Sreda, 20. septembra 2023

Vsa predavanja bodo potekala v angleškem jeziku.

8.30–9.00	Registracija
9.00–9.10	Uvodni nagovor mag. Maja Hmelak
9.10–9.20	Nagovor direktorja in podelitev nazivov PRIS dr. Marjan Odar
9.20–10.05	V korak z digitalno preobrazbo – povečanje zmogljivosti vseh revizorjev Alvar Nouakas
10.05–10.50	Superračunalništvo in kvantno računalništvo: trenutno stanje in pričakovanja za naprej prof. dr. Janez Povh
10.50–11.10	Odmor za osvežitev
11.10–11.55	Prizadevanja Agencije Eurospke unije za varnost omrežji z informacijami (ENISA) za opredeljevanje obstoječih in novih kibernetskih groženj dr. Apostolos Malatras
11.55–12.25	Novosti v EU zakonodaji Jaka Kosmač
12.25–13.40	Odmor za kosilo
13.40–14.05	Umetna inteligenca – kje smo v letu 2023 mag. Maja Hmelak
14.05–14.50	EU smernice AIA prof. Rolf von Roessing
14.50–15.10	Odmor za osvežitev
15.10–15.55	Forenzični problemi zaradi zlorab umetne inteligence in globoki ponaredki, ki jih ustvarja dr. Igor Belič
15.55–16.25	Umetna inteligenca in projekti v SVN Mitja Trampuž
16.25–16.55	Umetna inteligenca in kibernetska varnost mag. Dalibor Vuković
18.00	Kozarec penine na Jasni
19.00	Večerja in zabava z DJ

 

Četrtek, 21. septembra 2023

 

8.30–9.15	Evropska strategija za podatke: regulatorni okvir upravljanja s podatki Ruti Rous in Alenka Blas
9.15–9.45	Pregled in testiranje kibernetske varnosti – naveza etičnega hekerja in revizorja Boštjan Špehonja in Tevž Delak
9.45–10.30	Izkušnje poslovodstva ob in po kibernetskem napadu mag. Mateja Praprotnik
10.30–11.00	Odmor za osvežitev
11.00–11.30	Revidiranje zunanjih izvajalcev na področju informacijske tehnologije Uroš Žust in Jaka Borišek
11.30–12.00	Revidiranje dobavnih verig Marko Jagodic
12.00–12.30	Pogodbeni (zunanji) razvijalci aplikacijske programske opreme – koristi in tveganja Igor Karnet
12.30–13.45	Odmor za kosilo
13.45–14.15	Revidiranje elektronske hrambe dokumentov Matjaž Štiglic
14.15–14.45	Revidiranje oblakov Matjaž Pušnik
14.45–15.15	Revizija virtualizacije mikrostoritev z vsebniki in orkestracijo Kubernetes dr. Boštjan Kežmah
15.15–15.45	Novosti standardov ISO/IEC 27001:2022 in ISO/IEC 27002:2022 Mladen Terčelj
15.45–15.55	Zaključek konference mag. Maja Hmelak

V koraku z digitalno preobrazbo – povečanje zmogljivosti vseh revizorjev

Vsi sodobni revizorji se soočajo z izzivom revidiranja informacijskih sistemov. To pa zahteva povečan nabor veščin strokovnjakov, ki se usmerjajo na področja finančnega revidiranja ali revidiranja uspešnosti poslovanja. Pri revizijah vrhovne revizijske institucije se vedno pogosteje srečujemo s t. i. celovitimi revizijami, ki dajejo vpogled v izbrano posebno področje in ocenjujejo uspešnost ali skladnost tehnologije za obdelavo informacij z veljavnimi standardi. V predstavitvi bomo proučili nekaj primerov iz dela vrhovnih revizijskih institucij in si ogledali pobude delovne skupine za informacijsko tehnologijo pri Evropski organizaciji vrhovnih revizijskih institucij (EUROSAI) za dvig usposobljenosti revizorjev, razkrili pa tudi načrte za bližnjo prihodnost. Omenili bomo nekaj praktičnih orodij in okvirov.

 

Alvar Nõuakas je pooblaščeni revizor informacijske tehnologije z več kot osemletnimi revizijskimi izkušnjami v estonskem državnem revizijskem uradu (Estonian National Audit Office). Potem ko je Estonija leta 2020 prevzela vodenje delovne skupine za informacijsko tehnologijo pri Evropski organizaciji vrhovnih revizijskih institucij (EUROSAI), je delal kot vodja sekretariata in vodil skupne napore 43 včlanjenih ustanov za dvig usposobljenosti evropskih revizorjev in razvoj orodij, ki podpirajo njihovo delo. V zadnjih treh letih je v svojem uradu vodil tudi večje projekte za analitiko podatkov, vključevanje umetne inteligence v revizijski proces, uporabo masovnih podatkov pri revizijah uspešnosti poslovanja in računovodskih izkazov ter robotsko avtomatizacijo procesov (RPA) za avtomatiziran proces finančnega spremljanja in revidiranja. Uvaja strategijo podatkovne analitike, ki jo je izoblikoval, in poskuša med svojimi kolegi pospeševati podatkovno usmerjeno razmišljanje. Alvar Nõuakas je tudi strokovnjak/izvedenec za javno upravo in lokalne skupnosti s približno desetletnimi delovnimi izkušnjami na tem področju.

