UWAGA! Udział w konferencji umożliwia pozyskanie 13 punktów CPE
Agenda konferencji, 20-21 czerwca 2018 r., Hotel Ibis Styles Wrocław
I dzień konferencji, 20 czerwca
9.30 - 12.15
Sesja równoległych warsztatów
Warsztaty są fakultatywnym elementem konferencji, dostępnym dla wszystkich zarejestrowanych uczestników, obowiązuje jednak ograniczenie liczby miejsc i kolejność zgłoszeń. Warsztaty prowadzone są w formule charytatywnej (prowadzący nie pobierają wynagrodzenia) – jedyną rzeczą, o jaką uczestnicy są proszeni to wsparcie jednego z potrzebujących ośrodków, jak np.: http://www.hospicjum.wroc.pl, http://naratunek.org lub innego celu charytatywnego, np. z pomocą serwisu https://www.siepomaga.pl (kwota wg. uznania).
Każdy zarejestrowany uczestnik konferencji, otrzyma dedykowany link rejestracyjny na warsztaty.
Warsztat I
No more… oops! I did it again!
Dołącz do kolejnego programu bezpieczeństwa z serii „No more…”, uczestnicząc w warsztatach ułatwiających transfer wiedzy i doświadczenia z incydentów.
Materiały edukacyjne dostępne w trakcie szkolenia są darmowe i na licencji CC BY SA v4.0, narzędzia wytworzone również podlegają tej licencji i zostaną dodane do zasobów publicznych SCI-IKB z uznaniem wspomnianej licencji.
#incidentmanagement #awareness #nistcsf #humanfactor #sciikb #privacy #w51h #5w #citcp #nomoreoops
ROI dla uczestnika: Na podstawie przygotowanych raportów z incydentów stworzysz: a. praktyczny opis tego, co się stało, wraz z przyczynami; b. narzędzie do komunikacji uzyskanej wiedzy; c. ocenisz przygotowanie innych uczestników warsztatów do reakcji na analizowany przez Ciebie incydent.
Wymagania: Udział w warsztatach wymaga podstawowej wiedzy na temat bezpieczeństwa informacji oraz analizy ryzyka. Rekomendowana wiedza w zakresie ISACA CSX-F w celu maksymalizacji zysku z uczestnictwa.
Maksymalna liczba uczestników: b.o.
Artur Marek Maciąg
Lead Information Security Analyst, BNY Mellon
Warsztat II
Tech, czy może Human Risk? Czyli czynnik ludzki, a incydenty bezpieczeństwa
Bezpieczeństwo informatyczne to z perspektywy osób zarządzających w znaczącej mierze wyłącznie skomplikowane aspekty stricte techniczne: adekwatny
ROI dla uczestnika:
Uczestnicy poprzez zbudowanie mapy „ludzkich i technicznych’ źródeł incydentów bezpieczeństwa dokonają szerszej analizy poziomu bezpieczeństwa swojej organizacji aniżeli tylko i wyłącznie w aspekcie zagrożeń cybernetycznych. Zaprezentujemy, jak procesowo podchodzić do budowania procedur bezpieczeństwa technologicznego z uwzględnieniem czynnika ludzkiego, tak zewnętrznego, jak i wewnętrznego w obrębie organizacji, ale również z uwzględnieniem innych poziomów i aspektów.
Wymagania: Komputer może się przydać, ale nie jest wymagany
Maksymalna liczba uczestników: 30 osób
Bartosz Kieler
Wiceprezes, Ekspert rynkowy, Risk Guard
Warsztat III
RODO i SZBI w kontekście oceny ryzyka – integralne działania czy niezależne?
Warsztat ma celu prezentacji metodyki oceny ryzyka naruszenia praw i wolności osób fizycznych (wymaganie RODO) zintegrowanej z oceną ryzyka bezpieczeństwa
Metodyka będzie omawiana na konkretnych przykładach, gdzie każdy z uczestników będzie miał możliwość samodzielnego jej wykonania na wybranym przez siebie przykładzie.
