
Jarosław Stawiany Jarosław Stawiany, ISACA Warsaw Chapter
Techniczne aspekty bezpieczeństwa
16.00–16.20

Jak powstrzymać Phishing? Wykorzystanie sztucznej inteligencji w obronie przed socjotechniką.

Tomasz Rot Tomasz Rot, Sales & Channel Development Manager, CEE, Barracuda
Zarządzanie bezpieczeństwem informacji
16.00–16.20

A New Approach to Email Security for Office 365 For Hackers, Office 365 Is the New Black!

Because a simple set of Office 365 credentials can unlock a treasure trove of sensitive documents, applications and confidential business information, Office 365 is now the #1 target for cybercriminals looking to make a fast profit. Each day these hackers implement new and ever-more creative phishing and spear phishing attacks that easily bypass traditional email security solutions. Discover the latest threats and techniques, and learn what you can do to prevent cybercriminals from breaking into your organization with just a single email.

Marcin Romanowski Marcin Romanowski, Channel Manager Europe, Vade Secure
Gospodarka 4.0
16.00–16.20

Aktywna ochrona w infrastrukturze automatyki przemysłowej.

Prezentacja będzie dotyczyła możliwych sposobów monitorowania infrastruktury automatyki przemysłowej. W trakcie wystąpienia zostaną przedstawione główne wyzwania związane z monitorowaniem zdarzeń w środowisku IACS, a zaprezentowane przykłady będą stanowiły praktyczne wskazówki umożliwiające podniesienie dojrzałości organizacji w odniesieniu do zagadnień związanych z cyberbezpieczeństwem.

Łukasz Staniak Łukasz Staniak, Manager Cyber Security, KPMG Advisory
Audyt IT
16.20–16.50

Zarządzanie bezpieczeństwem informacji poprzez budowanie świadomości zagrożeń.

Prowadzący zabierze uczestników w podróż wokół przekazu rządzonego zasadą Pareta, wyjaśni dlaczego białko łączące krzesło z klawiaturą należy upodmiotowić, opowie kiedy mniej znaczy więcej i zdradzi czego można się dowiedzieć, jeśli będzie się słuchać. W trakcie panelu zaprezentowane zostaną najlepsze praktyki przekazywania pracownikom wiedzy dotyczącej zasad zachowania bezpieczeństwa informacji oraz scenariuszy, wektorów i mechanizmów ataków.

Wojciech Wrona Wojciech Wrona, CISA, CGEIT, Audytor wiodący ISO 27001, Innogy
Techniczne aspekty bezpieczeństwa
16.20–16.50

Czy S w PSD2 znaczy Secure?

Rok 2019 może dużo zmienić w świecie bankowości, fintechów, e-commerce i płatności elektronicznych, również w zakresie bezpieczeństwa. W tym roku wejdą w życie regulacje dyrektywy PSD2 dotyczące interfejsów API które banki muszą udostępnić dla podmiotów trzecich oraz silnego, wieloskładnikowego uwierzytelniania i autoryzowania operacji finansowych. Jak to wpłynie na bezpieczeństwo usług bankowych i płatności elektronicznych? Tak jak przy każdej zmianie, wiele zależy od szczegółów. Przede wszystkim od sposobu implementacji interfejsów API i funkcji uwierzytelniania wieloskładnikowego. Testując bezpieczeństwo nowych aplikacji finansowych ekspert miał okazje zaobserwować niektóre trendy i zebrać informacje o typowych błędach popełnianych podczas implementacji. Podczas prezentacji prelegent przyjrzy się technicznym wyzwaniom związanym z bezpieczeństwem w kontekście PSD2. Omówione zostaną niektóre podatności spotykane w funkcjonalności uwierzytelniania dwuskładnikowego (2FA) i autoryzacji transakcji (w tym w zastosowaniach biometrii) oraz w interfejsach API do usług bankowych. Przedstawione zostaną również dobre praktyki odnośnie implementacji 2FA i interfejsów PIS/AIS.

Łukasz Bobrek Łukasz Bobrek, Starszy specjalista ds. bezpieczeństwa IT, Securing
Zarządzanie bezpieczeństwem informacji
16.20–16.50

Cyberbezpieczeństwo, jako niezbędny element autonomii informacyjnej - również Twojej osobistej.

Uczestnicy będą mieli okazję pogłębienia swojej wiedzy na temat ścisłego związku cyberbezpieczeństwa z prywatnością. Prezentacja ma skłonić do rozważań dotyczących roli słuchacza oraz reprezentowanej przez niego organizacji w zachodzących procesach wykorzystujących Infinite Data, AI, korelacje oraz profilowanie. Prowadzący wskaże niebezpieczeństwa i kierunki postępowania wynikające z prawa, norm i racjonalnego przeciwdziałania zagrożeniom.

