Już wkrótce konferencja SEMAFOR 2012

dodał 7 stycznia 2012 o 13:29 w kategorii Info  z tagami:
Już wkrótce konferencja SEMAFOR 2012

W dniach 23-24 lutego 2012 odbędzie się w Warszawie V edycja konferencji Security Management Audit Forum, czyli popularnego SEMAFOR’a.

Poniżej przedstawiamy listę do tej pory potwierdzonych wykładów i warsztatów

Rola prawa stanowionego oraz standardów technicznych w tworzeniu zasad ochrony systemów teleinformatycznych
Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych

2012 Cybercrime Trends
Walk into a parallel reality operating behind the scenes of the legitimate web and learn about today’s most prominent trends affecting the world of cybercrime. In this RSA presentation viewers will gain insight into 2012 crimeware, recent fraud trends and the methods devised by cybercriminals who carry virtual crime into the realms of real life.
Limor Kessem, RSA, the Security Division of EMC

Najczęstsze błędy i nieporozumienia w ochronie danych osobowych (rozumianej jako element procesu zarządzania bezpieczeństwem informacji) w administracji publicznej
Najczęstsze błędy, niedociągnięcia oraz nieporozumienia wynikające z błędnego rozumienia przepisów dotyczących ochrony danych osobowych oraz innych informacji prawnie chronionych. Model idealny zarządzania bezpieczeństwem informacji w oparciu o normę ISO 27001, dobre praktyki i przepisy prawa.
Maciej Gajewski, Podkarpacki Urząd Wojewódzki w Rzeszowie

OWASP – przepis na bezpieczeństwo aplikacji
Niemalże każda nowa aplikacja jest obecnie tworzona w technologii przeglądarkowej. Przy powszechnym problemie braku świadomości odnośnie zagrożeń dla aplikacji internetowych – zarówno na poziomie kadry zarządzającej, jak również na poziomie programistów – bezpieczeństwo aplikacji stanowi dziś jedno z największych wyzwań i źródeł zagrożeń.
Michał Kurek, OWASP Polska

Wybrane problemy bezpieczeństwa w systemach IT
Wybrane rodzaje zagrożeń oraz podatności: warstwa sieciowa, warstwa aplikacyjna, elementy proceduralno-organizacyjne, zabezpieczenia fizyczne, socjotechnika.
Prezentacje na żywo ilustrujące wybrane zagadnienia: podsłuchiwanie telefonów VoIP, atak na VPN, atak na infrastrukturę WWW, atak na urządzenie sieciowe, atak socjotechniczny. Wybrane metody ochrony systemów IT: elementy analizy ryzyka, testy penetracyjne, monitoring bezpieczeństwa, pomocna literatura oraz materiały on-line.
Michał Sajdak, Securitum

Monitorowanie bezpieczeństwa baz danych – pojedynek SIEM vs DAM
Monitorowanie bezpieczeństwa baz danych, a w zasadzie metod wykorzystania danych w nich zawartych jest wymaganiem wielu standardów czy rekomendacji. W efekcie wiele firm zobowiązanych jest zapewnić taką ochronę. To z kolei sprawia, że muszą odpowiedzieć sobie na proste z pozoru pytanie: “W jaki sposób oraz z wykorzystaniem jakich narzędzi zapewnić efektywny monitoring baz danych?”
Piotr Topór, CompFort Meridian Polska

Wdrożenie normy BS 10012:2009
“Data protection – Specification for a personal informationmanagement system” w oparciu osystem HPMS (Holistic Privacy Management System)
Barbara Pióro, Global Information Security
Marek Pióro, Global Information Security

Warsztaty nt. bezpieczeństwa systemów mobilnych
Android: Reverse Engineering aplikacji z Android Market, mechanizmy bezpieczeństwa w Android i ich omijanie, zabezpieczanie i analiza danych z systemu Android (informatyka śledcza).
iOS: Reverse Engineering aplikacji z AppStore, mechanizmy bezpieczeństwa w iOS i ich omijanie, zabezpieczanie i analiza danych z systemu iOS (informatyka śledcza).

