W dniach 23-24 lutego 2012 odbędzie się w Warszawie V edycja konferencji Security Management Audit Forum, czyli popularnego SEMAFOR’a.
Poniżej przedstawiamy listę do tej pory potwierdzonych wykładów i warsztatów
Rola prawa stanowionego oraz standardów technicznych w tworzeniu zasad ochrony systemów teleinformatycznych
Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych
2012 Cybercrime Trends
Walk into a parallel reality operating behind the scenes of the legitimate web and learn about today’s most prominent trends affecting the world of cybercrime. In this RSA presentation viewers will gain insight into 2012 crimeware, recent fraud trends and the methods devised by cybercriminals who carry virtual crime into the realms of real life.
Limor Kessem, RSA, the Security Division of EMC
Najczęstsze błędy i nieporozumienia w ochronie danych osobowych (rozumianej jako element procesu zarządzania bezpieczeństwem informacji) w administracji publicznej
Najczęstsze błędy, niedociągnięcia oraz nieporozumienia wynikające z błędnego rozumienia przepisów dotyczących ochrony danych osobowych oraz innych informacji prawnie chronionych. Model idealny zarządzania bezpieczeństwem informacji w oparciu o normę ISO 27001, dobre praktyki i przepisy prawa.
Maciej Gajewski, Podkarpacki Urząd Wojewódzki w Rzeszowie
OWASP – przepis na bezpieczeństwo aplikacji
Niemalże każda nowa aplikacja jest obecnie tworzona w technologii przeglądarkowej. Przy powszechnym problemie braku świadomości odnośnie zagrożeń dla aplikacji internetowych – zarówno na poziomie kadry zarządzającej, jak również na poziomie programistów – bezpieczeństwo aplikacji stanowi dziś jedno z największych wyzwań i źródeł zagrożeń.
Michał Kurek, OWASP Polska
Wybrane problemy bezpieczeństwa w systemach IT
Wybrane rodzaje zagrożeń oraz podatności: warstwa sieciowa, warstwa aplikacyjna, elementy proceduralno-organizacyjne, zabezpieczenia fizyczne, socjotechnika.
Prezentacje na żywo ilustrujące wybrane zagadnienia: podsłuchiwanie telefonów VoIP, atak na VPN, atak na infrastrukturę WWW, atak na urządzenie sieciowe, atak socjotechniczny. Wybrane metody ochrony systemów IT: elementy analizy ryzyka, testy penetracyjne, monitoring bezpieczeństwa, pomocna literatura oraz materiały on-line.
Michał Sajdak, Securitum
Monitorowanie bezpieczeństwa baz danych – pojedynek SIEM vs DAM
Monitorowanie bezpieczeństwa baz danych, a w zasadzie metod wykorzystania danych w nich zawartych jest wymaganiem wielu standardów czy rekomendacji. W efekcie wiele firm zobowiązanych jest zapewnić taką ochronę. To z kolei sprawia, że muszą odpowiedzieć sobie na proste z pozoru pytanie: “W jaki sposób oraz z wykorzystaniem jakich narzędzi zapewnić efektywny monitoring baz danych?”
Piotr Topór, CompFort Meridian Polska
Wdrożenie normy BS 10012:2009
“Data protection – Specification for a personal informationmanagement system” w oparciu osystem HPMS (Holistic Privacy Management System)
Barbara Pióro, Global Information Security
Marek Pióro, Global Information Security
Warsztaty nt. bezpieczeństwa systemów mobilnych
Android: Reverse Engineering aplikacji z Android Market, mechanizmy bezpieczeństwa w Android i ich omijanie, zabezpieczanie i analiza danych z systemu Android (informatyka śledcza).
iOS: Reverse Engineering aplikacji z AppStore, mechanizmy bezpieczeństwa w iOS i ich omijanie, zabezpieczanie i analiza danych z systemu iOS (informatyka śledcza).
Bring Your Own Device(s)
Standard ISO 27001 charakteryzuje się tym, że zapewne po świecie chodzi więcej ludzi określających się mianem ekspertów w tym zakresie niż tych, którzy go przeczytali i jeszcze zrozumieli.
Aleksander Czarnowski, ISSA Polska
Robert PławiakRobert Pławiak, ISSA Polska
Smartfony i tablety w organizacji, czyli mobilność kontra bezpieczeństwo
Wybrane zagrożenia, na jakie narażają się organizacje, które świadomie bądź nieświadomie dopuszczają do korzystania ze swoich zasobów informatycznych z urządzeń mobilnych, a które nie dostosowały podejścia do zapewnienia bezpieczeństwa w sposób uwzględniający zagrożenia ze strony tych urządzeń.
Artur Maj, Prevenity
Obowiązek zgłaszania naruszeń bezpieczeństwa i jego wpływ na bezpieczeństwo Internetu w Polsce
Najważniejsze przypadki wycieku danych, ich konsekwencje dla internautów i administratorów tych danych. Propozycje legislacyjne dotyczące implementacji obowiązku raportowania naruszeń w Polsce oraz ich porównanie z rozwiązaniami w innych krajach.