Robert Żurakowski Robert Żurakowski, Inspektor Ochrony Danych, Niezależny ekspert
Gospodarka 4.0
16.20–16.50

RODOBOT, czyli jak sztuczna inteligencja może pomóc w wyszukiwaniu danych osobowych.

W ramach prezentacji uczestnicy dowiedzą się, w jaki sposób można ograniczyć ryzyko związane z danymi osobowymi w zbiorach Big Data gromadzonymi przez organizację, przy wykorzystaniu zautomatyzowanego, samouczącego się BOT-a. Zaproponowana w czasie prezentacji koncepcja jest oparta na autentycznie wdrożonym rozwiązaniu, które zostało przetestowane w dynamicznie zarządzanej chmurze obliczeniowej AWS. Szczególną uwagę należy zwrócić na efektywność kosztową prowadzenia wyszukiwania danych osobowych w terabajtach danych niestrukturalnych (o różnych formatach), korzystając z dziesiątek procesorów, która jest bardzo niska. Prezentacja ma zainspirować uczestników do podjęcia własnych działań, w tym obszarze.

Jan Anisimowicz Jan Anisimowicz, ISACA Warsaw Chapter
19.00

Spotkanie integracyjne uczestników konferencji w Barze Studio (PKiN, Plac Defilad 1, Warszawa)

2 dzień konferencji 15 marca 2019
08.00–09.00

Rejestracja uczestników. Poranny poczęstunek i networking.

09.00–09.25

Dlaczego należy się przejmować XSS-em?

Cross-Site Scripting (XSS) to jedna z najpopularniejszych podatności aplikacji webowych. Często jest ona niedoceniana i kojarzona wyłącznie z osławionym kodem „alert(1)”. Można zadać sobie pytanie: jakie skutki może przynieść XSS w realnej aplikacji? Co napastnik może osiągnąć?

W prezentacji odpowiem na te pytania, pokazując w jaki sposób XSS można wykorzystać do:

  • Wykonywania dowolnych akcji na stronie bez zgody użytkownika,
  • Kradzieży danych użytkownika,
  • Tworzenia zrzutów ekranu z atakowanej webaplikacji,
  • Przekierowywania ruchu w przeglądarce napastnika przez przeglądarkę ofiary, wykorzystując technikę znaną jako XSS proxy,
  • Atakowania innych usług z sieci lokalnej ofiary.

Wszystkie te przykłady zostaną zaprezentowane na żywo na działającej aplikacji. Omówione zostaną również podstawowe sposoby zabezpieczenia przed XSS-ami. 

Michał Bentkowski Michał Bentkowski, Sekurak.pl
09.25–09.45

DNS jako narzędzie walki.

W trakcie prezentacji na bazie realnych przypadków przyjrzymy się w jaki sposób, na których etapach i dlaczego protokół DNS jest wykorzystywany w cyberatakach. Szczególny nacisk zostanie położony na wykorzystanie DNS do komunikacji Command and Control oraz do eksfiltracji danych. Rozważone zostanie również w jaki sposób DNS może być wykorzystany jako środek obrony oraz jak może wzbogacić zespoły SOC o dodatkowe informacje przydatne w reakcji na różne rodzaje zdarzeń.

Piotr Głaska Piotr Głaska, Senior Systems Engineer, Infoblox
09.45–10.05

Zarządzić (ponoć) niezarządzalnym.

  • Kiedy wszystko jest krytyczne, to nic nie jest krytyczne - jak mądrze ustawić zarządzanie bezpieczeństwem w firmie?
  • Zarządzanie bezpieczeństwem - czy chroni też CISO, CIO i IDO?
  • Kret w firmie - czy da się skutecznie zarządzić ryzykiem świadomej złej woli pracownika?
  • Szańce obrony - bo technologia to nie wszystko...
Cezar Cichocki Cezar Cichocki, Szef Centrum Kompetencyjnego, OpenBIZ
10.05–10.30

Jak pogodzić obowiązki wynikające z UKSC, RODO, UOIN?