ROI dla uczestnika: W ramach warsztatów uczestnicy będą mieli okazję:
- zapoznać się z metodyką oceny ryzyka (która zostanie udostępniona na warsztatach),
- przećwiczyć jej zastosowanie w praktyce,
- zidentyfikować mechanizmy, które można wykorzystywać do innych celów niż tylko spełniania wymagań RODO.
Wymagania:
- Każdy uczestnik powinien dysponować komputerem z dostępem do Internetu oraz zainstalowanym pakietem MS Office.
Maksymalna liczba uczestników: b.o.
Kamil Pszczółkowski
Niezależny ekspert,
12.15 - 13.00
Obiad, rejestracja uczestników
13.00 - 13.15
Otwarcie konferencji i powitanie uczestników
Łukasz Guździoł
Chief Information Security Officer PL, Director, Holistic IST Risk Oversight - Global Governance & ISSA BoD Member, Credit Suisse/TRISW/ISSA , (Przewodniczący Rady Programowej)
Przemysław Gamdzyk
Komitet Organizacyjny CSO Council, (Sekretarz Rady Programowej)
13.15 - 15.10
Sesja plenarna
13.15 - 13.55
Nieznane skutki znanych incydentów
Nieznane szerzej (lub wcale) aspekty najpoważniejszych incydentów bezpieczeństwa ostatnich kilkunastu miesięcy. Co umknęło nie tylko głównym mediom, ale także branżowym specjalistom (w tym często także nam)?
Adam Haertle
Redaktor Naczelny, ZaufanaTrzeciaStrona.pl
13.55 - 14.35
DevSecOps – chodzi o kulturę organizacji!
Dlaczego odpowiedni Security Governance jest warunkiem koniecznym wdrożenia DevSecOps w organizacji? Czym jest dzisiaj DevSecOps, czyli jak włączyć bezpieczeństwo w procesy tworzenia systemów IT przy wykorzystaniu podejścia DevOps? Automatyzacja i samoobsługa w obszarze testów bezpieczeństwa. Przyszłość czyli RASP (Runtime Application Self-Protection) i IAST (Interactive Application Security Testing).
Alexander Melis
Global Lead for Data Centric Security Services, EY
Sourabh Khurana
Assistant Manager - Information Security, EY
14.35 - 15.10
Bezpieczeństwo – co robimy źle. Kiedy jeszcze więcej bezpieczeństwa oznacza mniej zaufania.
Świat się zmienia, a z nią perspektywa ryzyka technologicznego i bezpieczeństwa informacji. Czy uczymy się na własnych błędach, co dzisiaj robimy nie tak w obszarze cyberbezpieczeństwa i bezpieczeństwa informacji? Czy da się żyć, gdy syrena wyje cały czas? W jaki sposób można to zmienić? Czy jest to w ogóle w sferze naszych możliwości? Jak wyjść z zaklętego kręgu zbudowanego przez ostatnie 30 lat?
Paneliści:
Tomasz Bujała, Kierownik Biura Bezpieczeństwa Teleinformatycznego, Grupa Ubezpieczeniowa Europa
Grzegorz Długajczyk, Head of Technology Risk Team,ING Bank
Łukasz Guździoł, Head of Frameworks – Global Governance & Chief Information Security Officer PL & ISSA BoD Member, Credit Suisse/TRISW/ISSA Polska,(Przewodniczący Rady Programowej)
Adam Marczyński, Dyrektor Departamentu Bezpieczeństwa,Biuro Informacji Kredytowej
Moderator:
Przemysław Gamdzyk
Komitet Organizacyjny CSO Council, (Sekretarz Rady Programowej)
15.10 - 15.30
Przerwa kawowa
15.30 - 17.10
Sesje równoległe
WOKÓŁ PODATNOŚCI I CHMURY
15.30 - 15.55
Hunting for the secrets in a cloud forest
Co wiemy o bezpieczeństwie chmury? Czy może się zdarzyć, że nasze tajemnice „przez pomyłkę” staną się widoczne publicznie? W prezentacji pokażę hakerskie metody wykorzystywane przez cyberprzestępców, żeby uzyskać dostęp, klucze, dane logowania i inne
NOWE POMYSŁY I INNOWACJE
15.30 - 15.55
Drenaż mózgów w IT – czy można powstrzymać odpływ specjalistów turkusowym modelem zarządzania.