Bring Your Own Device(s)
Standard ISO 27001 charakteryzuje się tym, że zapewne po świecie chodzi więcej ludzi określających się mianem ekspertów w tym zakresie niż tych, którzy go przeczytali i jeszcze zrozumieli.
Aleksander Czarnowski, ISSA Polska
Robert PławiakRobert Pławiak, ISSA Polska

Smartfony i tablety w organizacji, czyli mobilność kontra bezpieczeństwo
Wybrane zagrożenia, na jakie narażają się organizacje, które świadomie bądź nieświadomie dopuszczają do korzystania ze swoich zasobów informatycznych z urządzeń mobilnych, a które nie dostosowały podejścia do zapewnienia bezpieczeństwa w sposób uwzględniający zagrożenia ze strony tych urządzeń.
Artur Maj, Prevenity

Obowiązek zgłaszania naruszeń bezpieczeństwa i jego wpływ na bezpieczeństwo Internetu w Polsce
Najważniejsze przypadki wycieku danych, ich konsekwencje dla internautów i administratorów tych danych. Propozycje legislacyjne dotyczące implementacji obowiązku raportowania naruszeń w Polsce oraz ich porównanie z rozwiązaniami w innych krajach.
Mirosław Maj, Fundacja Bezpieczna Cyberprzestrzeń

Cyberbezpieczeństwo systemów nadzoru infrastruktury krytycznej
Systemy kontroli przemysłowej SCADA stanowią newralgiczny punkt infrastruktury krytycznej ze względu na swoją wagę dla funkcjonowania krytycznych instalacji przy jednoczesnym wysokim poziomie ryzyka wynikającym z podatności systemów przemysłowych i zagrożeń cyberprzestępczością.
Mirosław Ryba, Ernst & Young Business Advisory

Poczucie bezpieczeństwa a poczucie realizmu (red pill vs. blue pill)
Psychologiczne teorie związane z lękiem i potrzebą bezpieczeństwa, w oparciu o studia przypadków związanych z bezpieczeństwem systemów IT.
Wojciech Bojdoł, Secure apps

Computer Security at CERN

CERN, Europejska Organizacja Badań Jądrowych jest jednym z największych i najbardziej szanowanych światowych centrów naukowo-badawczych. Jest to miejsce, w którym światowej sławy Wielki Zderzacz Hadronów (LHC) bada, z czego zbudowany jest Wszechświat i w jaki sposób funkcjonuje. Tysiące fizyków na całym świecie analizują dane z prowadzonych eksperymentów. Zespół Bezpieczeństwa CERN musi odnaleźć punkt równowagi pomiędzy potrzebami środowiska akademickiego, wymogami poszczególnych urządzeń i eksperymentów, a bezpieczeństwem IT.
Wojciech ŁapkaWojciech Łapka, CERN, European Organization for Nuclear Research

Rozmowa kontrolowana, czyli kilka słów o podsłuchach i bilingach
Oficjalne metody inwigilacji obywateli oraz możliwości obywateli unikania bycia inwigilowanym. Świat podsłuchów z perspektywy służb, operatora telekomunikacyjnego i zwykłego klienta.
Adam Haertle, UPC Polska

Automatyczny reset hasła z użyciem biometrii głosowej
Bezpieczeństwo, wygoda i oszczędność kosztów operacyjnych, dzięki wykorzystaniu uwierzytelniania głosowego użytkowników usług. Biometria głosowa jest jedną z bezpieczniejszych i łatwych w masowych zastosowaniach metodą identyfikacji i uwierzytelniania użytkowników. Biorąc pod uwagę powszechne użycie telefonów za pośrednictwem których użytkownik może skorzystać z systemu, praktycznie nie istnieje potrzeba inwestycji w dodatkowy specjalistyczny sprzęt, a użytkownik zyskuje wygodę korzystania z własnego głosu jako zabezpieczenia.
Zbigniew Marcinkowski, Algotech Polska