W zeszłym roku weszły w życie dwie nowe ustawy mające wpływ na bezpieczeństwo informacji. Najpierw w maju wszyscy śledziliśmy wdrażanie Rozporządzenia o Ochronie Danych Osobowych (RODO), natomiast od sierpnia ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Jeżeli do tych dwóch nowych regulacji prawnych dodamy obowiązującą od wielu lat ustawę o ochronie informacji niejawnych (UOIN) to krystalizuje się duża ilość obowiązków niezbędnych do wykonania w celu zabezpieczenia bezpieczeństwa przetwarzanych informacji. Wystąpienie ma na celu przedstawienie tych obowiązków oraz podjęcie próby ujednolicenia i pogodzenia najważniejszych obowiązków wynikających z UKSC, RODO oraz UOIN.

Borys Iwaszko Borys Iwaszko, CK, CSIRT MON
10.30–11.00

Przerwa na kawę i herbatę. Networking.

11.00–11.30

Niech Halina w to nie klika! A ja i tak w to kliknę, proszę pana!

W trakcie prelekcji pokażę jak zbudować skuteczny (i mierzalny) program edukacji pracowników w zakresie budowania świadomości cyberbezpieczeństwa, czyli tzw. security awareness. Podzielę się przerażającymi historiami z wdrożeń i kilkoma trikami, które pomagają błyskawicznie przekonać pracowników do tego, że warto dbać o bezpieczeństwo firmowego sprzętu (i prywatnego życia). Także za pomocą "brudnej socjotechniki", którą można wykorzystać w dobrym celu.  zaprezentuję konkretne narzędzia oraz metody pomagające w transferze wiedzy na pracowników biurowych, ale przede wszystkim powiem co działa, a co przynosi odwrotny do zamierzonego skutek. Pokażę też, jakie błędy najczęściej popełniają działy IT, które próbują budować świadomość bezpieczeństwa w swojej firmie. Jeśli Twoi koledzy z pracy klikają w co popadnie, ten wykład jest dla Ciebie.

Piotr Konieczny Piotr Konieczny, CISO, Niebezpiecznik.pl
11.30–11.50

SOAR kaprys czy już konieczność.

Jakub Jagielak Jakub Jagielak, Dyrektor ds. Rozwoju Cyberbezpieczeństwa, Atende
11.50–12.20

Incydenty duże i bardzo duże, czyli administrator też człowiek.

Omówione zostanie kilkadziesiąt mniejszych i większych incydentów bezpieczeństwa, których przyczyną była wrodzona niedoskonałość rodzaju ludzkiego. Wraz z pprelegentem uczestnicy przejdą wspólnie przez historie wielu firm, w których doszło (lub mogło dojść) do nieprzyjemnych wydarzeń na skutek ludzkich błędów i zaniedbań. Będzie smiesznie, będzie strasznie, będzie ciekawie.

Adam Haertle Adam Haertle, Trener, wykładowca, redaktor naczelny, ZaufanaTrzeciaStrona.pl
12.20–13.10

LUNCH

Audyt
13.10–13.40

Pomiar bezpieczeństwa - organizacje muszą zmierzyć się z problemem pomiaru.

Pomiar jest fundamentem poznania rzeczywistości, stanu faktycznego. Jego brak powoduje błędne decyzje, a konwencjonalne metody tworzą dezinformacje i decyzje gorsze niż ich brak. Nie każda informacja to władza, podobnie jak metryki funkcjonalne nie są miarą bezpieczeństwa. Autor przedstawi niezwykle ważny temat pomiaru bezpieczeństwa, który przechodzi przez wszystkie dyscypliny nauki, nie tylko zarządzanie bezpieczeństwem, audytu czy technicznych aspektów cyber-bezpieczeństwa. Jak skuteczne są nasze linie obrony? Jak nowe wektory ataków wpływają na dane, które chronimy? Które wdrożenie jest priorytetem? Autor przedstawi klasyczne podejście do pomiaru w organizacjach, oraz powody, dlaczego jest ono niedopuszczalne. Podczas prezentacji nie zabraknie matematyki, uczenia maszynowego, logiki czy niespodziewanych wyników. Teoria i praktyka pozwolą słuchaczom rozpocząć zmiany w firmach w kierunku mierzalnego bezpieczeństwa. Oznacza to obiektywne decyzje, efektywne finansowanie, a także wreszcie dobrą strategię bezpieczeństwa. Wojny informacyjne zaczynają się od wojen matematycznych i tam też mierzą się losy organizacji.

Filip Nowak Filip Nowak, MBA, Cybersecurity Architect, Santander Bank Polska
Techniczne aspekty bezpieczeństwa
13.10–13.40

Zaprojektowanie, utworzenie i utrzymanie globalnego SOC.

