UWAGA! Udział w konferencji umożliwia pozyskanie 13 punktów CPE

Agenda konferencji, 20-21 czerwca 2018 r., Hotel Ibis Styles Wrocław

I dzień konferencji, 20 czerwca

9.30 - 12.15

Sesja równoległych warsztatów

Warsztaty są fakultatywnym elementem konferencji, dostępnym dla wszystkich zarejestrowanych uczestników, obowiązuje jednak ograniczenie liczby miejsc i kolejność zgłoszeń. Warsztaty prowadzone są w formule charytatywnej (prowadzący nie pobierają wynagrodzenia) – jedyną rzeczą, o jaką uczestnicy są proszeni to wsparcie jednego z potrzebujących ośrodków, jak np.: http://www.hospicjum.wroc.pl, http://naratunek.org lub innego celu charytatywnego, np. z pomocą serwisu https://www.siepomaga.pl (kwota wg. uznania).

Każdy zarejestrowany uczestnik konferencji, otrzyma dedykowany link rejestracyjny na warsztaty.

Warsztat I

No more… oops! I did it again!

Dołącz do kolejnego programu bezpieczeństwa z serii „No more…”, uczestnicząc w warsztatach ułatwiających transfer wiedzy i doświadczenia z incydentów.

Materiały edukacyjne dostępne w trakcie szkolenia są darmowe i na licencji CC BY SA v4.0, narzędzia wytworzone również podlegają tej licencji i zostaną dodane do zasobów publicznych SCI-IKB z uznaniem wspomnianej licencji.

#incidentmanagement #awareness #nistcsf #humanfactor #sciikb #privacy #w51h #5w #citcp #nomoreoops

 

ROI dla uczestnika: Na podstawie przygotowanych raportów z incydentów stworzysz: a. praktyczny opis tego, co się stało, wraz z przyczynami; b. narzędzie do komunikacji uzyskanej wiedzy; c. ocenisz przygotowanie innych uczestników warsztatów do reakcji na analizowany przez Ciebie incydent.

Wymagania: Udział w warsztatach wymaga podstawowej wiedzy na temat bezpieczeństwa informacji oraz analizy ryzyka. Rekomendowana wiedza w zakresie ISACA CSX-F w celu maksymalizacji zysku z uczestnictwa.

Maksymalna liczba uczestników: b.o.

(Więcej...)

Artur Marek Maciąg

Lead Information Security Analyst, BNY Mellon

Warsztat II

Tech, czy może Human Risk? Czyli czynnik ludzki, a incydenty bezpieczeństwa

Bezpieczeństwo informatyczne to z perspektywy osób zarządzających w znaczącej mierze wyłącznie skomplikowane aspekty stricte techniczne: adekwatny

hardware, adekwatny software. Docelowo równieżwyspecjalizowane zasoby techniczne, które opiniują, konsultują, a docelowo wdrażają pożądane rozwiązania technologiczne, których głównym celem jest gwarancja bezpieczeństwa informatycznego dla organizacji na najwyższym poziomie. Co jeśli zawiedzie najsłabsze ogniwo najniższego poziomu? Wiele biur tak małych, średnich, jak i dużych organizacji biznesowych opierają rdzeń bezpieczeństwa informatycznego o najsłabsze ogniwo… tj. człowieka/ludzi, którzy znajdują się na kluczowej dla procesu bezpieczeństwa informatycznego linii bezpośredniego dotarcia do serca firmy. Tym samym – skomplikowane i najwyższej jakości systemy informatyczne chroniące potencjalnie dotarcie do rdzenia informatycznej struktury organizacji mogą runąć – w momencie, w którym nie przyjmiemy za oczywiste szerszego aspektu analizy poziomu bezpieczeństwa i nie przyjmiemy za oczywistość faktu, że kluczem do bezpieczeństwa wirtualnego świata, w którym nasza organizacja się rozwija i kwitnie jest…rzeczywisty wymiar tegoż biznesu, a tym samym człowiek – stojący na froncie linii ochrony budynku (tak wewnętrznej, jak i w ramach outsourcing`u), wewnętrznego help desku firmy, etc. Aspekt realnie ludzki w kontekście zaawansowanych rozwiązań w zakresie bezpieczeństwa informatycznego to główny cel tematu prezentacji. Jak również procesowe podejście do budowania procedur bezpieczeństwa technologicznego z uwzględnieniem czynnika ludzkiego, tak zewnętrznego, jak i wewnętrznego w obrębie organizacji.

ROI dla uczestnika:

Uczestnicy poprzez zbudowanie mapy „ludzkich i technicznych’ źródeł incydentów bezpieczeństwa dokonają szerszej analizy poziomu bezpieczeństwa swojej organizacji aniżeli tylko i wyłącznie w aspekcie zagrożeń cybernetycznych. Zaprezentujemy, jak procesowo podchodzić do budowania procedur bezpieczeństwa technologicznego z uwzględnieniem czynnika ludzkiego, tak zewnętrznego, jak i wewnętrznego w obrębie organizacji, ale również z uwzględnieniem innych poziomów i aspektów.