Privacy issues in the Internet
Generally IT security deals with the basics, networking, firewall, virus scanners and so on – but what about targets that these can’t catch? Users happily hand over detailed information to third parties for the promise of having a complete online profile, becoming a 'mayor' or some other trivial virtual badge. This trend is further alarming when the question of long term storage of said data is raised; what can be done with it if it fell into the wrong hands? Companies aims are first to make a profit, then to address things like privacy and security, but only after they’re called out on it, so we can expect bad things to happen before best practices are adopted. This backwards way of thinking about security undermines most of what we work to provide; a safe environment that holds attacks at bay for the users. In this talk I’ll discuss the numerous issues we deal with today, as well as some ways forward that will allow us to keep control of our data, even when it’s not on our systems.
Phil Cryer

Application Level Distributed Denial of Service Attacks Exploits and Defense
Denial of Service attacks have evolved greatly over time from very simple packet based floods to complex attacks that exploit the application level logic of victim networks and systems. Contemporary countermeasures against traditional packet based and exploit based attacks proof to be ineffective against this class of DoS, because it neither relies on massive packet floods, or specific exploits that can be detected with pattern matching or traditional heuristics.
Brad Woodberg, Juniper Networks

Solvency II oraz wpływ Solvency na IT
Marcin FedorMarcin Fedor, AXA Polska

Information Security for SMEs: An Alternative Approach
Small and medium businesses comprise the majority of the world’s economies, but usually operate with a bare minimum of security controls – if they think about security at all. Most small business owners have too many problems at hand, and too much to do just to keep things running, to try to come to terms with something as difficult to understand as information security. And so they don’t do anything about it – until disaster strikes.
Gabe Chomic, ISSA UK

System zarządzania bezpieczeństwem Informacji Data Center, jako aspekt systemu zarządzania ciągłością działania klienta Data Center
Coraz popularniejszym zagadnieniem w zakresie bezpieczeństwa informacji jest świadczona przez wyspecjalizowane firmy, tzw. Data Center, usługa Cloud Computing. Menedżerowie wielu firm zastanawiają się jakie oszczędności poczynią kolokując dane i aplikacje swojej firmy na zewnątrz.
Przemysław Bańko, 2Business Consulting Group

Czy bezpieczeństwo IT można zmierzyć?
Do sprawnego zarządzania bezpieczeństwem informacji w firmach niezbędne jest monitorowanie bezpieczeństwa. Z kolei skuteczne monitorowanie bezpieczeństwa jest trudne bez możliwości jego zmierzenia.
Janusz Żmudziński, Asseco Poland

Stopnie dojrzałości zarządzania bezpieczeństwem informacji w administracji publicznej
Dojrzałość organizacji do wdrożenia SZBI na przykładzie Zakładu Ubezpieczeń Społecznych, a stopnie dojrzałości zarządzania bezpieczeństwem informacji wg ISACA. Zarządzanie ryzykiem jako główny motor napędzający zarządzanie bezpieczeństwem informacji – najlepsze praktyki.
Małgorzata Michniewicz, Zakład Ubezpieczeń Społecznych

Zarządzanie kryzysowe w instytucji finansowej – ludzie i technologia
Praktyczne aspekty związane z odpowiedzią organizacji na incydent oraz zarządzaniem kryzysowym w środowisku biznesowym. Wdrożenie procesów pozwalających na skuteczną reakcją w momencie powstania incydentu, mechanizmy eskalacji incydentów z poziomu “business as usual” na poziom zarządzania ciągłością działania oraz komunikację wewnątrz i na zewnątrz organizacji.
Krzysztof Pulkiewicz, BCPguide.com