Ryzyko utraty myślących pracowników to duże zagrożenie dla działów technologicznych. Ekspert potrzebuje przestrzeni do działania a więc środowiska pracy. Obecnie stosowane modele zarządzania mają ponad 100 lat. Dlaczego nowe modele nie mogą przebić się
Paweł Rzepa
Starszy konsultant ds. bezpieczeństwa, SecuRing
Krzysztof Szyling
Infrastructure Solutions Architect, Credit Suisse
15.55 - 16.20
Threats to Cloud Services
Adaptacja “chmury” staje się naszą rzeczywistością, firmy są na różnych etapach przenoszenia aplikacji biznesowych do chmury obliczeniowej, postrzegając jej główne korzyści w obszarze redukcji kosztów i elastyczności. Działy bezpieczeństwa powinny aktywnie uczestniczyć w tej transformacji, zarówno, aby uświadamiać biznes w zakresie
15.55 - 16.20
Sztuczna inteligencja – szanse i zagrożenia dla cyberbezpieczeństwa
AI z impetem wkracza w nasze życie – na dobre i na złe. Jak można wykorzystywać sztuczną inteligencję w systemach i narzędziach cyberbezpieczeństwa i jak mogą one być wykorzystane do naruszania bezpieczeństwa, ataków czy naruszeń prywatności?
Paweł Pietrzak
Systems Engineer, FireEye
Janusz Żmudziński
Wiceprezes, Polskie Towarzystwo Informatyczne
16.20 - 16.45
Ochrona przed podatnościami w świecie hybrydowego IT
Podatności stanowią coraz większe wyzwanie dla działów IT. Nie tylko dlatego, że są główną przyczyną infekcji systemów serwerowych, ale także dlatego, że załatanie ich wymaga długotrwałego i skomplikowanego procesu. W trakcie naszej prezentacji odpowiemy na
16.20 - 16.45
Kultura cyberbezpieczeństwa i wartość człowieka w ochronie informacji i systemów informatycznych
Czy człowiek faktycznie musi być największym zagrożeniem w systemach IT? Kultura cyberbezpieczeństwa oparta na poglądach, postawach i zachowaniach ludzi ma ogromny wpływ na proaktywne wykrywanie cyberataków i zapobieganie im, a w przypadku ich
Andrzej Sawicki
Sales Engineer, Trend Micro
Marcin Krzemieniewski
Business Line Manager - Security, Dimension Data Polska
Monika Adamczyk,
Inspektor Ochrony Danych, Narodowe Centrum Badań Jądrowych
16.45 - 17.10
Polish(ed) API? Krytyczna recenzja regulacji i aktywności w dziedzinie Open Banking, czyli działanie suboptymalne z punktu widzenia ryzyka
Regulacje, takie jak PSD2, GDPR czy brytyjskie Open Banking CMA9, mają w swoich założeniach spowodować zmianę pozycji klienta w stosunku do instytucji finansowej – dać mu możliwość sprawowania kontroli. Wspólnym mianownikiem tych regulacji jest koncepcja zgody
16.45 - 17.10
Deus ex Machine Learning – prolog w dramacie cyberbezpieczeństwa?