Wymagania: Komputer może się przydać, ale nie jest wymagany

Maksymalna liczba uczestników: 30 osób

(Więcej...)

Bartosz Kieler

Wiceprezes, Ekspert rynkowy, Risk Guard

Warsztat III

RODO i SZBI w kontekście oceny ryzyka – integralne działania czy niezależne?

Warsztat ma celu prezentacji metodyki oceny ryzyka naruszenia praw i wolności osób fizycznych (wymaganie RODO) zintegrowanej z oceną ryzyka bezpieczeństwa

informacji (wytyczne ISO 27005), przy wykorzystaniu rejestru czynności przetwarzania danych.

Metodyka będzie omawiana na konkretnych przykładach, gdzie każdy z uczestników będzie miał możliwość samodzielnego jej wykonania na wybranym przez siebie przykładzie.

ROI dla uczestnika: W ramach warsztatów uczestnicy będą mieli okazję:

  • zapoznać się z metodyką oceny ryzyka (która zostanie udostępniona na warsztatach),
  • przećwiczyć jej zastosowanie w praktyce,
  • zidentyfikować mechanizmy, które można wykorzystywać do innych celów niż tylko spełniania wymagań RODO.

Wymagania:

  • Każdy uczestnik powinien dysponować komputerem z dostępem do Internetu oraz zainstalowanym pakietem MS Office.

 

Maksymalna liczba uczestników: b.o.

(Więcej...)

Kamil Pszczółkowski

Niezależny ekspert,

12.15 - 13.00

Obiad, rejestracja uczestników

13.00 - 13.15

Otwarcie konferencji i powitanie uczestników

Łukasz Guździoł

Chief Information Security Officer PL, Director, Holistic IST Risk Oversight - Global Governance & ISSA BoD Member, Credit Suisse/TRISW/ISSA , (Przewodniczący Rady Programowej)

Przemysław Gamdzyk

Komitet Organizacyjny CSO Council, (Sekretarz Rady Programowej)

13.15 - 15.10

Sesja plenarna

13.15 - 13.55

Nieznane skutki znanych incydentów

Nieznane szerzej (lub wcale) aspekty najpoważniejszych incydentów bezpieczeństwa ostatnich kilkunastu miesięcy. Co umknęło nie tylko głównym mediom, ale także branżowym specjalistom (w tym często także nam)?

Adam Haertle

Redaktor Naczelny, ZaufanaTrzeciaStrona.pl

13.55 - 14.35

DevSecOps – chodzi o kulturę organizacji!

Dlaczego odpowiedni Security Governance jest warunkiem koniecznym wdrożenia DevSecOps w organizacji? Czym jest dzisiaj DevSecOps, czyli jak włączyć bezpieczeństwo w procesy tworzenia systemów IT przy wykorzystaniu podejścia DevOps? Automatyzacja i samoobsługa w obszarze testów bezpieczeństwa. Przyszłość czyli RASP (Runtime Application Self-Protection) i IAST (Interactive Application Security Testing).

Alexander Melis

Global Lead for Data Centric Security Services, EY

Sourabh Khurana

Assistant Manager - Information Security, EY

14.35 - 15.10

Bezpieczeństwo – co robimy źle. Kiedy jeszcze więcej bezpieczeństwa oznacza mniej zaufania.

Świat się zmienia, a z nią perspektywa ryzyka technologicznego i bezpieczeństwa informacji. Czy uczymy się na własnych błędach, co dzisiaj robimy nie tak w obszarze cyberbezpieczeństwa i bezpieczeństwa informacji? Czy da się żyć, gdy syrena wyje cały czas? W jaki sposób można to zmienić? Czy jest to w ogóle w sferze naszych możliwości? Jak wyjść z zaklętego kręgu zbudowanego przez ostatnie 30 lat?

Paneliści:

Tomasz Bujała, Kierownik Biura Bezpieczeństwa Teleinformatycznego, Grupa Ubezpieczeniowa Europa
Grzegorz Długajczyk, Head of Technology Risk Team,ING Bank
Łukasz Guździoł, Head of Frameworks – Global Governance & Chief Information Security Officer PL & ISSA BoD Member, Credit Suisse/TRISW/ISSA Polska,(Przewodniczący Rady Programowej)
Adam Marczyński, Dyrektor Departamentu Bezpieczeństwa,Biuro Informacji Kredytowej

Moderator:

Przemysław Gamdzyk

Komitet Organizacyjny CSO Council, (Sekretarz Rady Programowej)

15.10 - 15.30

Przerwa kawowa

15.30 - 17.10

Sesje równoległe

WOKÓŁ PODATNOŚCI I CHMURY

15.30 - 15.55

Hunting for the secrets in a cloud forest

Co wiemy o bezpieczeństwie chmury? Czy może się zdarzyć, że nasze tajemnice „przez pomyłkę” staną się widoczne publicznie? W prezentacji pokażę hakerskie metody wykorzystywane przez cyberprzestępców, żeby uzyskać dostęp, klucze, dane logowania i inne

sekrety przy dostępie do storage w chmurze. Jak może tutaj pomóc prawo entropii sformułowane przez Shannona. Pokaże też własne narzędzia do przeszukiwania wielkich zbiorów danych, by znaleźć te małe zbiory danych wrażliwych. Będzie się działo!
(Więcej...)