Wiele organizacji zastanawia się nad Security Operations Centre. W czasie prezentacji uczestnicy dowiedzą co należy wziąć pod uwagę planując uruchomienie SOC, m. in. czy należy skorzystać z gotowych usług czy lepiej zbudować własny zespół w swojej organizacji. Dodatkowo przedstawione zostaną zalety i wady obu rozwiązań oraz ich orientacyjne koszty. Ekspert odpowie również na pytanie czy możliwe jest przejście z jednego modelu do drugiego lub też praca w trybie hybrydowym.

Adam Rafajeński Adam Rafajeński, Chief Security Officer, Aegon, ISACA Warsaw Chapter
Zarządzanie bezpieczeństwem informacji
13.10–13.40

Najczęstsze ataki na użytkowników Internetu w Polsce - z perspektywy organów ścigania.

Podczas prezentacji omówione zostaną najczęstsze ataki na użytkowników Internetu w Polsce – w tym w szczególności związane z dystrybucją ransomware oraz phishingiem ukierunkowanym na klientów banków. Zostaną również poddane analizie wybrane przepisy określające odpowiedzialność karną za poszczególne czyny. Uczestnicy wykładu dowiedzą się ponadto czego unikać aby nie stać się ofiarą cyberprzestępców oraz jak złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa – w tym jakie dokumenty i dane dostarczyć aby zwiększyć prawdopodobieństwo wykrycia i doprowadzenia do odpowiedzialności karnej sprawcy.

Dr inż. Agnieszka Gryszczyńska Dr inż. Agnieszka Gryszczyńska, UKSW, Prokuratura Regionalna w Warszawie
Warsztat
13.10–15.50

Warsztat 13:10-15:50: NETWORK FORENSICS jako element procesu zarządzania incydentami (do aktywnego uczestnictwa rekomendujemy przyniesienie własnego laptopa).

Warsztaty omówią teoretycznie i praktycznie problematykę dowodów elektronicznych zbieranych na potrzeby dochodzenia wewnętrznego i procesowego. Omówione zostaną metody wykorzystujące zarówno elementy sprzętowe jak i również programowe do zbierania i zabezpieczania ruchu sieciowego. Zaprezentowane zostaną narzędzia sprzętowe wykorzystywane do zabezpieczenia ruchu sieciowego. Omówimy przykładowe narzędzia wraz praktycznymi demonstracjami oraz zwrócimy uwagę na kontrowersje towarzyszące tym technikom. W części praktycznej przećwiczymy omawiane narzędzia. 

Osoby, które pragną aktywnie uczestniczyć w warsztatach powinny przygotować własny laptop z systemem Windows 7/8/10 (wymagane uprawnienie lokalnego Administratora) lub wirtualna maszyna z w/w systemem oraz dostępem do internetu.

Warsztat potrwa w godzinach 13:20-16:00, w jego trakcie przewidziana jest przerwa kawowa.

Krzysztof Bińkowski Krzysztof Bińkowski, Ekspert informatyki śledczej, ISSA Polska
Audyt
13.40–14.00

Audyt w kontekście Ustawy o krajowym systemie cyberbezpieczeństwa.

Jakub Dysarz Jakub Dysarz, Starszy specjalista ds. prawnych, Ministerstwo Cyfryzacji
Techniczne aspekty bezpieczeństwa
13.40–14.00

Bezpieczeństwo IT, które myśli – uczenie maszynowe i Endpoint Detection & Response (EDR).

Cyber-inteligencja to nowy globalny trend, który znajduje swoje uzasadnienie po analizie ataków takich jak ransomware WannaCry czy NotPetya, które udowodniły że cyberbezpieczeństwo bezpowrotnie zmieniło swoje oblicze, a korzystanie ze sztucznej inteligencji to nie marketing tylko rzeczywista konieczność. Narzędzia do ochrony stacji roboczych typu Endpoint Detection and Response działają w oparciu o uczenie maszynowe korzystające z metodologii Deep Learning i są w stanie w automatyczny sposób rozpoznać, zatrzymać oraz zaraportować ujawnione zagrożenie w czasie rzeczywistym. W trakcie prezentacji zostaną omówione zagadnienia związane z uczeniem maszynowym – Deep Learning oraz praktyczne zastosowanie systemu EDR z analizą forensic.

Joanna Wziątek-Ładosz Joanna Wziątek-Ładosz, Sales Engineer, Sophos
Zarządzanie bezpieczeństwem informacji
13.40–14.00

Bezpieczeństwo ALBO prywatność? Czy naprawdę musimy wybierać?

Zabezpieczenie danych firmowych vs. ochrona prywatności użytkownika to jak konfrontacja czegoś niezbędnego z czymś absolutnie koniecznym. Oba obszary, tak samo ważne, koncentrują się na jednym wspólnym celu: bezpieczeństwie. Czy naprawdę musimy wybierać pomiędzy jednym a drugim?