Choć współczesne infrastruktury teleinformatyczne atakowane są wbrew zasadzie trzech jedności: miejsca, czasu i akcji, to okazuje się, że inny pomysł, zaczerpnięty wprost z antycznych tragedii, święci triumfy w obszarze cyberbezpieczeństwa. Czy to Deus ex Machina! czy Machine Learning, Deep Learning, Data Science, dla których coraz łatwiej
Krzysztof Trojan,
IT Architect / CTO, Consult Trojan Ltd. / Finmeer B.V. / ING NL
Błażej Boczula
Specjalista ds. bezpieczenstwa teleinformatycznego,
17.10 - 17.30
Przerwa kawowa
17.30 - 19.00
Sesja dyskusji roundtables
Równoległe dyskusje roundtables to element konferencji angażujący wszystkich uczestników. Ta sesja ma kilka celów. Po pierwsze, bezpośrednią wymianę opinii i doświadczeń w ramach konkretnego zagadnienia, interesującego daną grupę uczestników. Po drugie, możliwość spotkania i rozmowy z prowadzącym dane roundtable – wybraliśmy do ich prowadzenia osoby o dużej wiedzy i doświadczeniu.
Odbędą się dwie rundy dyskusji – każda po 40 minut
17.35 - 18.15
RUNDA I
1. Jak skuteczniej zarządzać bezpieczeństwem dzięki uzyskaniu pełnej widoczności stanu podatności i zagrożeń infrastruktury ICT
Zarządzanie podatnościami technologicznymi w każdej organizacji powinno uwzględniać istotność systemów i być realizowane proaktywnie, zgodnie z przyjętymi w polityce priorytetami wynikającymi z analizy ryzyka. Niezbędnym staje się posiadanie pełniej widoczności aktualnego stanu bezpieczeństwa kluczowych zasobów oraz zdolności do szybkiej analizy ryzyka i postępowania z nowymi podatnościami i zagrożeniami. Oczywiście łatwo powiedzieć, trudniej realizować. Potrzebne są do tego odpowiednie narzędzia wspierające, ale przede wszystkim polityka i proces wspierany przez kierownictwo.
Prowadzenie:
Krzysztof Kłaczek
Dyrektor zarządzający, IMNS Polska
2. Ochrona przed podatnościami w świecie hybrydowego IT
Boimy się podatności oraz luk bezpieczeństwa w systemach informatycznych, a jednocześnie nie wgrywamy poprawek. Jak zatem sobie radzić? Panuje przekonanie, że systemy funkcjonujące w naszym data center są dużo bezpieczniejsze od hostowanych z chmury. Czy na pewno?
Prowadzenie:
Andrzej Sawicki
Sales Engineer, Trend Micro
Marcin Krzemieniewski
Business Line Manager - Security, Dimension Data Polska
3. Koszty cyberbezpieczeństwa
Co zrobić, aby wdrożenie w organizacji wdrożenie RODO nie skończyło się „papierowym bezpieczeństwem” opartym tylko o zgody i procedury? Jak rozmawiać z zarządem o inwestycjach a nie o kosztach w cyberbezpieczeństwo? Czy i jak policzyć zwrot z inwestycji w cyberbezpieczeństwo?
Prowadzenie:
Adam Mizerski
Prezes, ISACA Katowice Chapter
4. DevSecOps – jak to robić dobrze?*
*Dyskusja w języku angielskim. Organizator nie przewiduje tłumaczenia.
Prowadzenie:
Alexander Melis
Global Lead for Data Centric Security Services, EY
Sourabh Khurana
Assistant Manager - Information Security, EY
5. Kultura cyberbezpieczeństwa i wartość człowieka w ochronie informacji i systemów informatycznych
Czy człowiek faktycznie musi być największym zagrożeniem w systemach IT? Jak postrzegamy kulturę bezpieczeństwa? W jaki sposób zbudować kulturę bezpieczeństwa w organizacji?
Prowadzenie:
Monika Adamczyk,
Inspektor Ochrony Danych, Narodowe Centrum Badań Jądrowych
6. Zarządzanie podwykonawcami (4th party), czyli ukryty obszar ryzyka*
Pośrednie vs Bezpośrednie zarzadzanie ryzykiem podwykonawców, Jakie są plusy i minusy? Czy możemy polegać na kontrolach bezpieczeństwa naszych dostawców monitorując pod-poddostawców? Czy ryzyko koncentracji jest realnym problemem w kontekście poddostawców? Jakie mamy narzędzia żeby realnie zarządzać ryzykiem poddostawców?