NOWE POMYSŁY I INNOWACJE

15.30 - 15.55

Drenaż mózgów w IT – czy można powstrzymać odpływ specjalistów turkusowym modelem zarządzania.

Ryzyko utraty myślących pracowników to duże zagrożenie dla działów technologicznych. Ekspert potrzebuje przestrzeni do działania a więc środowiska pracy. Obecnie stosowane modele zarządzania mają ponad 100 lat. Dlaczego nowe modele nie mogą przebić się

do świadomości kadry kierowniczej? Dlaczego właściciele firm widzą zagrożenie w turkusowym modelu zarządzania? Czy stworzenie samozarządzalnych grup wewnątrz dużych i złożonych organizacji pozwoli zatrzymać ekspertów? Na te wszystkie pytania odpowiem w trakcje sesji poświęconej Turkusowemu Modelowi Zarządzania. Turkusowe organizacje funkcjonują bez szefów, naczelników i kierowników. Wykorzystuje się zaufanie oraz wiedzę ekspercką wszystkich pracowników. Decydują ci, którzy wiedzą, a reszta ma do nich zaufanie. Na przykładzie książek, filmów i przykładów z życia opowiem czym równi się podejście turkusowe, od tradycyjnego (pomarańczowego) stosowanego obecnie w większości korporacji.
(Więcej...)

Paweł Rzepa

Starszy konsultant ds. bezpieczeństwa, SecuRing

Krzysztof Szyling

Infrastructure Solutions Architect, Credit Suisse

15.55 - 16.20

Threats to Cloud Services

Adaptacja “chmury” staje się naszą rzeczywistością, firmy są na różnych etapach przenoszenia aplikacji biznesowych do chmury obliczeniowej, postrzegając jej główne korzyści w obszarze redukcji kosztów i elastyczności. Działy bezpieczeństwa powinny aktywnie uczestniczyć w tej transformacji, zarówno, aby uświadamiać biznes w zakresie

ryzyka, ale również pomóc stworzyć zrównoważone i kontrolowalne środowisko z myślą o bezpieczeństwie samej organizacji oraz jej Klientów. Ryzyka związane z migracją do chmury istnieją i nie powinny być ignorowane. Spróbujmy zdefiniować zagrożenia i zastanowić się nad ich ograniczeniem.
(Więcej...)

15.55 - 16.20

Sztuczna inteligencja – szanse i zagrożenia dla cyberbezpieczeństwa

AI z impetem wkracza w nasze życie – na dobre i na złe. Jak można wykorzystywać sztuczną inteligencję w systemach i narzędziach cyberbezpieczeństwa i jak mogą one być wykorzystane do naruszania bezpieczeństwa, ataków czy naruszeń prywatności?

Próba całościowego spojrzenia i ocena przyszłości.
(Więcej...)

Paweł Pietrzak

Systems Engineer, FireEye

Janusz Żmudziński

Wiceprezes, Polskie Towarzystwo Informatyczne

16.20 - 16.45

Ochrona przed podatnościami w świecie hybrydowego IT

Podatności stanowią coraz większe wyzwanie dla działów IT. Nie tylko dlatego, że są główną przyczyną infekcji systemów serwerowych, ale także dlatego, że załatanie ich wymaga długotrwałego i skomplikowanego procesu. W trakcie naszej prezentacji odpowiemy na

pytanie: Jak kupić sobie czas i ochronić serwery oraz aplikacje zanim możliwe będzie przeprowadzenie aktualizacji? Poruszymy też kwestie automatycznego wdrażania zabezpieczeń dla systemów w środowisku hybrydowym oraz pokażemy możliwości wprowadzenia dodatkowych warstw ochrony.
(Więcej...)

16.20 - 16.45

Kultura cyberbezpieczeństwa i wartość człowieka w ochronie informacji i systemów informatycznych

Czy człowiek faktycznie musi być największym zagrożeniem w systemach IT? Kultura cyberbezpieczeństwa oparta na poglądach, postawach i zachowaniach ludzi ma ogromny wpływ na proaktywne wykrywanie cyberataków i zapobieganie im, a w przypadku ich

zaistnienia zatrzymanie ich w jak najwcześniejszej fazie tego ataku, w tym także na etapie planowania i wdrażania zabezpieczeń.
(Więcej...)