Bartosz Leoszewski Bartosz Leoszewski, Współzałożyciel, Prezes, FancyFon
Audyt
14.00–14.30

Cyber risk - wsparcie zarządzania firmą czy zapewnienie zgodności.

Podejście do zarządzania cyberprzestrzenią bazujące na ryzyku jest jednym z głównych założeń oraz powszechnie uznaną praktyką wśród firm cyfrowego świata. W rzeczywistości, często stosowaną w sposób niesformalizowany. Zarządzanie ryzykiem staje się nie tylko działaniem wspierającym efektywne zarządzanie i podejmowanie decyzji, jest także koniecznie dla zapewnienia zgodności z przepisami prawa czy deklarowanymi standardami. W trakcie prezentacji przedstawię praktyki strukturalnego podejścia do opracowania, wdrożenia i utrzymywania procesów zarządzania ryzykiem związanym z cyberprzestrzenią.

Sebastian Pikur Sebastian Pikur, Ekspert ds. zarządzania ryzykiem, Blog ryzykoIT.pl, ISACA Warsaw Chapter
Techniczne aspekty bezpieczeństwa
14.00–14.30

Cyberbezpieczeństwo z perspektywy inżyniera oprogramowania.

Cyberbezpieczeństwo jest obecnie jednym z najczęściej pojawiających się pojęć w przestrzeni. Obserwacja rzeczywistości skłania do refleksji i postawienia pytania czy ludzie rozumieją,  że cyberbezpieczeństwo to jest proces a nie zjawisko. Odnosząc faktyczne działania do zdobyczy nauki można postawić  tezę, że cyberbezpieczeństwo to w wielu przypadkach cyberMODA i cyberŚCIEMA. Cyberbezpieczeństwa nie można zadekretować, ani kupić. Cyberbezpieczeństwo musi być rozpatrywane w powiązaniu z budową i funkcjonowaniem systemów teleinformatycznych. Jeżeli tylko 30%-40% projektów związanych z budową systemów teleinformatycznych jest zakończonych sukcesem to podobna skala przekłada się na projekty związane z cyberbezpieczeństwem. Przykłady „z życia” i konkluzja – czy i jak możemy to zmienić? 

Tomasz Mikołajczyk Tomasz Mikołajczyk, Inżynier oprogramowania, Specjalista bezpieczeństwa informacji, ISACA Warsaw Chapter
Zarządzanie bezpieczeństwem informacji
14.00–14.30

Czy jesteś gotowy na bezpieczną sieć SD-WAN.

SD-WAN czyli "Software-Defined Wide Area Network" jest stosunkowo nowym ale obecnie bardzo modnym pojęciem w świecie IT. SD-WAN umożliwia budowę sieci rozległych odpornych na awarie oraz zachowanie wysokiej jakości usług przy wykorzystaniu różnych typów połączeń. Takie sieci oprócz posiadania licznych zalet stawiają również konkretne wyzwania związane z zapewnieniem odpowiedniego poziomu bezpieczeństwa i ciągłości działania aplikacji. Podczas prezentacji przedstawione zostaną podstawowe zasady funkcjonowania SD-WAN oraz aspekty bezpieczeństwa, na które szczególnie warto zwrócić uwagę przy projektowaniu tego rodzaju sieci.

Piotr Bienias Piotr Bienias, Systems Engineer, Fortinet
14.30–14.50

Przerwa na kawę i herbatę. Networking.

Audyt
14.50–15.20

Czy zgodność regulacyjna to nowa podatność? Pakiet Cyber Regulacji - turbo przyspieszenie, czy mega spowolnienie. Jakie niesie za sobą szanse, a jakie zagrożenia?

W czasie prelekcji ekspert odpowie na pytanie jak przedsiębiorstwa z segmentu SMB mogą sprostać zgodności z Pakietem Cyber Regulacji. Implementacja w usługi mechanizmów zapewniających zgodność dostarczane biznesowi to jedno, pytanie kto miałby je obsługiwać oraz jak podnieść poziom rzeczywistego bezpieczeństwa w organizacji i ludzi w samym „systemie”. Ekspert wskaże również rolę człowieka jako podmiotu, którego nie powinno się eliminować w rozważaniach nt. przyszłości: „Ostatnio zbyt często idziemy na skróty zachwycając się rozwojem technologicznym i możliwościami systemów, które sami tworzymy. Sztuczna Inteligencja (i jej pochodne takie jak deep learning, machine learning, predykcja, czy analizy behawioralne) czasami przesłaniają istotę sprawy i to czemu mają służyć. Pora zadać sobie pytanie czy już nie czas zacząć na poważnie inwestować w ludzi? Nie zatrzymamy postępu technologicznego ani też nie zastąpimy człowieka - zmieni się po prostu jego rola. Musimy włączyć nowe myślenie i przejść na nowe podejście podobne temu jakie miało miejsce w XIX wieku w związku z rewolucją przemysłową i rozwojem wiedzy. Odpowiedzi i podejścia jakie znaliśmy do tej pory nie wystarczą.”.