*Dyskusja prowadzona będzie w języku angielskim, jeśli wśród uczestników będą osoby nie mówiące po polsku. Organizator nie przewiduje tłumaczenia.
Prowadzenie:
Tomasz Brus
Third Party IT Risk Management Service Lead & CISO Projects Team Lead (VP), Credit Suisse
7. Jak optymalnie zarządzać cyberryzykiem w firmie aby nie dać się zaskoczyć?
Ustawiczna ewolucja wykorzystywanych w firmach nowoczesnych technologii informatycznych pociąga za sobą nowe i ciągle zmieniające się ryzyka dla sprawnego funkcjonowania przedsiębiorstw. Jednocześnie rosną też wydatki potrzebne na zabezpieczenie coraz cenniejszych danych. Kluczowym staje się więc zagadnienie, jak poprzez skuteczne zarządzanie cyberryzykiem optymalnie dysponować dostępnymi środkami finansowymi aby zmaksymalizować dostarczaną wartość. Skąd wiadomo, że Twoja organizacja skupia się na właściwych aspektach cyber security? Jak określić apetyt na ryzyko w organizacji? Jak ocenić aktualną ekspozycję na cyberryzyko? Które ryzyka adresować w pierwszej kolejności? Jakie zabezpieczenia są nam potrzebne? Jak wybierać właściwe technologie oraz produkty, aby osiągnąć założony cel?
Prowadzenie:
Łukasz Guździoł
Chief Information Security Officer PL, Director, Holistic IST Risk Oversight - Global Governance & ISSA BoD Member, Credit Suisse/TRISW/ISSA , (Przewodniczący Rady Programowej)
8. Podejście procesowe w zarządzaniu bezpieczeństwem informacji
Czy wizualizacja procesów pomaga w zarządzaniu bezpieczeństwem informacji? Mapowanie ryzyk przy wykorzystaniu procesów. Czy i jak podejście procesowe sprzyja zarządzaniu jakością pracy działu bezpieczeństwa? Czy podejście procesowe pomaga w zarządzaniu incydentami bezpieczeństwa?
Prowadzenie:
Andrzej Kasprzyk
Członek Zarządu, ISSA Polska
18.20 - 19.00
RUNDA II
1. Zarządzanie kryzysowe w erze cyberzagrożeń – jak skomponować właściwy zespół zarządzania kryzysowego do reagowania na cyberzagrożenia
Jak taki zespół należy powołać? Kto jest potrzebny w jego składzie, oprócz specjalistów od cyberbezpieczeństwa? Prawnicy, PR, zarządzający organizacją? Gdzie w strukturze organizacji umieścić zarządzanie kryzysowe? Jak informować organy wewnętrzne i zewnętrzne?
Prowadzenie:
Marek Długosz
Head of IT Audit, ING Bank Śląski
2. Zastosowanie OSINT w cyberbezpieczeństwie
Metody zdobywania informacji. Czarny, szary i biały wywiad. Wartość źródła i wiarygodność informacji. Etapy analizowania otwartych źródeł informacji. Raport Bellingcat WS MH17.
Prowadzenie:
Beata Legowicz
Specjalista ds. ochrony informacji,
3. Jak szacować ryzyko dla zagrożeń pochodzących z cyberprzestrzeni
Marzeniem wielu firm jest zapewnienie sobie 100% ochrony przed cyberatakami. Jest to niemożliwe, bo im większą ochronę chcemy zapewnić, tym większe koszty należy ponosic. W pewnym momencie może się okazać, że koszt infrastruktury bezpieczeństwa znacznie przekracza wartość chronionych zasobów. Trzeba zatem znaleźć ten właściwy balans i umieć zmierzyć poziom ryzyka dla cyberzagrożeń. Mając mierzalne ryzyko, możemy wdrażać mechanizmy mitygujące lub eliminujące zagrożenia, stale monitorując poziom ryzyka. Jak zbudować sobie model (znając potencjał własnej infrastruktury), jak analizować konsekwencje potencjalnego zmaterializowania się ryzyka i jak zmniejszać to ryzyka poprzez wdrażanie rozwiązań bezpieczeństwa?