Andrzej Sawicki

Sales Engineer, Trend Micro

Marcin Krzemieniewski

Business Line Manager - Security, Dimension Data Polska

Monika Adamczyk,

Inspektor Ochrony Danych, Narodowe Centrum Badań Jądrowych

16.45 - 17.10

Polish(ed) API? Krytyczna recenzja regulacji i aktywności w dziedzinie Open Banking, czyli działanie suboptymalne z punktu widzenia ryzyka

Regulacje, takie jak PSD2, GDPR czy brytyjskie Open Banking CMA9, mają w swoich założeniach spowodować zmianę pozycji klienta w stosunku do instytucji finansowej – dać mu możliwość sprawowania kontroli. Wspólnym mianownikiem tych regulacji jest koncepcja zgody

na rzecz tzw. strony trzeciej – instytucji innej niż bank, z którą bank prowadzący rachunki klienta będzie zobowiązany nawiązać współpracę bez osobnej bilateralnej umowy, jedynie na podstawie dyspozycji klienta. Wspólne jest także założenie, że wykonanie obowiązków wynikających z tych regulacji opierać ma się na rozwiązaniu technicznym, w tym open API. Niestety, otwarte API to szereg zagrożeń. Począwszy od niepewności regulacyjnej, poprzez zagrożenie dla stabilności systemów krytycznych w wyniku ataku na interfejsy otwarte lub niewystarczającej izolacji, np. pod kątem obciążenia, po graniczące z pewnością ryzyko dla reputacji instytucji w razie dojścia do masowego naruszenia zasad ochrony. Fragmentacja rynku, niewystarczająca szczegółowość zagrażająca interoperacyjności czy wreszcie niezgodność standardów z regulacjami wynikająca z rozbieżności interpretacji i wskazanej już niepewności regulacyjnej.
(Więcej...)

16.45 - 17.10

Deus ex Machine Learning – prolog w dramacie cyberbezpieczeństwa?

Choć współczesne infrastruktury teleinformatyczne atakowane są wbrew zasadzie trzech jedności: miejsca, czasu i akcji, to okazuje się, że inny pomysł, zaczerpnięty wprost z antycznych tragedii, święci triumfy w obszarze cyberbezpieczeństwa. Czy to Deus ex Machina! czy Machine Learning, Deep Learning, Data Science, dla których coraz łatwiej

spotkać swojsko brzmiące odpowiedniki, m.in. nie tak dawno zaproponowany przez PWr neologizm „danologia”, stanowią realne rozwiązanie nurtujących nas od dekad problemów? A może to tylko innowacyjny fortel, aby przedstawienie nie znużyło widowni przysypiającej w „teatrze bezpieczeństwa”?
(Więcej...)

Krzysztof Trojan,

IT Architect / CTO, Consult Trojan Ltd. / Finmeer B.V. / ING NL

Błażej Boczula

Specjalista ds. bezpieczenstwa teleinformatycznego,

17.10 - 17.30

Przerwa kawowa

17.30 - 19.00

Sesja dyskusji roundtables

Równoległe dyskusje roundtables to element konferencji angażujący wszystkich uczestników. Ta sesja ma kilka celów. Po pierwsze, bezpośrednią wymianę opinii i doświadczeń w ramach konkretnego zagadnienia, interesującego daną grupę uczestników. Po drugie, możliwość spotkania i rozmowy z prowadzącym dane roundtable – wybraliśmy do ich prowadzenia osoby o dużej wiedzy i doświadczeniu.

Odbędą się dwie rundy dyskusji – każda po 40 minut

17.35 - 18.15

RUNDA I

1. Jak skuteczniej zarządzać bezpieczeństwem dzięki uzyskaniu pełnej widoczności stanu podatności i zagrożeń infrastruktury ICT

Zarządzanie podatnościami technologicznymi w każdej organizacji powinno uwzględniać istotność systemów i być realizowane proaktywnie, zgodnie z przyjętymi w polityce priorytetami wynikającymi z analizy ryzyka. Niezbędnym staje się posiadanie pełniej widoczności aktualnego stanu bezpieczeństwa kluczowych zasobów oraz zdolności do szybkiej analizy ryzyka i postępowania z nowymi podatnościami i zagrożeniami. Oczywiście łatwo powiedzieć, trudniej realizować. Potrzebne są do tego odpowiednie narzędzia wspierające, ale przede wszystkim polityka i proces wspierany przez kierownictwo.

Prowadzenie:

Krzysztof Kłaczek

Dyrektor zarządzający, IMNS Polska

2. Ochrona przed podatnościami w świecie hybrydowego IT

Boimy się podatności oraz luk bezpieczeństwa w systemach informatycznych, a jednocześnie nie wgrywamy poprawek. Jak zatem sobie radzić? Panuje przekonanie, że systemy funkcjonujące w naszym data center są dużo bezpieczniejsze od hostowanych z chmury. Czy na pewno?

Prowadzenie:

Andrzej Sawicki

Sales Engineer, Trend Micro

Marcin Krzemieniewski

Business Line Manager - Security, Dimension Data Polska

3. Koszty cyberbezpieczeństwa

Co zrobić, aby wdrożenie w organizacji wdrożenie RODO nie skończyło się „papierowym bezpieczeństwem” opartym tylko o zgody i procedury? Jak rozmawiać z zarządem o inwestycjach a nie o kosztach w cyberbezpieczeństwo? Czy i jak policzyć zwrot z inwestycji w cyberbezpieczeństwo?