Mirosław Maj, Fundacja Bezpieczna Cyberprzestrzeń
Cyberbezpieczeństwo systemów nadzoru infrastruktury krytycznej
Systemy kontroli przemysłowej SCADA stanowią newralgiczny punkt infrastruktury krytycznej ze względu na swoją wagę dla funkcjonowania krytycznych instalacji przy jednoczesnym wysokim poziomie ryzyka wynikającym z podatności systemów przemysłowych i zagrożeń cyberprzestępczością.
Mirosław Ryba, Ernst & Young Business Advisory
Poczucie bezpieczeństwa a poczucie realizmu (red pill vs. blue pill)
Psychologiczne teorie związane z lękiem i potrzebą bezpieczeństwa, w oparciu o studia przypadków związanych z bezpieczeństwem systemów IT.
Wojciech Bojdoł, Secure apps
Computer Security at CERN
CERN, Europejska Organizacja Badań Jądrowych jest jednym z największych i najbardziej szanowanych światowych centrów naukowo-badawczych. Jest to miejsce, w którym światowej sławy Wielki Zderzacz Hadronów (LHC) bada, z czego zbudowany jest Wszechświat i w jaki sposób funkcjonuje. Tysiące fizyków na całym świecie analizują dane z prowadzonych eksperymentów. Zespół Bezpieczeństwa CERN musi odnaleźć punkt równowagi pomiędzy potrzebami środowiska akademickiego, wymogami poszczególnych urządzeń i eksperymentów, a bezpieczeństwem IT.
Wojciech ŁapkaWojciech Łapka, CERN, European Organization for Nuclear Research
Rozmowa kontrolowana, czyli kilka słów o podsłuchach i bilingach
Oficjalne metody inwigilacji obywateli oraz możliwości obywateli unikania bycia inwigilowanym. Świat podsłuchów z perspektywy służb, operatora telekomunikacyjnego i zwykłego klienta.
Adam Haertle, UPC Polska
Automatyczny reset hasła z użyciem biometrii głosowej
Bezpieczeństwo, wygoda i oszczędność kosztów operacyjnych, dzięki wykorzystaniu uwierzytelniania głosowego użytkowników usług. Biometria głosowa jest jedną z bezpieczniejszych i łatwych w masowych zastosowaniach metodą identyfikacji i uwierzytelniania użytkowników. Biorąc pod uwagę powszechne użycie telefonów za pośrednictwem których użytkownik może skorzystać z systemu, praktycznie nie istnieje potrzeba inwestycji w dodatkowy specjalistyczny sprzęt, a użytkownik zyskuje wygodę korzystania z własnego głosu jako zabezpieczenia.
Zbigniew Marcinkowski, Algotech Polska
Privacy issues in the Internet
Generally IT security deals with the basics, networking, firewall, virus scanners and so on – but what about targets that these can’t catch? Users happily hand over detailed information to third parties for the promise of having a complete online profile, becoming a 'mayor’ or some other trivial virtual badge. This trend is further alarming when the question of long term storage of said data is raised; what can be done with it if it fell into the wrong hands? Companies aims are first to make a profit, then to address things like privacy and security, but only after they’re called out on it, so we can expect bad things to happen before best practices are adopted. This backwards way of thinking about security undermines most of what we work to provide; a safe environment that holds attacks at bay for the users. In this talk I’ll discuss the numerous issues we deal with today, as well as some ways forward that will allow us to keep control of our data, even when it’s not on our systems.
Phil Cryer
Application Level Distributed Denial of Service Attacks Exploits and Defense
Denial of Service attacks have evolved greatly over time from very simple packet based floods to complex attacks that exploit the application level logic of victim networks and systems. Contemporary countermeasures against traditional packet based and exploit based attacks proof to be ineffective against this class of DoS, because it neither relies on massive packet floods, or specific exploits that can be detected with pattern matching or traditional heuristics.
Brad Woodberg, Juniper Networks
Solvency II oraz wpływ Solvency na IT
Marcin FedorMarcin Fedor, AXA Polska
Information Security for SMEs: An Alternative Approach
Small and medium businesses comprise the majority of the world’s economies, but usually operate with a bare minimum of security controls – if they think about security at all. Most small business owners have too many problems at hand, and too much to do just to keep things running, to try to come to terms with something as difficult to understand as information security. And so they don’t do anything about it – until disaster strikes.
Gabe Chomic, ISSA UK
System zarządzania bezpieczeństwem Informacji Data Center, jako aspekt systemu zarządzania ciągłością działania klienta Data Center
Coraz popularniejszym zagadnieniem w zakresie bezpieczeństwa informacji jest świadczona przez wyspecjalizowane firmy, tzw. Data Center, usługa Cloud Computing. Menedżerowie wielu firm zastanawiają się jakie oszczędności poczynią kolokując dane i aplikacje swojej firmy na zewnątrz.
Przemysław Bańko, 2Business Consulting Group
Czy bezpieczeństwo IT można zmierzyć?
Do sprawnego zarządzania bezpieczeństwem informacji w firmach niezbędne jest monitorowanie bezpieczeństwa. Z kolei skuteczne monitorowanie bezpieczeństwa jest trudne bez możliwości jego zmierzenia.