Prowadzenie:
Ireneusz Tarnowski
Expert Cyber Threat Security Engineer, Santander Bank Polska
4. Budżet na IT Security – w co inwestować, żeby nie żałować
Jakie kryteria powinny być brane pod uwagę przy podejmowaniu decyzji? Jak zminimalizować ryzyko błędu? Jak uzasadnić, a w razie potrzeby obronić, podjęte decyzje? Czy proces podejmowania decyzji może być zautomatyzowany?
Prowadzenie:
Janusz Chołodecki
Senior Technology Risk Assessment Officer, Credit Suisse
5. Jak nie kwestionariusz to co? Zarządzanie ryzykiem dostawcy, gdy brakuje na to zasobów i czasu.
Co jest oceniane: dostawca, czy usługa? Jak często jest realizowana powtórna ocena? Czy stosowane są te same zasady oceny do każdego dostawcy? Czy ocena jest oparta o analizę ryzyka? Czy uwzględniane są wymogi biznesowe? Kto akceptuje ryzyka? Jakie są praktyki dotyczące oceny dostawcy: własny formularz z pytaniami, zewnętrzny dostawca z kwestionariuszem, rozmowa, bazowanie na certyfikatach? Czy postawa bezpieczeństwa usługodawcy odnoszona jest do praktyk wewnątrz organizacji?
Artur Marek Maciąg
Lead Information Security Analyst, BNY Mellon
6. Ryzyka związane z otwieraniem systemów i stosowaniem API
Prowadzenie:
Krzysztof Trojan,
IT Architect / CTO, Consult Trojan Ltd. / Finmeer B.V. / ING NL
7. Wdrażanie procesu zarządzania ryzykiem – praktyczne doświadczenia
Jaka informacja o ryzyku jest cenna dla decydentów w firmie? Od kogo i jak pozyskiwać wartościowe informacje o ryzyku? Jak zapewnić porównywalność wyników szacowania ryzyka? Jakie są kluczowe cechy narzędzia wspierającego szacowanie ryzyka?
Prowadzenie:
Sebastian Pikur
Architekt bezpieczeństwa, PGE Systemy
19.30 -
Wieczorna impreza integracyjna
Zapraszamy na wieczorną imprezę w Browarze Złoty Pies, który mieści się w samym sercu Rynku.
II dzień konferencji, 21 czerwca
8.30 - 9.00
Poranna kawa
9.00 - 11.20
Sesje równoległe
ZARZĄDZANIE RYZYKIEM TECHNOLOGICZNYM I ZARZĄDZANIE KRYZYSOWE W PRAKTYCE DZIAŁANIA ORGANIZACJI
TECHNOLOGICZNE I KOMUNIKACYJNE ASPEKTY BEZPIECZEŃSTWA
9.10 - 9.35
Jak przetrwać kolejną transformację (cyfrową oczywiście), czyli no Risk – no Fun, no Pain – no Gain
Jakie zyski przynosi stosowanie podstaw bezpieczeństwa w procesie transformacji, w której obliczu stoi tak wiele firm w Polsce? Jak zachować spokój, gdy czasu wystarcza tylko na gaszenie pożarów? Co zrobić, gdy w końcu ktoś zapyta o radę.
9.10 - 9.35
Przewidzieć nieprzewidywalne – aktualne zagrożenia i ryzyka dla systemów ICS
Obszary do tej pory często pomijane: systemy kontroli przemysłowej, a w szczególności elementy infrastruktury krytycznej, coraz częściej stają się obiektem cyberataków. Konsekwencje takich udanych ataków na stacje energetyczne i odcięcia dostaw energii są
Artur Marek Maciąg
Lead Information Security Analyst, BNY Mellon
Jarosław Sordyl
Zastępca Dyrektora ds. Cyberbezpieczeństwa, Polskie Sieci Elektroenergetyczne
9.35 - 10.05
Wdrażanie procesu zarządzania ryzykiem – praktyczne doświadczenia
Wnioski z realizacji kilku projektów w różnych organizacjach. Wyzwania i porażki – czyli co poszło inaczej, niż było zakładane, i co następnym razem warto zrobić inaczej. Doświadczeniach z wdrożenia procesu zarządzania ryzykiem, które mogą być użyteczne dla innych (wykorzystywane metody szacowania ryzyka będą jedynie tłem).