 

Prowadzenie:

Adam Mizerski

Prezes, ISACA Katowice Chapter

4. DevSecOps – jak to robić dobrze?*

*Dyskusja w języku angielskim. Organizator nie przewiduje tłumaczenia.

Prowadzenie:

Alexander Melis

Global Lead for Data Centric Security Services, EY

Sourabh Khurana

Assistant Manager - Information Security, EY

5. Kultura cyberbezpieczeństwa i wartość człowieka w ochronie informacji i systemów informatycznych

Czy człowiek faktycznie musi być największym zagrożeniem w systemach IT? Jak postrzegamy kulturę bezpieczeństwa? W jaki sposób zbudować kulturę bezpieczeństwa w organizacji?

Prowadzenie:

Monika Adamczyk,

Inspektor Ochrony Danych, Narodowe Centrum Badań Jądrowych

6. Zarządzanie podwykonawcami (4th party), czyli ukryty obszar ryzyka*

Pośrednie vs Bezpośrednie zarzadzanie ryzykiem podwykonawców, Jakie są plusy i minusy? Czy możemy polegać na kontrolach bezpieczeństwa naszych dostawców monitorując pod-poddostawców? Czy ryzyko koncentracji jest realnym problemem w kontekście poddostawców? Jakie mamy narzędzia żeby realnie zarządzać ryzykiem poddostawców?

*Dyskusja prowadzona będzie w języku angielskim, jeśli wśród uczestników będą osoby nie mówiące po polsku. Organizator nie przewiduje tłumaczenia.

Prowadzenie:

Tomasz Brus

Third Party IT Risk Management Service Lead & CISO Projects Team Lead (VP), Credit Suisse

7. Jak optymalnie zarządzać cyberryzykiem w firmie aby nie dać się zaskoczyć?

Ustawiczna ewolucja wykorzystywanych w firmach nowoczesnych technologii informatycznych pociąga za sobą nowe i ciągle zmieniające się ryzyka dla sprawnego funkcjonowania przedsiębiorstw. Jednocześnie rosną też wydatki potrzebne na zabezpieczenie coraz cenniejszych danych. Kluczowym staje się więc zagadnienie, jak poprzez skuteczne zarządzanie cyberryzykiem optymalnie dysponować dostępnymi środkami finansowymi aby zmaksymalizować dostarczaną wartość. Skąd wiadomo, że Twoja organizacja skupia się na właściwych aspektach cyber security? Jak określić apetyt na ryzyko w organizacji? Jak ocenić aktualną ekspozycję na cyberryzyko? Które ryzyka adresować w pierwszej kolejności? Jakie zabezpieczenia są nam potrzebne? Jak wybierać właściwe technologie oraz produkty, aby osiągnąć założony cel?

Prowadzenie:

Łukasz Guździoł

Chief Information Security Officer PL, Director, Holistic IST Risk Oversight - Global Governance & ISSA BoD Member, Credit Suisse/TRISW/ISSA , (Przewodniczący Rady Programowej)

8. Podejście procesowe w zarządzaniu bezpieczeństwem informacji

Czy wizualizacja procesów pomaga w zarządzaniu bezpieczeństwem informacji? Mapowanie ryzyk przy wykorzystaniu procesów. Czy i jak podejście procesowe sprzyja zarządzaniu jakością pracy działu bezpieczeństwa? Czy podejście procesowe pomaga w zarządzaniu incydentami bezpieczeństwa?

Prowadzenie:

Andrzej Kasprzyk

Członek Zarządu, ISSA Polska

18.20 - 19.00

RUNDA II

1. Zarządzanie kryzysowe w erze cyberzagrożeń – jak skomponować właściwy zespół zarządzania kryzysowego do reagowania na cyberzagrożenia

Jak taki zespół należy powołać? Kto jest potrzebny w jego składzie, oprócz specjalistów od cyberbezpieczeństwa? Prawnicy, PR, zarządzający organizacją? Gdzie w strukturze organizacji umieścić zarządzanie kryzysowe? Jak informować organy wewnętrzne i zewnętrzne?

Prowadzenie:

Marek Długosz

Head of IT Audit, ING Bank Śląski

2. Zastosowanie OSINT w cyberbezpieczeństwie

Metody zdobywania informacji. Czarny, szary i biały wywiad. Wartość źródła i wiarygodność informacji. Etapy analizowania otwartych źródeł informacji. Raport Bellingcat WS MH17.

Prowadzenie:

Beata Legowicz

Specjalista ds. ochrony informacji,

3. Jak szacować ryzyko dla zagrożeń pochodzących z cyberprzestrzeni

Marzeniem wielu firm jest zapewnienie sobie 100% ochrony przed cyberatakami. Jest to niemożliwe, bo im większą ochronę chcemy zapewnić, tym większe koszty należy ponosic. W pewnym momencie może się okazać, że koszt infrastruktury bezpieczeństwa znacznie przekracza wartość chronionych zasobów. Trzeba zatem znaleźć ten właściwy balans i umieć zmierzyć poziom ryzyka dla cyberzagrożeń. Mając mierzalne ryzyko, możemy wdrażać mechanizmy mitygujące lub eliminujące zagrożenia, stale monitorując poziom ryzyka. Jak zbudować sobie model (znając potencjał własnej infrastruktury), jak analizować konsekwencje potencjalnego zmaterializowania się ryzyka i jak zmniejszać to ryzyka poprzez wdrażanie rozwiązań bezpieczeństwa?