 

Superračunalništvo in kvantno računalništvo: trenutno stanje in pričakovanja za naprej

Superračunalništvo in kvantno računalništvo sta visokotehnološki področji, ki obetata prelomne spremembe na svetovnem računalniškem trgu, še posebej na področju razvoja in izdelovanja strojne in programske opreme. Razvite države in velike multinacionalke vlagajo obsežna sredstva v ta področja, kar se že kaže v pomembnih dosežkih v praksi.

V predavanju bomo pojasnili temeljne principe obeh tehnologij in osvetlili napredek, dosežen v zadnjih letih na področju razvoja obeh tehnologij. Pojasnili bomo, kaj te nove tehnologije prinašajo družbi, in nakazali pričakovani razvoj v naslednjih letih.

 

Prof. dr. Janez Povh je doktoriral iz matematike in se ukvarja z računsko intenzivni metodami ter uporabo teh metod v inženirstvu. v družboslovju in v podatkovnih znanosti. Pri svojem delu naravno potrebuje najmočnejšo računsko infrastrukturo, torej superračunalnike in kvantne računalnike.

Objavil je okrog 50 izvirnih člankov v revijah s faktorjem vpliva, tudi v reviji Nature. 

Od septembra 2022 je direktor javnega raziskovalnega zavoda Rudolfovo - Znanstveno in tehnološko središče Novo mesto, ki ima med svojimi raziskovalnimi usmeritvami tudi superračunalništvo in kvantno računalništvo, ostaja pa še profesor za področje matematike v uporabi na Univerzi v Ljubljani in na Fakulteti za informacijske študije v Novem mestu.

ENISA's efforts to map the current and emerging treat landscape

Dr. Apostolos Malatras je vodja skupine za znanje in informacije (Knowledge and Information Team) pri Agenciji Evropske unije za varnost omrežij in informacij (ENISA), kjer je zadolžen za kibernetsko varnost novih/nastajajočih tehnologij, kibernetske grožnje in predvidevanje. Strokovnjak/izvedenec za kibernetsko varnost je pri agenciji ENISA odgovoren za številne projekte, kot so umetna inteligenca, internet stvari, industrija 4.0 in pametna mobilnost. Z več kot 15 leti dela v panogi, znanstvenim delom in pri Evropski komisiji ima širok razpon izkušenj z upravljanjem in varovanjem omrežnih infrastruktur ter s tem povezanih inteligentnih naprav. Je avtor in soavtor več kot 60 raziskovalnih člankov in znanstvenih poročil, redno pa tudi predava na raznih mednarodnih forumih.

Novosti v EU-ju na področju kibernetske varnosti: od NIS 2 do kibernetske solidarnosti

(EU Cyber Security Update: From NIS 2 to Cyber Solidarity)

Direktiva o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (NIS) je bila prvi akt, ki je področje kibernetske varnosti urejal na ravni EU-ja. Akt je bil šest let kasneje posodobljen (NIS 2), s čimer je EU želel dodatno izboljšati kibernetsko odpornost in odzivnost javnega in zasebnega sektorja ter EU-ja kot celote. Z NIS 2 je tudi uradno vzpostavljena evropska organizacijska mreža za povezovanje v kibernetski krizi (EU-CyCLONe), ki podpira usklajeno upravljanje velikih kibernetskih incidentov. Direktiva poleg tega razširja seznam zavezancev in jih deli na bistvene in pomembne subjekte. V skladu z direktivo NIS 2 bodo organizacije dolžne o varnostnih incidentih poročati v 24 urah ter v enem mesecu o incidentu in vzroku ter vpeljanih in načrtovanih ukrepih za odpravljanje tveganj. Direktiva NIS 2 grozi tudi z visokimi globami. Zakonodajne aktivnosti EU-ja na področju zagotavljanja varnega in odpornega kibernetskega prostora se nadaljujejo v letu 2023, in sicer je aprila Evropska komisija sprejela predlog akta EU-ja o kibernetski solidarnosti z namenom okrepitve zmogljivosti v EU-ju za odkrivanje pomembnih in obsežnih kibernetskih groženj in napadov ter odzivanje nanje. Predlog vsebuje tudi evropski kibernetski ščit, ki ga bodo sestavljali centri za varnostne operacije po vsem EU-ju, združeni v več večdržavnih platform SOC. Zadolžen bo za izboljšanje odkrivanja, analize in odzivanja na kibernetske grožnje.

 

Jaka Kosmač, univerzitetni diplomirani pravnik s pravniškim državnim izpitom in državni revizor, se je po diplomi zaposlil na Združenju občin Slovenije, kjer je sodeloval pri izvajanju revizij Skupne notranje revizijske službe ter pomagal pri organizaciji izobraževanj, srečanj in dogodkov. Kariero je nadaljeval na Komisiji za preprečevanje korupcije, kjer je delo začel kot svetovalec za preventivo in integriteto, kasneje pa je napredoval v vodjo projektov za integriteto, eno leto je vodil tudi področje mednarodnega sodelovanja. Na področju boja proti korupciji je večkrat sodeloval z Organizacijo za gospodarsko sodelovanje in razvoj (OECD). Računskemu sodišču se je pridružil leta 2015, in sicer oddelku za revizije smotrnosti poslovanja. V okviru nalog na Računskem sodišču je sodeloval pri zelo raznolikih revizijah smotrnosti, in sicer od okoljskih do revizij IT-ja. Od leta 2021 je vodja informacijske varnosti na Računskem sodišču. V letih 2020 in 2022 je predaval na seminarjih, ki jih je na temo revizij IT-ja organiziral Center of Excellence in Finance. Večkrat je že sodeloval na Mednarodni konferenci o revidiranju in kontroli informacijskih sistemov v organizaciji Slovenskega inštituta za revizijo.