9.35 - 10.05
Dialekty Cyberbezpieczeństwa - jak komunikować, aby skutecznie dotrzeć i zaangażować nietechnicznych odbiorców
Cyber zagrożenia ewoluują tak samo jak cyfrowy świat dookoła nas. Im bardziej stajemy się „cyfrowi” tym bardziej jesteśmy narażeni. Cyber Bezpieczeństwo stało się integralną częścią dnia codziennego i sięga daleko poza zespoły IT. Widoczność jest kluczem, a świadomość
Sebastian Pikur
Architekt bezpieczeństwa, PGE Systemy
Piotr Pobereźny
Regional Account & Channel Manager, North CEE, Qualys
10.05 - 10.30
Kryzys w organizacji
Pojęcie kryzysu ma wiele twarzy, nawet w tak, wydawałoby się, wąskiej dziedzinie jak cyberbezpieczeństwo (zarówno na poziomie praktyk rynkowych w zakresie przygotowania i reakcji, jak i samej literatury oraz opracowań). Czego uczą nas studia przypadków
10.05 - 10.30
Czy jesteś gotowy na incydenty cyberbezpieczeństwa?
Organizacje inwestują czas i pieniądze w zapewnienie maksymalnej ochrony przed incydentami cyberbezpieczeństwa. Czy jednak mogą czuć się bezpieczne? Czy poradzą sobie kiedy nadejdzie ten dzień?
Michał Szapiro
Właściciel, SZAPIRO|SCHWANN Public Relations
Daniel Donhefner
IBM Security Services CEE Leader, IBM
10.30 - 10.55
„There is a difference between knowing the path and walking the path”, czyli Zarządzanie ryzykiem w bezpieczeństwie informacji: ujęcie holistyczne
W pierwszej części prelekcji zostaną przedstawione metody i pojęcia stosowane w zarządzaniu ryzykiem. W drugiej części omówione zostaną dwa przykłady rozwiązań informatycznych wspomagających zarządzanie ryzykiem. W trzeciej części zaprezentowane
10.30 - 10.55
CTI – Poznanie innych i poznanie siebie to zwycięstwo bez ryzyka
Aby skutecznie budować cyberbezpieczeństwo organizacji, należy wiedzieć, przed kim się ona broni, jakie są cele adwersarzy oraz jakie stosują techniki, by osiągnąć swój cel. W jaki sposób zawodowe grupy hakerskie wybierają cel, budują infrastrukturę ataku oraz techniki, które stosują? Jak śledzi się przygotowania do ataku i próbuje się wyprzedzić ruchy
dr inż. Adrian Kapczyński
Członek Zarządu, Polskie Towarzystwo Informatyczne - Sekcja Bezpieczeństwa Informacji
Ireneusz Tarnowski
Expert Cyber Threat Security Engineer, Santander Bank Polska
10.55 - 11.20
Nie tylko samo RODO, czyli co jeszcze ułatwiłoby użytkownikom odzyskanie zaufania do bezpieczeństwa technologii?