Klaudiusz Kosidło Klaudiusz Kosidło, Ekspert Ochrony Danych Osobowych/ Audytor ISO 27001, ISACA Warsaw Chapter
Techniczne aspekty bezpieczeństwa
14.50–15.20

Bezpieczeństwo informacji - kultura i niewiedza.

Aby skutecznie budować cyberbezpieczeństwo organizacji, należy wiedzieć, przed kim się ona broni, jakie są cele adwersarzy oraz jakie stosują techniki, by osiągnąć swój cel. Prezentacja przybliża sposoby, w jaki sponsorowane grupy hakerskie wybierają cel, budują infrastrukturę ataku oraz techniki, które stosują. Pokazane zostanie w jaki sposób analitycy śledzą przygotowania do ataku i próbują wyprzedzić ruchy przestępców. Całość prezentacji zostanie oparta na analizie wybranych rozpoznanych grup APT działających w światowej cyberprzestrzeni. Zostanie poruszony problem skuteczności obecnych metod obrony w kontekście tradycyjnego modelu budowania infrastruktury bezpieczeństwa. Budowa cyberbezpieczeństwa organizacji to budowa wiedzy i potencjału do reagowania na zagrożenia i incydenty.  Mając tę wiedzę można opracować plany jak się bronić, jak planować reagowanie na incydenty.  Prezentacja przybliży jak wykorzystać skutecznie analizę zagrożeń (Cyber Threat Inetlligence) w procesach zarządzania incydentami w skali organizacji, analizując znane techniki ataków oraz jak przygotować się do ich wykrycia i zneutralizowania.

Wojciech Józefowicz Wojciech Józefowicz, Dyrektor Departamentu Korporacyjnego Bezpieczeństwa ICT, Grupa Azoty
Zarządzanie bezpieczeństwem informacji
14.50–15.20

Business Impact Assessment, czyli jak przełożyć wymagania biznesowe na stosowane środki bezpieczeństwa aplikacji.

Słuchacze będą mieli okazję zapoznać się z procesem BIA, czyli Business Impact Assessment. Zaprezentowany zostanie sposób w jaki przeprowadzać i analizować wyniki BIA, oceniać Poufność, Integralność i Dostępność danych oraz jak przekładać wynik takiej oceny na konkretne środki techniczne.

Marcin Kazimierczak Marcin Kazimierczak, Information Risk Manager, Nationale-Nederlanden TUNŻ
Audyt
15.20–15.50

RODO - zmarnowana szansa dla cyberbezpieczeństwa.

Czy RODO wymaga cyberbezpieczeństwa? TAK! Czy RODO pomogło cyberbezpieczeństwu? NIE! Dlaczego nie wykorzystano zgiełku wokół RODO, by podnieść poziom świadomości i bezpieczeństwa informacji i ochronę danych osobowych w cyberprzestrzeni? Gdzie popełniono błędy? W trakcie prezentacji pokazane zostaną luki w postępowaniu oraz różnice pomiędzy podejściem prawniczym i informatycznym do cyberbezpieczeństwa.

Joanna Karczewska Joanna Karczewska, ISACA Warsaw Chapter
Techniczne aspekty bezpieczeństwa
15.20–15.50

Cyber Threat Intelligence jako niezbędny element budowy cyberbezpieczeństwa

Aby skutecznie budować cyberbezpieczeństwo organizacji, należy wiedzieć, przed kim się ona broni, jakie są cele adwersarzy oraz jakie stosują techniki, by osiągnąć swój cel. Prezentacja przybliża sposoby, w jaki sponsorowane grupy hakerskie wybierają cel, budują infrastrukturę ataku oraz techniki, które stosują. Pokazane zostanie w jaki sposób analitycy śledzą przygotowania do ataku i próbują wyprzedzić ruchy przestępców. Całość prezentacji zostanie oparta na analizie wybranych rozpoznanych grup APT działających w światowej cyberprzestrzeni. Zostanie poruszony problem skuteczności obecnych metod obrony w kontekście tradycyjnego modelu budowania infrastruktury bezpieczeństwa. Budowa cyberbezpieczeństwa organizacji to budowa wiedzy i potencjału do reagowania na zagrożenia i incydenty.  Mając tę wiedzę można opracować plany jak się bronić, jak planować reagowanie na incydenty.  Prezentacja przybliży jak wykorzystać skutecznie analizę zagrożeń (Cyber Threat Inetlligence) w procesach zarządzania incydentami w skali organizacji, analizując znane techniki ataków oraz jak przygotować się do ich wykrycia i zneutralizowania.