Umetna inteligenca – kje smo v letu 2023

Razvoj področja umetne inteligence v letu 2022 in 2023 je bil vrtoglavo hiter. Ker je na letošnji konferenci vrsta z umetno inteligenco povezanih tem, smo v uvodni del vključili kratek povzetek ključnih trendov, ki so zaznamovali leto 2023. Spoznali bomo:

• tehnologije, ki so omogočile razvoj najbolj razširjenih modelov umetne inteligence;
• glavne igralce na trgu storitev umetne inteligence in njihove ključne izdelke;
• storitve, ki jih omogočajo najbolj razširjeni modeli umetne inteligence;
• napovedi sprememb, ki jih bo uporaba teh storitev prinesla v gospodarstvo in širšo družbo;
• nekatere napovedi sprememb, ki jih bodo modeli umetne inteligence prinesli na področje revidiranja.

Prispevek bo namenjen predvsem seznanjanju udeležencev konference s ključnimi novostmi, ki jim bodo pomagale razumeti kontekst kompleksnejših predavanj v nadaljevanju.

 

Mag. Maja Hmelak, PRIS, CISA, CIA, je strokovna sodelavka na Računskem sodišču Republike Slovenije in predsednica Sekcije preizkušenih notranjih revizorjev pri Slovenskem inštitutu za revizijo. Njeno posebno strokovno področje so revizije učinkovitosti, uspešnosti in gospodarnosti delovanja informacijskih tehnologij ter revizije informacijskih tehnologij v okviru notranjerevizijskih poslov.

EU smernice in AIA

Prof. Rolf von Roessing ima dolgoletne izkušnje iz poslovanja in ekonomije z močnim poudarkom na informacijski tehnologiji. Poleg različnih mednarodnih diplom ima tudi več strokovnih nazivov in velja za pomembnega izvedenca v svetovnem merilu. Z več kot 25 leti strokovnih izkušenj na vodilnih in svetovalnih položajih ima znanje in izkušnje na področju upravljanja, tveganj in skladnosti (GRC), pa tudi varnosti in neprekinjenega poslovanja ter kriznega upravljanja. Že leta 2008 je bil predsednik in izvršilni direktor družbe Forfa Holding AG, leta 2017 pa je kot partner prevzel vodenje novoustanovljene svetovalne družbe Forfa Consulting AG. Pred tem je bil med drugim več let partner pri KPMG-ju, izkušnje pa si je nabiral tudi kot direktor pri revizijski hiši Ernst & Young. Član ISACA je od leta 1997 in bil je tudi predsednik tega združenja. Poleg tega je častni profesor na Donavski univerzi v Kremsu.

Forenzični problemi zaradi zlorabe umetne inteligence in globoki ponaredki, ki jih ustvarja

Umetna inteligenca in globoki ponaredek sta dve strani istega kovanca; umetna inteligenca je orodje, globoki ponaredek pa izdelek. Globoki ponaredek se nanaša na nekaj namišljenega, to je na nekaj, kar se ni zgodilo, vendar je tako realno, da je skoraj nemogoče reči, ali je resnično ali ne. To je neposreden ponaredek resničnosti. Sorazmerno lahko ga je narediti, izredno težko pa dokazati, kaj je ponaredek in kaj ni. Na področju digitalne forenzike predstavlja resnično grožnjo, da digitalnim dokazom ni več mogoče zaupati. Tehnologije so prvotno ustvarjali za zabavo, igranje, filme in oglaševanje. Glede na širok razpon uporabnih možnosti pa je težko prezreti, kako je te inovativne tehnologije mogoče uporabiti za goljufanje. Za zdaj se zdi, da je umetna inteligenca, ki se uporablja za ustvarjanje globokih ponaredkov, lahko tudi orodje za njihovo odkrivanje. Naša dolžnost je, da pomagamo ustaviti širjenje dezinformacij zaradi zlorab teh tehnologij, in to tako, da se učimo prepoznavati, kaj je resnično in kaj ne.

 

Dr. Igor Belič je doktoriral na Fakulteti za elektrotehniko Univerze v Ljubljani. Bil je docent za tehnično informatiko na Fakulteti za varnostne študije Univerze v Mariboru. Delal je na Inštitutu za kovinske materiale in tehnologije ter na mednarodni podiplomski šoli Instituta Jožef Stefan, oboje v Ljubljani. Sedaj dela na Inštitutu za forenziko informacijskih tehnologij v Ljubljani. Njegovo delo se v glavnem osredotoča na avtomatizacijo procesov in raziskavo modeliranja nevronskih mrež.

Umetna inteligenca in projekti v Sloveniji

Umetna inteligenca (UI) revolucionarno spreminja način delovanja vsake ravni organizacije. To je tehnologija močne preobrazbe, vendar ostaja poslovno sprejemanje pobud umetne inteligence izziv za povprečno organizacijo. Štirje bistveni stebri za uspešno uvajanje umetne inteligence so kultura podjetja, človeški viri oziroma talenti, podatki in infrastruktura. Za uspešen sprejem umetne inteligence je izredno pomembno ustvariti trden poslovni primer. Odločilno je sestavljanje pravih veščin, tehnologij in virov, prav tako pa tudi izbira primernega primera uporabe. 