Prowadzenie:

Ireneusz Tarnowski

Expert Cyber Threat Security Engineer, Santander Bank Polska

4. Budżet na IT Security – w co inwestować, żeby nie żałować

Jakie kryteria powinny być brane pod uwagę przy podejmowaniu decyzji? Jak zminimalizować ryzyko błędu? Jak uzasadnić, a w razie potrzeby obronić, podjęte decyzje? Czy proces podejmowania decyzji może być zautomatyzowany?

Prowadzenie:

Janusz Chołodecki

Senior Technology Risk Assessment Officer, Credit Suisse

5. Jak nie kwestionariusz to co? Zarządzanie ryzykiem dostawcy, gdy brakuje na to zasobów i czasu.

Co jest oceniane: dostawca, czy usługa? Jak często jest realizowana powtórna ocena? Czy stosowane są te same zasady oceny do każdego dostawcy? Czy ocena jest oparta o analizę ryzyka? Czy uwzględniane są wymogi biznesowe? Kto akceptuje ryzyka? Jakie są praktyki dotyczące oceny dostawcy: własny formularz z pytaniami, zewnętrzny dostawca z kwestionariuszem, rozmowa, bazowanie na certyfikatach? Czy postawa bezpieczeństwa usługodawcy odnoszona jest do praktyk wewnątrz organizacji?

Artur Marek Maciąg

Lead Information Security Analyst, BNY Mellon

6. Ryzyka związane z otwieraniem systemów i stosowaniem API

Prowadzenie:

Krzysztof Trojan,

IT Architect / CTO, Consult Trojan Ltd. / Finmeer B.V. / ING NL

7. Wdrażanie procesu zarządzania ryzykiem – praktyczne doświadczenia

Jaka informacja o ryzyku jest cenna dla decydentów w firmie? Od kogo i jak pozyskiwać wartościowe informacje o ryzyku? Jak zapewnić porównywalność wyników szacowania ryzyka? Jakie są kluczowe cechy narzędzia wspierającego szacowanie ryzyka?

Prowadzenie:

Sebastian Pikur

Architekt bezpieczeństwa, PGE Systemy

19.30 -

Wieczorna impreza integracyjna

Zapraszamy na wieczorną imprezę w Browarze Złoty Pies, który mieści się w samym sercu Rynku.

II dzień konferencji, 21 czerwca

8.30 - 9.00

Poranna kawa

9.00 - 11.20

Sesje równoległe

ZARZĄDZANIE RYZYKIEM TECHNOLOGICZNYM I ZARZĄDZANIE KRYZYSOWE W PRAKTYCE DZIAŁANIA ORGANIZACJI

TECHNOLOGICZNE I KOMUNIKACYJNE ASPEKTY BEZPIECZEŃSTWA

9.10 - 9.35

Jak przetrwać kolejną transformację (cyfrową oczywiście), czyli no Risk – no Fun, no Pain – no Gain

Jakie zyski przynosi stosowanie podstaw bezpieczeństwa w procesie transformacji, w której obliczu stoi tak wiele firm w Polsce? Jak zachować spokój, gdy czasu wystarcza tylko na gaszenie pożarów? Co zrobić, gdy w końcu ktoś zapyta o radę.

9.10 - 9.35

Przewidzieć nieprzewidywalne – aktualne zagrożenia i ryzyka dla systemów ICS

Obszary do tej pory często pomijane: systemy kontroli przemysłowej, a w szczególności elementy infrastruktury krytycznej, coraz częściej stają się obiektem cyberataków. Konsekwencje takich udanych ataków na stacje energetyczne i odcięcia dostaw energii są

niepoliczalne – mogą zagrozić mieniu, zdrowiu i życiu ludzi, a także wpłynąć negatywnie na potencjał obronny kraju. W latach 2015–2017 wiedzieliśmy, jak poważne były skutki takich wydarzeń na Ukrainie. Z tych powodów powinniśmy być odpowiednio przygotowani na możliwie szybkie wykrywanie potencjalnego ryzyka. Jak sytuacja wygląda obecnie, jakie są największe zagrożenia dla systemów przemysłowych (ICS), jak je wykrywać, jak im zapobiegać i jak minimalizować skutki ataków?
(Więcej...)

Artur Marek Maciąg

Lead Information Security Analyst, BNY Mellon

Jarosław Sordyl

Zastępca Dyrektora ds. Cyberbezpieczeństwa, Polskie Sieci Elektroenergetyczne

9.35 - 10.05

Wdrażanie procesu zarządzania ryzykiem – praktyczne doświadczenia

Wnioski z realizacji kilku projektów w różnych organizacjach. Wyzwania i porażki – czyli co poszło inaczej, niż było zakładane, i co następnym razem warto zrobić inaczej. Doświadczeniach z wdrożenia procesu zarządzania ryzykiem, które mogą być użyteczne dla innych (wykorzystywane metody szacowania ryzyka będą jedynie tłem).