Ireneusz Tarnowski Ireneusz Tarnowski, Ekspert ds. Cyberzagrożeń, Santander Bank Polska
15.50

Zakończenie konferencji.

Organizatorzy dołożą wszelkich starań, aby konferencja odbyła się zgodnie z prezentowanym programem, jednak zastrzega się możliwość częściowych zmian.

W GRONIE PRELEGENTÓW

Jan Anisimowicz

Chief Portfolio Officer, Board Member, C&F SA

Krzysztof Bączkiewicz

ISACA Warsaw Chapter

Michał Bentkowski

Sekurak.pl

Artur Bicki

CEO, EMCA

Piotr Bienias

Principal Systems Engineer, Fortinet

Marek Bieńkowski

Dyrektor Departamentu Porządku i Bezpieczeństwa Wewnętrznego, Najwyższa Izba Kontroli

Renata Bilecka

Ekspertka rozwiązań bezpieczeństwa mobilnego, Samsung

Krzysztof Bińkowski

Forensics Expert/Trainer, ISSA Polska

Łukasz Bobrek

Starszy specjalista ds. bezpieczeństwa IT, Securing

Cezar Cichocki

Szef Centrum Kompetencyjnego, OpenBIZ

Krzysztof Cudak

IT Security Chapter Lead, ING TECH Poland

Andrzej Dalasiński

Head of Vulnerability Management, Grupa Bosch

Jakub Dysarz

Naczelnik Wydziału w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji, Policy Officer, Komisja Europejska

dr Piotr Dzwonkowski

Akredytowany Trener ISACA, ISACA Warsaw Chapter, ISSA Polska

Artur Gębicz

CFE, CFDA, biegły sądowy, Zastępca Dyrektora ds. Audytu IT, IPS-SGB

Piotr Głaska

Senior Systems Engineer, Infoblox

Dr inż. Agnieszka Gryszczyńska

UKSW, Prokuratura Regionalna w Warszawie

Adam Haertle

Trener, twórca, redaktor naczelny, ZaufanaTrzeciaStrona.pl

Paul Heffernan

CISO, Revolut

Dave Horton

GDPR Solutions Engineer Manager, OneTrust

Borys Iwaszko

CK, CSIRT MON

Jakub Jagielak

Security Business Development Manager, Atende

Tomasz Janiec

System Storage Technical Team Leader, IBM Polska

Wojciech Józefowicz

Dyrektor Departamentu Korporacyjnego Bezpieczeństwa ICT, Grupa Azoty

Joanna Karczewska

One of Europe’s Top Cyber Women, ISACA Warsaw Chapter

dr Maksymilian Karczewski

Asystent, Instytut Chemii Organicznej PAN

Marcin Kazimierczak

Information Risk Manager, Nationale-Nederlanden TUNŻ

Piotr Konieczny

CISO, Niebezpiecznik.pl

Klaudiusz Kosidło

IOD, Członek, ISACA Warsaw Chapter

Robert Kośla

Dyrektor Departamentu Cyberbezpieczeństwa, Kancelaria Prezesa Rady Ministrów

Rafał Krakowski

CISA, CISSP, ISO/IEC 27001 Lead Auditor, Certified Risk Manager, ISSA Polska, ISACA Warsaw Chapter

Łukasz Krzewicki

Audit, Risk & Compliance Expert, ISACA Warsaw Chapter

Paweł Kulpa

Cybersecurity Architect, ISACA Warsaw Chapter

Bartosz Leoszewski

Współzałożyciel, Prezes, FancyFon

Paweł Łakomski

Security and Compliance Technical Specialist, Microsoft Polska

Marcin Madey

Country Manager, Micro Focus Polska

Tomasz Mikołajczyk

Inżynier oprogramowania, Specjalista bezpieczeństwa informacji, ISACA Warsaw Chapter