 

Mitja Trampuž se že desetletja ukvarja z digitalnim preoblikovanjem v različnih organizacijah. Eden prvih takih projektov je bilo uvajanje elektronskega bančništva v slovenskih bankah v devetdesetih letih prejšnjega stoletja. V zadnjih letih se posveča uveljavljanju in pospeševanju uvajanja umetne inteligence v podjetja v podporo poslovnim procesom, izdelkom in storitvam. Je direktor družb CREAplus in CREApro ter prvi predsednik pobude ai4si i – umetna inteligenca za Slovenijo, ki deluje kot del Združenja za informatiko in telekomunikacije pri Gospodarski zbornici Slovenije. Vodič uvajanja umetne inteligence v mala in srednja podjetja v Sloveniji, ki ga je pripravil, je namenjen direktorjem, ki si želijo uvajati umetno inteligenco in potrebujejo vodenje.

Umetna inteligenca in kibernetska varnost

Ker tehnologija umetne inteligence še naprej napreduje, jo kibernetski kriminalci lahko uporabljajo za izvajanje bolj sofisticiranih napadov, ki jih je težje odkriti in se pred njimi ubraniti. Napadi, ki jih poganja umetna inteligenca, lahko vključujejo:

• avtomatizirane napade – kibernetski kriminalci lahko uporabljajo umetno inteligenco za avtomatizacijo napadov, kot so lažno predstavljanje ali distribucija zlonamerne programske opreme, zaradi česar so učinkovitejši in jih je težje odkriti;
• inteligentno izogibanje – napadalci lahko uporabljajo umetno inteligenco, da se izognejo odkrivanju, tako da se učijo iz prejšnjih napadov in prilagodijo svoje taktike;
• globoki ponaredki, t. i. deepfakes – umetna inteligenca se lahko uporablja za ustvarjanje prepričljivih globokih ponaredkov, kot so videoposnetki ali slike, ki so bili spremenjeni, da bi prikazali nekaj, kar se v resnici ni zgodilo. Ti se lahko uporabljajo za propagando, socialni inženiring ali za lažno predstavljanje posameznikov.

Za boj proti tem grožnjam morajo biti strokovnjaki za kibernetsko varnost obveščeni o razvoju umetne inteligence in sami uporabljati umetno inteligenco za krepitev svoje obrambe. Na predavanju bodo slušatelji imeli priložnost v živo videti izvedbo kibernetskega napada s pomočjo umetne inteligence in tudi zaščito pred njim.

 

Dalibor Vukovič je doktorand kibernetske varnosti z več mednarodno priznanimi certifikati. Ima več kot 20 let delovnih izkušenj v sektorju IKT-ja. Ukvarja se z razvojem in implementacijo novih varnostnih produktov tako v zasebnem kot javnem sektorju, vključujoč največje delovne organizacije, kritično infrastrukturo in državne institucije. Je avtor več člankov in prispevkov na strokovnih konferencah in predavatelj s področja kibernetske varnosti. Raziskovalno se ukvarja z metodologijo OSINT in napovedovanjem kibernetskih napadov.

Evropska strategija za podatke: regulatorni okvir upravljanja s podatki

Evropska strategija za podatke (European Data Strategy) je obsežen načrt Evropske komisije za vzpostavitev enotnega evropskega podatkovnega prostora, ki naj bi omogočal prosto in varno izmenjavo podatkov ter s tem spodbudil inovacije in gospodarsko rast v Evropi.

Katere priložnosti in izzive strategija prinaša za področje revizije informacijskih sistemov in kakšen je pomen strategije za prihodnji znanstveni in gospodarski razvoj? Govorili bomo o že sprejetih Aktu o upravljanju podatkov, Aktu o digitalnih trgih in Aktu o digitalnih storitvah, pa tudi o predvidenih Aktu o podatkih in Aktu o interoperabilni Evropi. Posebno pozornost bomo namenili tudi njihovemu razmerju do drugih evropskih aktov s področja podatkov, kot so GDPR, NIS 2 in AIA.

 

Alenka Blas, Računsko sodišče Republike Slovenije, pravnica in državna revizorka, je po študiju kot pravna svetovalka domačim in tujim družbam v zasebnem sektorju pridobila izkušnje s področja korporacijskega in statusnega prava, organizacijske veščine pa izpopolnjevala pri delu za Zbornico za management consulting Slovenije. Kot državna revizorka se zadnjih osem let ukvarja z revizijami smotrnosti, med drugim s področja porabe javnih sredstev za sanacijo slovenskega bančnega sistema (poslovanje DUTB-ja in nadzorstvena funkcija Banke Slovenije) ter poslovanja gospodarskih družb v državni lasti, v zadnjem času pa tudi s področja informacijskih sistemov.

 

Ruti Rous, Računsko sodišče Republike Slovenije, pravnica in državna revizorka, se ukvarja zlasti z revizijami smotrnosti poslovanja, kot pravni del ekipe pa pogosto sodeluje pri izvajanju revizij informacijskih tehnologij. Njeno posebno strokovno področje so pogodbe za pridobivanje informacijskih storitev in sistemov.

Pregled in testiranje kibernetske varnosti – naveza etičnega hekerja in revizorja

Predavatelja bosta predstavila vsebino okvira CIS controls v8. CIS Critical Security Controls so prednostno razvrščeni zaščitni ukrepi za ublažitev najpogostejših kibernetskih napadov na sisteme in omrežja. Na primeru iz prakse bomo pregledali izvajanje pregleda skladnosti, v sklopu katerega bomo prikazali testiranje posameznih kontrol, ki jih izvajajo revizorji in etični hekerji.