9.35 - 10.05

Dialekty Cyberbezpieczeństwa - jak komunikować, aby skutecznie dotrzeć i zaangażować nietechnicznych odbiorców

Cyber zagrożenia ewoluują tak samo jak cyfrowy świat dookoła nas. Im bardziej stajemy się „cyfrowi” tym bardziej jesteśmy narażeni. Cyber Bezpieczeństwo stało się integralną częścią dnia codziennego i sięga daleko poza zespoły IT. Widoczność jest kluczem, a świadomość

drogą, w takim razie jak dotrzeć do odbiorców, którzy powinni, a nie są zainteresowani lub po prostu nie rozumieją „naszego” języka? Jak zaangażować i utrzymać uwagę Zarządów firm, jako kluczowych partnerów w tym procesie?
(Więcej...)

Sebastian Pikur

Architekt bezpieczeństwa, PGE Systemy

Piotr Pobereźny

Regional Account & Channel Manager, North CEE, Qualys

10.05 - 10.30

Kryzys w organizacji

Pojęcie kryzysu ma wiele twarzy, nawet w tak, wydawałoby się, wąskiej dziedzinie jak cyberbezpieczeństwo (zarówno na poziomie praktyk rynkowych w zakresie przygotowania i reakcji, jak i samej literatury oraz opracowań). Czego uczą nas studia przypadków

(takie jak: Under Armour/MyFitnessPal, FedEx/Bongo, Uber, Deloitte)? Jak właściwie ocenić kryzys i jak się do niego przygotować? Czy w ogóle warto? Pracować z doradcą czy samodzielnie? Czy kryzys może być częścią drogi do sukcesu?
(Więcej...)

10.05 - 10.30

Czy jesteś gotowy na incydenty cyberbezpieczeństwa?

Organizacje inwestują czas i pieniądze w zapewnienie maksymalnej ochrony przed incydentami cyberbezpieczeństwa. Czy jednak mogą czuć się bezpieczne? Czy poradzą sobie kiedy nadejdzie ten dzień?

Michał Szapiro

Właściciel, SZAPIRO|SCHWANN Public Relations

Daniel Donhefner

IBM Security Services CEE Leader, IBM

10.30 - 10.55

„There is a difference between knowing the path and walking the path”, czyli Zarządzanie ryzykiem w bezpieczeństwie informacji: ujęcie holistyczne

W pierwszej części prelekcji zostaną przedstawione metody i pojęcia stosowane w zarządzaniu ryzykiem. W drugiej części omówione zostaną dwa przykłady rozwiązań informatycznych wspomagających zarządzanie ryzykiem. W trzeciej części zaprezentowane

zostanie case study związanie z zarządzaniem ryzykiem w ochronie danych osobowych. W ramach każdej z trzech części przewidziano równoległą e-ścieżkę (w formule BYOD) odpowiednio wg schematów: Jeopardy!, Capture the Flag, oraz Bug Bounty, a dla zwycięzców każdej ze ścieżek przewidziane są nagrody.”
(Więcej...)

10.30 - 10.55

CTI – Poznanie innych i poznanie siebie to zwycięstwo bez ryzyka

Aby skutecznie budować cyberbezpieczeństwo organizacji, należy wiedzieć, przed kim się ona broni, jakie są cele adwersarzy oraz jakie stosują techniki, by osiągnąć swój cel. W jaki sposób zawodowe grupy hakerskie wybierają cel, budują infrastrukturę ataku oraz techniki, które stosują? Jak śledzi się przygotowania do ataku i próbuje się wyprzedzić ruchy

przestępców – na przykładzie dwóch najbardziej rozpoznanych grup APT. Problem skuteczności obecnych metod obrony. Prezentacja z pogranicza zagadnień Cyber Threat Intelligence oraz Threat Huntingu.
(Więcej...)

dr inż. Adrian Kapczyński

Członek Zarządu, Polskie Towarzystwo Informatyczne - Sekcja Bezpieczeństwa Informacji

Ireneusz Tarnowski

Expert Cyber Threat Security Engineer, Santander Bank Polska

10.55 - 11.20

Nie tylko samo RODO, czyli co jeszcze ułatwiłoby użytkownikom odzyskanie zaufania do bezpieczeństwa technologii?