Filip Nowak

MBA, Cybersecurity Architect, Santander Bank Polska

Jakub Nowakowski

SoftCare Expert, COMPAREX Poland

Paweł Olszar

Ekspert ds. Monitoringu i Kontroli Procesów, ING Bank Śląski

Jerzy Paczocha

Główny specjalista, Instytut Łączności – PIB

Mateusz Pastewski

Cybersecurity Sales Manager, Cisco Systems Poland

Sebastian Pikur

Ekspert ds. zarządzania ryzykiem, Blog ryzykoIT.pl, ISACA Warsaw Chapter

Krzysztof Radecki

Audytor Wewnętrzny CGAP®, DPO (Inspektor Ochrony Danych), ISACA Warsaw Chapter

Adam Rafajeński

Dyrektor Biura (Cyber), Bank Pekao SA

Marcin Romanowski

Channel Manager Europe, Vade Secure

Tomasz Rot

Sales & Channel Development Manager, CEE, Barracuda

Paweł Rzepa

Starszy konsultant ds. bezpieczeństwa, Securing

Adam Sosnowski

IT Security Engineer, Grupa Bosch

Łukasz Staniak

Manager Cyber Security, KPMG Advisory

Marek Staniewski

Dyrektor Biura Bezpieczeństwa Informacji, Urząd Miasta Bydgoszczy

Jarosław Stawiany

ISACA Warsaw Chapter

Piotr Stecz

Dyrektor Pionu IT i Bezpieczeństwa Informacji, Adamed

Ireneusz Tarnowski

Ekspert ds. cyberzagrożeń, ISSA Polska

David Taylor

Technical Sales Consultant, CISSP, Entrust Datacard

Kash Valji

Director of Consulting Systems Engineering, Fortinet

Wojciech Wrona

CISA, CGEIT, Audytor wiodący ISO 27001, Innogy

Joanna Wziątek-Ładosz

Sales Engineer, Sophos

Robert Żurakowski

Inspektor Ochrony Danych, Niezależny ekspert

DO UDZIAŁU ZAPRASZAMY:

  • Szefów działów bezpieczeństwa (CISO /CSO )
  • Audytorów bezpieczeństwa IT
  • Osoby odpowiedzialne za administrowanie sieciami i systemami IT
  • Ekspertów odpowiedzialnych za ciągłość działania i zarządzanie kryzysowe
  • Szefów działów audytu, audytorów
  • Konsultantów i ekspertów bezpieczeństwa informacji
  • Menedżerów i specjalistów z działów zarządzania ryzykiem
  • Menedżerów i Dyrektorów IT
  • Ekspertów IT Governance

Udział w konferencji Semafor 2019 to
13 punktów CPE do certyfikatów: CISSP/ CISA/ CISM/ CRISC/ CGEIT

NAJLEPSZĄ REKOMENDACJĄ SĄ OPINIE UCZESTNIKÓW POPRZEDNICH EDYCJI:

RADA PROGRAMOWA SEMAFOR 2019

Tomasz Bitner

Redaktor Naczelny, Computerworld

Michał Brandt

Ekspert ds. Bezpieczeństwa IT, ISSA Polska

Sebastian Burgemejster

Członek Zarządu, IIA Polska

Łukasz Bydłosz

Wiceprezes, Isaca Katowice Chapter

Piotr Duczyński

Wiceprezes, ISACA Warsaw Chapter

Patryk Gęborys

Dyrektor, ISSA Polska

Julia Juraszek

Prezes, ISSA Polska

Joanna Karczewska

One of Europe’s Top Cyber Women, ISACA Warsaw Chapter

Michał Kurek

Członek zarządu, OWASP

Przemyslaw Obuchowski

Isaca Warsaw Chapter

Artur Ślubowski

Dyrektor Projektu, ISSA Polska

Aleksandra Zygarska

Dyrektor Konferencji, Computerworld

Organizatorzy

Partnerzy generalni

Mecenasi

Partnerzy merytoryczni

Partnerzy

Wystawcy

Design Partner

Patroni medialni

LOKALIZACJA KONFERENCJI

STADION PGE NARODOWY W WARSZAWIE
Warszawa, al. Księcia Józefa Poniatowskiego 1

NOCLEGI

 

Ibis Warszawa Stare Miasto***

ul. Muranowska 2,
00-209 WARSZAWA

więcej informacji

Novotel Centrum

ul. Marszałkowska 94/98
WARSZAWA

więcej informacji

JESTEŚMY DO PAŃSTWA DYSPOZYCJI



Aleksandra Zygarska
Tel. 662 287 872
[email protected]

Klaudia Kałuska
Tel. +48 662 287 865
[email protected]

Filip Walicki
Tel. 662 287 904
[email protected]

Włodzimierz Duszyk
Tel. 662 287 870
[email protected]