 

Tevž Delak je menedžer v podjetju MAZARS IT, d. o. o., in ima več kot 15 let izkušenj na področju revizije informacijskih sistemov, informacijske varnosti, kibernetske varnosti, upravljanja varstva osebnih podatkov, upravljanja tveganj, upravljanja neprekinjenega poslovanja, upravljanja storitev IT-ja in projektnega vodenja. V 15 letih delovanja na področju upravljanja in varovanja I&T je izvajal svetovalne in revizijske storitve v različnih industrijah, predvsem za finančni in storitveni sektor. V karieri je pridobil certifikate Certified Information Systems Auditor (CISA), Certified Data Privacy Soulutions Engineer (CDPSE), PRINCE2 Foundation, ITIL4 Foundation Certificate in je notranji presojevalec sistema upravljanja neprekinjenega poslovanja.

 

Boštjan Špehonja je višji svetovalec za informacijsko varnost, etični heker in direktor podjetja GO-LIX, d. o. o., z več mednarodno priznanimi certifikati na področju etičnega hekanja (Certified Ethical Hacker – Master, Certified Network Defense Arcihtect, Security+, CEH Practical, CASP+, CySA+). Ima bogate in raznolike izkušnje, saj mu je pregled svoje informacijsko-komunikacijske tehnologije zaupalo že več sto organizacij, med drugim podjetja s kritično infrastrukturo, banke, zavarovalnice, ministrstva. Izvaja tudi izobraževanja in delavnice o varni uporabi interneta in etičnem hekanju. Predaval je na vseh največjih domačih konferencah o informacijski varnosti. Je soustanovitelj fundacije SICEH (Slovenian Certified Ethical Hackers) ter gostujoči strokovnjak na Univerzi v Mariboru in predavatelj na Gea Collegeu. Leta 2018 je odkril ranljivost na uradni strani podjetja Microsoft in za to pridobil omembo na spletni strani Security Researcher Acknowledgments for Microsoft Online Services. Leta 2020 mu je mednarodno uveljavljena organizacija EC-Council kot prvemu v Sloveniji podelila certifikat CEH Master in ga na svoji spletni strani uvrstila v rubriko Global Ethical Hacking Leaderboard.

Revidiranje zunanjih izvajalcev storitev na področju informacijske tehnologije

Revizija dobaviteljev in zunanjih izvajalcev storitev predstavlja proces ocenjevanja in preverjanja delovanja, skladnosti in upravljanja tveganj posameznega dobavitelja ali zunanjega izvajalca storitev. Ta postopek lahko vključuje ocenjevanje finančne stabilnosti dobavitelja ali zunanjega izvajalca storitev, njegovih notranjih procesov, kontrole kakovosti, skladnosti z zakonskimi in regulativnimi zahtevami itd. Cilj tovrstne revizije je zagotoviti, da dobavitelji in zunanji izvajalci izpolnjujejo pričakovanja, dogovore in standarde organizacije, s katero sodelujejo, ter zanjo ne predstavljajo ali povzročajo nesprejemljivih tveganj.

 

Uroš Žust je partner v oddelku dajanja zagotovil in svetovanja na področju IT-ja v podjetju Mazars IT, d. o. o. Ima več kot 18 let izkušenj iz revizije informacijskih sistemov, kibernetske varnosti, varnostnih pregledov, upravljanja tveganj, korporativnega upravljanja in zagotavljanja skladnosti v širokem spektru industrij tako v Evropi kot v ZDA, kjer je živel pet let in se specializiral za revizije po standardih PCAOB ter kibernetsko varnost v finančnem in igralniškem sektorju. Uroš je diplomiran ekonomist (smer Poslovna informatika) na Ekonomski fakulteti Univerze v Ljubljani, pridobil pa je še nazive preizkušeni revizor informacijskih sistemov (PRIS) pri Slovenskem inštitutu za revizijo, Certified Information Systems Auditor (CISA) ter Certified Information Security Manager (CISM) pri ISACA, pa tudi Certified Information System Security Professional (CISSP) pri ISC2 in Project Management Professional (PMP) pri PMI. Hkrati je akreditirani trener izobraževanj za certifikate CISA in CISM pri ISACA.

 

Jaka Borišek je vodja projektov v oddelku dajanja zagotovil in svetovanja na področju IT-ja v podjetju Mazars IT, d. o. o. Ima pet let izkušenj na področjih revizije informacijskih sistemov, pregledov skladnosti, svetovanja na področju informacijske in kibernetske varnosti ter tehnološkega in finančnega svetovanja, ki jih je pridobival s sodelovanjem s podjetji javnega in zasebnega sektorja v Sloveniji in na Hrvaškem. Pridobil je certifikate Microsoft Azure Fundamentals, Microsoft Security, Compliance and Identity Fundamentals, Microsoft Azure Data Fundamentals in Microsoft 365 Fundamentals.

Revidiranje dobavnih verig

Poznamo zamude pri dobavah končnih izdelkov zaradi prekinjenih dobavnih verig, ko je ladja blokirala Sueški prekop kot eno pomembnejših transportnih poti, ali med pandemijo, ko so zamujale dobave avtomobilov, ker zaradi bolezni proizvajalci niso mogli pravočasno zagotoviti dovolj čipov. Kje pa je v dobavnih verigah delo za revizorja IT-ja? Prispevek izpostavlja nekatere dodatne poudarke oziroma tveganja in ukrepe, ki jih je poleg kibernetske varnosti treba upoštevati pri zagotavljanju odpornosti in neprekinjenosti dobavnih verig, v primerjavi z revidiranjem posameznih zunanjih izvajalcev.