10.55 - 11.20

Cykl przetwarzania danych i informacji w ramach Cyber Threat Intelligence – teoretyczne podejście z praktycznymi konsekwencjami

Kluczowym elementem CTI powinien być konsekwentnie stosowany cykl wywiadowczy polegając na przetwarzaniu danych i informacji pochodzących z heterogenicznych źródeł. Jest wiele okoliczności, które mają na niego negatywny wpływ, leżących po stronie organizacji lub

poszczególnych osób (np. presja czasu i wyniku, uproszczenia i stereotypy w rozumowaniu). Natomiast „uciążliwości” jego stosowanie nie mogą przeważać nad korzyściami. CTI wpisuje się także w holistyczne podejście do kultury bezpieczeństwa organizacji. Mimo rozpowszechnienia rozwiązań IT wspierających ten proces osobom biorący w nim udział często brakuje wiedzy i umiejętności w zakresie jakościowych metod i technik analitycznych, jak również myślenia w kategoriach strategicznych zapewnienia bezpieczeństwa informatycznego organizacji. Celem wystąpienia jest przestawienie, co kryminalistyka – zwłaszcza w obszarze taktyki i strategii – ma do zaoferowania w obszarze zapewnienia tego typu bezpieczeństwa.
(Więcej...)

Tomasz Soczyński

Dyrektor Zespołu Informatyki, Urząd Ochrony Danych Osobowych

dr hab. Wojciech Filipkowski, prof. UwB

Doktor habilitowany nauk prawnych, Kierownik Pracowni Kryminalistyki Wydziału Prawa , Uniwersytet w Białymstoku

11.20 - 11.45

Przerwa kawowa

11.45 - 13.05

Sesja plenarna

11.45 - 12.05

Konsolidacja systemów bezpieczeństwa - Fortinet Security Fabric

Złożoność środowisk teleinformatycznych, hybrydowe IT i gwałtowny wzrost zaawansowanych cyberzagrożeń, sprawiają, że konieczne jest tworzenie architektury bezpieczeństwa zapewniającej kompleksowość ochrony, skuteczność zabezpieczeń oraz automatyzację. Wykrywanie nieznanych zagrożeń, zaawansowana analiza ataków oraz szybka wymiana wiedzy pomiędzy różnymi rozwiązaniami bezpieczeństwa są szczególnie istotne dla podnoszenia poziomu cyberbezpieczeństwa.

Michał Taterka

Inżynier Systemowy, Fortinet

12.05 - 12.40

Sprawozdanie z sesji roundtables

Każdy z prowadzących sesje roundtables może w ciągu dwóch do trzech minut przedstawić najważniejsze wnioski i najciekawsze pomysły z prowadzonej przez siebie dyskusji w sesji roundtables poprzedniego dnia. Sprawozdania w kolejności chronologicznej.

Prowadzenie:

Przemysław Gamdzyk

Komitet Organizacyjny CSO Council, (Sekretarz Rady Programowej)

12.40 - 13.05

Rzut monetą lub choreografia – o ryzykowanym zarządzaniu

Innowacyjność i technologizm skazuje nas na nadmierną specjalizację, a ta na domniemane rozwiązywanie technicznych problemów. Objawem pułapki ekspertów jest wszędobylski podział, domenowość, wielowektorowość i nieużywane narzędzia. Stąd już tylko mały krok w stronę uniwersalnych modeli i mamy opis większości organizacji. Przepis na niezauważalny krach. Punktem centralnym opisanej sytuacji jest brak integracji – systemowej oraz tej w kontekście cyberzależności. Autor przedstawi najpoważniejsze błędy przy planowaniu ogólnego podejścia do bezpieczeństwa organizacji oraz praktykę ich unikania. Prezentacja opiera się na teorii, która wspiera praktykę prowadzenia strategii cyberbezpieczeństwa. Czy na Twojej liście ryzyk są niebezpieczeństwa wynikające z ryzykownego zarządzania?

Filip Nowak

niezależny ekspert,

13.05 - 14.00

Obiad

14.00 - 15.00

TABLETOP EXCERCISE

Skorzystaj z okazji i wejdź w wir wydarzeń związanych z atakiem na dużą organizację konsumencką jako jeden z uczestników konferencji prasowej. Spodziewaj się możliwości wpływu na sytuację, zwrotów akcji i spojrzenia na problem ćwiczeń red-team-blue-team z zupełnie innej perspektywy – medialnej i reputacyjnej, naszpikowanej szczegółami technicznymi.

Prowadzenie:

Artur Marek Maciąg

Lead Information Security Analyst, BNY Mellon

Uczestnicy:

Łukasz Guździoł

Chief Information Security Officer PL, Director, Holistic IST Risk Oversight - Global Governance & ISSA BoD Member, Credit Suisse/TRISW/ISSA , (Przewodniczący Rady Programowej)

Paweł Maziarz

IT Security Architect, Immunity Systems

Ireneusz Tarnowski

Expert Cyber Threat Security Engineer, Santander Bank Polska

Łukasz Boguszewski

, Cyberdefence24.pl

15.00 - 15.15

Podsumowanie i zakończenie konferencji

Łukasz Guździoł

Chief Information Security Officer PL, Director, Holistic IST Risk Oversight - Global Governance & ISSA BoD Member, Credit Suisse/TRISW/ISSA , (Przewodniczący Rady Programowej)

Przemysław Gamdzyk

Komitet Organizacyjny CSO Council, (Sekretarz Rady Programowej)