Janusz Żmudziński, Asseco Poland
Stopnie dojrzałości zarządzania bezpieczeństwem informacji w administracji publicznej
Dojrzałość organizacji do wdrożenia SZBI na przykładzie Zakładu Ubezpieczeń Społecznych, a stopnie dojrzałości zarządzania bezpieczeństwem informacji wg ISACA. Zarządzanie ryzykiem jako główny motor napędzający zarządzanie bezpieczeństwem informacji – najlepsze praktyki.
Małgorzata Michniewicz, Zakład Ubezpieczeń Społecznych
Zarządzanie kryzysowe w instytucji finansowej – ludzie i technologia
Praktyczne aspekty związane z odpowiedzią organizacji na incydent oraz zarządzaniem kryzysowym w środowisku biznesowym. Wdrożenie procesów pozwalających na skuteczną reakcją w momencie powstania incydentu, mechanizmy eskalacji incydentów z poziomu “business as usual” na poziom zarządzania ciągłością działania oraz komunikację wewnątrz i na zewnątrz organizacji.
Krzysztof Pulkiewicz, BCPguide.com
Ograniczenie ryzyka nadużycia w firmie poprzez rozdział obowiązków w systemie ERP – studium przypadku
Ryzyka związane z niewłaściwym rozdziałem obowiązków użytkowników w systemach klasy ERP. Najlepsze praktyki stosowane w tym zakresie, a także częste błędy popełniane przy wprowadzaniu i wdrażaniu rozwiązań IT w obszarze rozdziału obowiązków. Praktyczne podejście do tworzenia bezpiecznej architektury ról na przykładzie projektu zrealizowanego dla systemu SAP.
Filip Nowak, GRC Advisory
Andrzej Partyka, GRC Advisory
Zapobieganie niedostępności usług IT poprzez automatyzację procesu zarządzania zmianami i optymalizację konfiguracji
Najczęstszą przyczyną utraty dostępności usług IT są błędy ludzi występujące w trakcie wprowadzania zmian. Najskuteczniejszą metodą uniezależnienia się od słabości czynnika ludzkiego jest zastosowanie narzędzi, które określone czynności wykonują zamiast człowieka oraz kontrolują pracę ludzi.
Mariusz Stawowski, ISSA Polska
Nowe trendy i dobre praktyki w zarządzaniu kryzysowym
Najlepsze praktyki w zakresie efektywnego zarządzania incydentami oraz sytuacjami kryzysowymi. Sposoby formowania zespołu oraz opracowania planu zarządzania incydentami, metody i kryteria oceny wpływu oraz szacowania skutków incydentów. Studia przypadków, które mają na celu wskazanie dobrych i złych praktyk w zarządzaniu rzeczywistymi sytuacjami kryzysowymi.
Marcin Marczewski, Resilia
Konrad Roziewski, Resilia
Jak rozwiać ciemne chmury nad naszymi autostradami, czyli cloud computing a zarządzanie robotami budowlanymi
Zastosowanie efektywnych i bezpiecznych informatycznych systemów zarządzania informacją w biurach dużych budów. Możliwości, jakie daje w tym zakresie cloud computing. Zagadnienia zaangażowania audytorów systemów IT w branży budowlanej.
Jakub Białachowski, B-Act
Szacowanie ryzyk związanych z bezpieczeństwem informacji w dużych organizacjach
Szacowanie ryzyka zgodnie w tycznymi normy ISO 27001 w większych organizacjach może być procesem bardzo złożonym i czasochłonnym. Aby ograniczyć czas i koszty takiego przedsięwzięcia można zastosować podejście polegające na wyodrębnieniu najistotniejszych obszarów i ograniczenie do nich szczegółowej analizy. Jako alternatywne podejście zgodne z wytycznymi normy ISO 27001 proponujemy zastosowanie metody opartej o pełną inwentaryzację zasobów przetwarzania danych i zastosowanie szablonów wpływu kategorii zagrożeń na poszczególne kategorie zasobów.
Arkadiusz Agaciak, Wyższa Szkoła Bankowa w Poznaniu
Business Continuity – keep it simple
Ciągłość działania jest często postrzegana jako produkcja skomplikowanych planów na wydumane przypadki.Czemu firmy powtarzają wciąż te same błędy, skoro BCP jest takie proste i logiczne? Jak spowodować żeby plany były krótkie, wykonywalne i adekwatne do zagrożeń? Co zrobić, żeby Business Continuity Planning stało się Business Continuity Management?
Paweł Chojnowski, Lufthansa Systems Poland
Business Continuity Planning – real life examples of how important it is to be prepared
1. Business Continuity Planning model implemented in Hewlett Packard Global Business Services business model.
2. What to do before, during and after a disaster event to recover key business processes in an efficient and timely manner.
3. BCP testing to raise awareness, increase organizational confidence and improve the continuity plans.
4. Real life examples of invoking Business Continuity Plans for crisis scenarios.
Grzegorz Jarosiński, Hewlett Packard