 

Marko Jagodic se v podjetju VRIS, d. o. o., v katerem je direktor in solastnik, ukvarja predvsem z revizijo informacijskih sistemov in svetovanjem pri projektih v zvezi z IT-jem; je tudi izvajalec ključne funkcije skladnosti v zavarovalnici, posebej ga zanima upravljanje tveganj. Imetnik nazivov ISACA CISA in CRISC ter SIR PRIS je bil mladi raziskovalec in asistent na Fakulteti za elektrotehniko, kasneje pa zaposlen na vodilnih in svetovalnih mestih v finančnem posredništvu (direktor borznoposredniške družbe, vodja projekta ustanovitve borznoposredniške družbe in izvršni direktor področja upravljanja premoženja, svetovalec uprave …) ter pri razvoju programske opreme za borznoposredniške družbe in družbe za upravljanje (svetovalec generalnega direktorja in direktor podjetja), pa tudi član več nadzornih svetov. Skupaj ima več kot 30 let izkušenj, od tega več kot 20 let z organizacijo, tehnologijo, vodenjem poslovanja in projektov v finančnih storitvah ter pri razvoju programske opreme zanje, zadnjih 14 let tudi z revizijo informacijskih sistemov. Bil je predavatelj na pripravljalnem seminarju za pridobitev naziva ISACA CRISC, zasedal je več funkcij v upravnem odboru Slovenskega odseka ISACA in odboru sekcije PRIS pri Slovenskem inštitutu za revizijo.

Pogodbeni razvijalci aplikacijske programske opreme – koristi in tveganja

Organizacije pogosto uporabljajo storitve zunanjih – pogodbenih razvijalcev aplikacijske programske opreme, saj je veliko potencialnih koristi take odločitve: od manjše začetne naložbe v opremo in človeške vire, lažjega dostopa do novih tehnologij, tehničnih, projektnih in organizacijskih znanj in izkušenj idr. do posledično hitrejšega zagotavljanja novih storitev z manjšimi operativnimi stroški ob manjših tveganjih. Vendar praksa kaže, da so koristi v zelo številnih primerih bistveno manjše, težave, povezane z razvojem aplikacijske programske opreme, pa bistveno večje, in tudi tveganja pogosto občutno večja, kot je bilo pričakovano. Pojasnjeno bo, zakaj so neželene situacije tako pogoste, zakaj in kako se jim izogniti. Izpostavljeni bodo večkrat prezrti vzroki in razlogi, da delni ali v celoti zunanji razvoj aplikacijske programske opreme ne prinaša pričakovanih koristi – tako s časovnega kot tudi s stroškovnega in funkcionalnega vidika.

 

Igor Karnet je bil številna leta revizor informacijskih sistemov, pred tem pa razvijalec aplikacijske programske opreme. Ima bogate izkušnje na področju sodelovanja, vodenja, spremljave in nadziranja raznih projektov internega in zunanjega razvoja aplikacijske programske opreme in njegovega vzdrževanja. Aktivno sodeluje pri celotnem procesu od ugotavljanja uporabniških zahtev, priprave javnega razpisa, izbire zunanjega izvajalca, zunanjega razvoja aplikacijske programske opreme do njegovega vzdrževanja – skrbništvo pogodb z zunanjimi izvajalci.

Revidiranje elektronske hrambe dokumentov

Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA) ureja pravno ureditev celotnega področja elektronske hrambe, ki je z leti čedalje pomembnejše. Vse več organizacij želi svoje dokumente hraniti elektronsko, kar omogoča prihranek virov pri upravljanju papirne dokumentacije. Hkrati organizacije pričakujejo pravno veljavnost svojih elektronsko shranjenih dokumentov v obdobju njihove hrambe. Revizorji z rednimi pregledi elektronske hrambe so tako izjemno pomemben institut zagotavljanja varne in zakonsko skladne elektronske hrambe dokumentov. V prispevku se bomo dotaknili pravnih okvirov, ki zamejujejo tak pregled, povzeli osnove značilnosti pregleda in na koncu podali še nekaj praktičnih izkušenj, pridobljenih pri pregledih na tem področju.

 

Mag. Matjaž Štiglic, preizkušeni revizor informacijskih sistemov (CISA, CGEIT), ima dolgoletne izkušnje na informacijskem področju. V letih med 1989 in 2000 je bil zaposlen v RC IRC Celje, kjer je vodil projekte razvoja in uvajanja programske opreme za banke. Med letoma 2000 in 2003 je bil zaposlen v podjetju KPMG Slovenija, d. o. o., od leta 2003 naprej pa dela v svojem podjetju. Reference v tem obdobju segajo na področje izvajanja revizij IT-ja, sodelovanja pri projektih ocene vrednosti programske opreme, vodenja sistema varovanja informacij in osebnih podatkov, svetovanja na področju informacijske varnosti, pregleda programske opreme ter storitev zajema in hrambe gradiva v digitalni obliki za Arhiv Republike Slovenije.