Ograniczenie ryzyka nadużycia w firmie poprzez rozdział obowiązków w systemie ERP – studium przypadku
Ryzyka związane z niewłaściwym rozdziałem obowiązków użytkowników w systemach klasy ERP. Najlepsze praktyki stosowane w tym zakresie, a także częste błędy popełniane przy wprowadzaniu i wdrażaniu rozwiązań IT w obszarze rozdziału obowiązków. Praktyczne podejście do tworzenia bezpiecznej architektury ról na przykładzie projektu zrealizowanego dla systemu SAP.
Filip Nowak, GRC Advisory
Andrzej Partyka, GRC Advisory

Zapobieganie niedostępności usług IT poprzez automatyzację procesu zarządzania zmianami i optymalizację konfiguracji
Najczęstszą przyczyną utraty dostępności usług IT są błędy ludzi występujące w trakcie wprowadzania zmian. Najskuteczniejszą metodą uniezależnienia się od słabości czynnika ludzkiego jest zastosowanie narzędzi, które określone czynności wykonują zamiast człowieka oraz kontrolują pracę ludzi.
Mariusz Stawowski, ISSA Polska

Nowe trendy i dobre praktyki w zarządzaniu kryzysowym
Najlepsze praktyki w zakresie efektywnego zarządzania incydentami oraz sytuacjami kryzysowymi. Sposoby formowania zespołu oraz opracowania planu zarządzania incydentami, metody i kryteria oceny wpływu oraz szacowania skutków incydentów. Studia przypadków, które mają na celu wskazanie dobrych i złych praktyk w zarządzaniu rzeczywistymi sytuacjami kryzysowymi.
Marcin Marczewski, Resilia
Konrad Roziewski, Resilia

Jak rozwiać ciemne chmury nad naszymi autostradami, czyli cloud computing a zarządzanie robotami budowlanymi
Zastosowanie efektywnych i bezpiecznych informatycznych systemów zarządzania informacją w biurach dużych budów. Możliwości, jakie daje w tym zakresie cloud computing. Zagadnienia zaangażowania audytorów systemów IT w branży budowlanej.
Jakub Białachowski, B-Act

Szacowanie ryzyk związanych z bezpieczeństwem informacji w dużych organizacjach

Szacowanie ryzyka zgodnie w tycznymi normy ISO 27001 w większych organizacjach może być procesem bardzo złożonym i czasochłonnym. Aby ograniczyć czas i koszty takiego przedsięwzięcia można zastosować podejście polegające na wyodrębnieniu najistotniejszych obszarów i ograniczenie do nich szczegółowej analizy. Jako alternatywne podejście zgodne z wytycznymi normy ISO 27001 proponujemy zastosowanie metody opartej o pełną inwentaryzację zasobów przetwarzania danych i zastosowanie szablonów wpływu kategorii zagrożeń na poszczególne kategorie zasobów.
Arkadiusz Agaciak, Wyższa Szkoła Bankowa w Poznaniu

Business Continuity – keep it simple
Ciągłość działania jest często postrzegana jako produkcja skomplikowanych planów na wydumane przypadki.Czemu firmy powtarzają wciąż te same błędy, skoro BCP jest takie proste i logiczne? Jak spowodować żeby plany były krótkie, wykonywalne i adekwatne do zagrożeń? Co zrobić, żeby Business Continuity Planning stało się Business Continuity Management?
Paweł Chojnowski, Lufthansa Systems Poland

Business Continuity Planning – real life examples of how important it is to be prepared
1. Business Continuity Planning model implemented in Hewlett Packard Global Business Services business model.
2. What to do before, during and after a disaster event to recover key business processes in an efficient and timely manner.
3. BCP testing to raise awareness, increase organizational confidence and improve the continuity plans.
4. Real life examples of invoking Business Continuity Plans for crisis scenarios.
Grzegorz Jarosiński, Hewlett Packard