10.55 - 11.20
Cykl przetwarzania danych i informacji w ramach Cyber Threat Intelligence – teoretyczne podejście z praktycznymi konsekwencjami
Kluczowym elementem CTI powinien być konsekwentnie stosowany cykl wywiadowczy polegając na przetwarzaniu danych i informacji pochodzących z heterogenicznych źródeł. Jest wiele okoliczności, które mają na niego negatywny wpływ, leżących po stronie organizacji lub
Tomasz Soczyński
Dyrektor Zespołu Informatyki, Urząd Ochrony Danych Osobowych
dr hab. Wojciech Filipkowski, prof. UwB
Doktor habilitowany nauk prawnych, Kierownik Pracowni Kryminalistyki Wydziału Prawa , Uniwersytet w Białymstoku
11.20 - 11.45
Przerwa kawowa
11.45 - 13.05
Sesja plenarna
11.45 - 12.05
Konsolidacja systemów bezpieczeństwa - Fortinet Security Fabric
Złożoność środowisk teleinformatycznych, hybrydowe IT i gwałtowny wzrost zaawansowanych cyberzagrożeń, sprawiają, że konieczne jest tworzenie architektury bezpieczeństwa zapewniającej kompleksowość ochrony, skuteczność zabezpieczeń oraz automatyzację. Wykrywanie nieznanych zagrożeń, zaawansowana analiza ataków oraz szybka wymiana wiedzy pomiędzy różnymi rozwiązaniami bezpieczeństwa są szczególnie istotne dla podnoszenia poziomu cyberbezpieczeństwa.
Michał Taterka
Inżynier Systemowy, Fortinet
12.05 - 12.40
Sprawozdanie z sesji roundtables
Każdy z prowadzących sesje roundtables może w ciągu dwóch do trzech minut przedstawić najważniejsze wnioski i najciekawsze pomysły z prowadzonej przez siebie dyskusji w sesji roundtables poprzedniego dnia. Sprawozdania w kolejności chronologicznej.
Prowadzenie:
Przemysław Gamdzyk
Komitet Organizacyjny CSO Council, (Sekretarz Rady Programowej)
12.40 - 13.05
Rzut monetą lub choreografia – o ryzykowanym zarządzaniu
Innowacyjność i technologizm skazuje nas na nadmierną specjalizację, a ta na domniemane rozwiązywanie technicznych problemów. Objawem pułapki ekspertów jest wszędobylski podział, domenowość, wielowektorowość i nieużywane narzędzia. Stąd już tylko mały krok w stronę uniwersalnych modeli i mamy opis większości organizacji. Przepis na niezauważalny krach. Punktem centralnym opisanej sytuacji jest brak integracji – systemowej oraz tej w kontekście cyberzależności. Autor przedstawi najpoważniejsze błędy przy planowaniu ogólnego podejścia do bezpieczeństwa organizacji oraz praktykę ich unikania. Prezentacja opiera się na teorii, która wspiera praktykę prowadzenia strategii cyberbezpieczeństwa. Czy na Twojej liście ryzyk są niebezpieczeństwa wynikające z ryzykownego zarządzania?
Filip Nowak
niezależny ekspert,
13.05 - 14.00
Obiad
14.00 - 15.00
TABLETOP EXCERCISE
Skorzystaj z okazji i wejdź w wir wydarzeń związanych z atakiem na dużą organizację konsumencką jako jeden z uczestników konferencji prasowej. Spodziewaj się możliwości wpływu na sytuację, zwrotów akcji i spojrzenia na problem ćwiczeń red-team-blue-team z zupełnie innej perspektywy – medialnej i reputacyjnej, naszpikowanej szczegółami technicznymi.
Prowadzenie:
Artur Marek Maciąg
Lead Information Security Analyst, BNY Mellon
Uczestnicy:
Łukasz Guździoł
Chief Information Security Officer PL, Director, Holistic IST Risk Oversight - Global Governance & ISSA BoD Member, Credit Suisse/TRISW/ISSA , (Przewodniczący Rady Programowej)
Paweł Maziarz
IT Security Architect, Immunity Systems
Ireneusz Tarnowski
Expert Cyber Threat Security Engineer, Santander Bank Polska
Łukasz Boguszewski
, Cyberdefence24.pl
15.00 - 15.15
Podsumowanie i zakończenie konferencji
Łukasz Guździoł
Chief Information Security Officer PL, Director, Holistic IST Risk Oversight - Global Governance & ISSA BoD Member, Credit Suisse/TRISW/ISSA , (Przewodniczący Rady Programowej)
Przemysław Gamdzyk
Komitet Organizacyjny CSO Council, (Sekretarz Rady Programowej)