Revidiranje oblakov

Sodobni trendi poslovanja narekujejo, da podjetja selijo poslovanje v oblak in migrirajo v hibridna, enooblačna ali večoblačna okolja. Podjetja tako postajajo vse bolj digitalna ter se dnevno preusmerjajo v uporabo različnih oblačnih platform in storitev. Da bi čim bolj dosegala cilje razpoložljivosti, prilagodljivosti in razširljivosti poslovanja, je treba razširiti nabor orodij revizorja IT-ja za spremljanje in odzivanje na tveganja. Veliko organizacij že danes številne kritične poslovne operacije delno ali v celoti izvaja v oblaku in različnih oblačnih okoljih. Zato je pomembno, da smo revizorji pripravljeni in imamo potrebne veščine ter znanja za razumevanje tveganj pri uporabi storitev v oblaku in ocenjevanje uporabnosti ter učinkovitosti kontrol za zaščito podatkov in informacij podjetja pri uporabi oblačnih storitev. Obstoječi postopki/načini revidiranja in ogrodja, ki temeljijo na pregledih obstoječih internih okolij, niso v celoti primerni za okolja v oblaku, zaradi česar se pojavlja razkorak v obsegu nadzora tveganj, ki izhajajo iz uporabe oblakov.

V predavanju bo povzeto, kje kontrole lahko vzpostavimo in kje so že vzpostavljene, obravnavali bomo postopke za revidiranje in najboljše prakse testiranja učinkovitosti delovanja kontrol. Podane bodo usmeritve, kako sestaviti revizijski načrt in oceniti nadzor varnosti in skladnosti za tri oblake: Microsoft, Google in Amazon.

Revidiranje oblakov je namenjeno predvsem revizorjem IT-ja in kibernetske varnosti, ki so odgovorni za pripravo revizijskih načrtov in testiranje učinkovitosti kontrol v organizacijah, ki se morda selijo ali so že preselile poslovanje v oblak. Predavanje je za vse, ki si želijo izvedeti več o tem, kaj obstaja v oblaku, katera vprašanja naj si revizor zastavi in kako lahko uporabi orodja, ki vodijo do boljše pokritosti tveganj. Predavanje je primerno tudi za druge strokovnjake, katerih delo vključuje ocenjevanje skladnosti, razvojne time (DevSecOps), odgovorne za upravljanje identitet in dostopov, skrbnike in varnostne arhitekte v oblaku.

Zaželeno je osnovno razumevanje sistemov IT-ja, oblakov ter dobro razumevanje splošnih kontrol IT-ja in osnov kibernetske varnosti.

 

Mag. Matjaž Pušnik ima več kot 20 let izkušenj v domačih in mednarodnih projektih v gospodarstvu in državnem sektorju. Nadzoruje, vodi in izvaja svetovanja o IT-ju in revizije IT-ja, projekte varovanja zasebnosti in varstva osebnih podatkov ter informacijske varnosti, projekte pregledov IT-ja, dajanja zagotovil za finančne in nefinančne družbe. Je redni predavatelj na strokovnih konferencah in pisec strokovnih člankov s področja IT-ja in poslovanja organizacij. Pri Slovenskem inštitutu za revizijo je pridobil naziv preizkušeni revizor informacijskih sistemov, pri organizaciji ISACA pa naziva CISA in CRISC. 

Revizija virtualizacije mikrostoritev z vsebniki in orkestracijo Kubernetes

Mikrostoritve postajajo vse širše uveljavljen način razvoja in nameščanja sodobnih programskih rešitev. V praksi jih zaradi izolacije praviloma nameščamo v vsebnike in s tem zmanjšujemo zahteve po virtualizaciji operacijskega sistema, kar povečuje kompleksnost upravljanja mikrostoritev. Kot priljubljena rešitev za orkestracijo se v praksi uporablja Kubernetes. Najprej bomo predstavili koncept mikrostoritev, virtualizacije z uporabo vsebnikov in vlogo Kubernetes, nato pa tehnično podlago povezali z dobrimi praksami zagotavljanja kibernetske varnosti, kot so npr. CIS Controls, ter kako na podlagi izhodišč za kibernetsko varnost izdelamo tehnični revizijski program. Zaključni del predavanja bo izrazito tehničen, s predstavitvijo konkretnega pregleda nastavitev in drugih značilnosti takega okolja, ki revizorju omogočajo, da bi oblikoval sklep o tem, ali postavljena infrastruktura izpolnjuje bistvene zahteve za zagotavljanje osnovne ravni kibernetske varnosti skladno z dobro prakso.

 

Dr. Boštjan Kežmah ima obširne izkušnje s področja upravljanja, kibernetske varnosti in revizije informacijskih sistemov, elektronskega poslovanja, metodologij razvoja varnih informacijskih rešitev in računalniške forenzike. Je predavatelj na mnogo dogodkih v Sloveniji in tujini, z izkušnjami v zavarovalništvu, bančništvu, energetiki, telekomunikacijah. Kot član Strokovnega sveta Slovenskega inštituta za revizijo redno spremlja spremembe strokovnih in zakonskih podlag stroke ter aktivno sodeluje pri njihovi razlagi. Je aktivni preizkušeni revizor informacijskih sistemov, sodni izvedenec in cenilec za informatiko in programsko opremo, presojevalec ISO 27001, z nazivi CISA, CDPSE, CIS Information Security Manager ter DPO Executive.

Novosti standardov ISO/IEC 27001:2022 in ISO/IEC 27002:2022

Mednarodna organizacija za standardizacijo (ISO) redno posodablja in izdaja mednarodne standarde. Posodobitev obeh standardov, s področja informacijske varnosti, kibernetske varnosti in varstva zasebnosti (27001 – Sistemi za upravljanje informacijske varnosti – Zahteve) ter informacijske varnosti, kibernetske varnosti in varstva zasebnosti (27002 – Kontrole informacijske varnosti), je v letu 2022, po letu 2013 in vmesni potrditvi ustreznosti v letu 2018, prinesla manjše spremembe na področju zahtev in večje spremembe na področju kontrol. Na predavanju bodo predstavljene vse novosti.

 

Mladen Terčelj je diplomirani inženir organizacije dela – smer računalništvo. Od leta 2005 je vodilni menedžer in vodilni presojevalec po standardu ISO/IEC 27001 (z letnicami 2005, 2013 in 2022) pri CIS Avstrija in SIQ Slovenija. Poleg presoj sistemov vodenja varovanja informacij po navedenem standardu, letno približno sto, izvaja tudi ocene stanja usklajenosti dokumentiranih sistemov vodenja varovanja informacij v organizacijah. Sedaj upokojen, pred upokojitvijo pa je zasedal delovno mesto pooblaščenca za varovanje informacij in varstvo osebnih podatkov v družbi NLB, d. d.

Konferenca bo potekala v kongresnem centru v hotelu Ramada Resort (nekdanji hotel Larix).

Nastanitev je predvidena v hotelu Ramada Resort (nekdanji hotel Larix); priporočamo čimprejšnjo rezervacijo.

Rezervacija sob.

Na konferenco se prijavite s prijavnico, ki jo najdete na naši spletni strani. O sprejetju prijave vas bomo obvestili po elektronski pošti. Če boste morebiti zadržani, dodajamo pomembno informacijo, da se morate od konference odjaviti, saj vam bomo sicer zaračunali udeležnino. Obvestilo o odjavi pošljite na naslov info@si-revizija.si.

Za udeležnino na konferenci boste odšteli znaša 483,12 evra (22-odstotni davek na dodano vrednost je vračunan). Za aktivne imetnike strokovnih nazivov in imetnike dovoljenja za opravljanje nalog pooblaščenega ocenjevalca vrednosti oziroma kolektivne člane Slovenskega inštituta za revizijo (revizijske družbe, pooblaščene revizorje in pravne osebe) je udeležnina skupaj z gradivom 410,65 evra (22-odstotni davek na dodano vrednost je vračunan), za kolektivne člane fizične osebe pa 434,80 evra.

Za člane ISACA znaša udeležnina, ob predložitvi dokazila o članstvu, 410,65 evra (22-odstotni davek na dodano vrednost je vračunan).

Podatke za plačilo konference boste prejeli po elektronski pošti.

• za prijavljenih 2 do 5 udeležencev iz iste družbe nudimo 10 % popust;
• za prijavljenih več kot 5  udeležencev iz iste družbe nudimo 15 % popust;
• za prijavljenih 2 do 5 udeležencev iz kolektivnega člana-revizijske družbe ali kolektivnega člana-pravne osebe nudimo 20 % popust;
• za prijavljenih več kot 5 udeležencev iz kolektivnega člana-revizijske družbe ali kolektivnega člana-pravne osebe nudimo 25 % popust.

Popusti se med seboj ne seštevajo, velja tisti, ki je višji.

Po določbah pravilnikov o priznanju dodatnega izobraževanja se pooblaščenim ocenjevalcem vrednosti, preizkušenim računovodjem, preizkušenim notranjim revizorjem, preizkušenim revizorjem informacijskih sistemov, preizkušenim davčnikom in revizorjem za konferenco prizna 16 ur.

Za pooblaščene ocenjevalce vrednosti ima konferenca oznako B.
Konferenca je v skladu s soglasjem Agencije za javni nadzor nad revidiranjem za pooblaščene revizorje ovrednotena z oznako B.

Prijava enega uporabnika

Za prijavo je naprej potrebna registracija v naš sistem SIS. Ob registraciji vnesite svoje ime, priimek, geslo in elektronski naslov. Po uspešni registraciji lahko na portalu ali prek spodnje povezave dostopate do seminarja in se nanj tudi prijavite s klikom na gumb Prijava na seminar.

Prijava več oseb preko podjetja

• Prva prijava

Za prijavo je naprej potrebna registracija v naš sistem SIS. V sistem naj se registrira ena oseba, ki bo upravljala podatke o podjetju in urejala prijavljene na seminar. Ob registraciji poleg osnovnih podatkov še obvezno izpolnite podatke o podjetju(na to podjetje bomo za vse prijavljene potem izstavili račune). 

Po registraciji na pregledu profila preverite podatke o podjetju in se pomaknite v meni za upravljanje podjetja s klikom na gumb Prijavi se kot upravljalec tega podjetja. Preverite ime podjetja in kliknite Shrani. Prikaže se nadzorna plošča za upravljanje podjetja. S klikom na gumb Uporabniki dostopate do vseh oseb, ki jih upravljate s tem računom. Dodajte potrebne uporabnike. Nato se vrnite na željeni seminar. Na dnu strani bo gumb, ki Vam bo omogočal prijavo prek podjetja. Na tem mestu boste lahko enostavno prijavili uporabnike.

• Nadaljne prijave

Na dnu pregleda seminarja se bo nahajal gumb za prijavo prek podjetja. Nato se bo izpisal seznam uporabnikov. S klikom na gumb prijava boste uporabnika prijavili na izobraževanje.

Prijava Odjava