27. MEDNARODNA KONFERENCA O REVIDIRANJU IN KONTROLI INFORMACIJSKIH SISTEMOV
24.9.2019 -25.9.2019

Kibernetska varnost postaja vedno pomembnejša v svetu in tudi pri nas. Slovenija je s sprejetjem Strategije o kibernetski varnosti, Zakonom o kritični infrastrukturi in Zakonom o informacijski varnosti naredila velik korak naprej na tem področju.

Rdeča nit tokratne konference bo kibernetska varnost, kjer bomo poskušali seznaniti udeležence s stanjem v Sloveniji, morebitnimi grožnjami in ranljivostmi, kako lahko upravljamo tveganja na tem področju ter kako preverimo stanje naše organizacije na tem področju. Menimo, da bo konferenca zanimiva za preizkušene revizorje informacijskih sistemov in revizorje informacijskih sistemov, notranje in zunanje revizorje, strokovnjake s področja upravljanja tveganj, varovanja informacij, informacijske komunikacijske tehnologije (IKT), za vodje IKT-ja in uporabnike IKT-storitev.

Pripravili smo vrsto zanimivih in aktualnih tem in verjamemo, da bo vsak od udeležencev izvedel novosti, ki jih bo lahko s pridom uporabil pri svojem delu.

Torek, 24. september 2019

9.00 Registracija
9.30-9.40 Uvodni nagovor
Manuela Šribar
9.40-10.00 Podelitev certifikatov o pridobitvi naziva PRIS
Dr. Marjan Odar
10.00-11.00 Cyber Assurance - A Business Imperative
Uroš Žust
11.00-11.30 Odmor / osvežitev
11:30-12:15 Kibernetska varnost 2020
Gorazd Božič
12.15-13.00 Mikro zdravljenje makro varnostnih lukenj / oziroma popravljanje popravljanja
Stanka Šalamun
13.00-14.15 Odmor za kosilo
14.15-15.15 »Catch me if you can No.2«
Tadej Nared
15.15-15.30 Odmor
15.30-16.00 ISO/IEC 27032 – Smernice za kibernetsko varnost
Mladen Terčelj
16.00-16.30 Analiza možnosti zavarovanj pred kibernetskimi napadi
Tina Kavčič
16.30-17.00 Uporaba umetne inteligence in kibernetska varnost
mag. Matjaž Pušnik
17.30 Odhod avtobusa v Planico
ogled velikanke in muzeja ter večerja

Sreda, 25. september 2019

8.30-9.15 Zagotavljanje skladnosti z novimi zakoni na področju varovanja informacij
Marko Zavadlav
9.15-10.00 Orodja za učenje kibernetske varnosti in preprečevanje napadov v kibernetskem okolju
mag. Aleš Černivec
mag. Anže Žitnik
10.00-10.30 Odmor
10.30-11.15 Trendi na področju spletnega kriminala 2019
mag. Maja Hmelak
11.15-11.45 Vloga kazenskega prava pri preprečevanju kibernetskih napadov
Jaka Kosmač
11.45-12.15 EU-SEC: medsebojno priznavanje certificiranja informacijske varnosti oblačnih storitev
Anton Ujčič
Damir Savanović
12.15-13.30 Odmor za kosilo
13.30-14.30 Varnostne rešitve IoT platforme »Gorenje ConnectLife«
Igor Guštin
14.30-15.00 Presoja / revidiranje SIEM
dr. Boštjan Kežmah
15.00-15.30 Revizija neprekinjenega poslovanja
dr. Boštjan Delak
15.30-15.45 Zaključek konference
Manuela Šribar

Uroš Žust: Cyber Assurance - A Business Imperative

Opis

Cyber Security is a hot topic for more than the last decade and the importance of the concept is only increasing with time. Due to intensified risk and occurrences of cyber-attacks, professional organizations like AICPA and SEC are issuing updated requirements and frameworks to address the issue and increasing the demands on companies to establish a Cyber Security program.

This presentation will explain why companies should address Cyber Security, what they need to do for cyber assurance and provide suggestions on the approach to be taken. It will also address the need for an established framework, provide a few sample risk assessment methods to be used with Cyber Security and provide some guidance on the Cyber Assurance Communication Strategy that companies can utilize when communicating with stakeholders.

O predavatelju

Uros Zust is an Advisory Manager in Deloitte & Touche LLP, Las Vegas office with a total of thirteen years of experience in IT Auditing Information Technology. Before his current position, he was a Manager at Business Advisory Services Department in Deloitte Slovenia, leading the Slovenian ERS department since 2009. Uros has a BSc of economics (Business Informatics Major) from the Faculty of Economics, University of Ljubljana and obtained Certified Information Systems Auditor (CISA) and Certified Information Security Manager (CISM) designations issued by ISACA, as well as the Certified Information System Security Professional (CISSP) by ISC2 and Project Management Professional (PMP) by PMI and he recently passed the CSX Foundations Certification. He was serving as a board member of the ISACA Slovenia Chapter for 4 years in is the president of the ISACA Las Vegas Chapter.

Gorazd Božič: Kibernetska varnost 2020

Opis

Slovenija se je z novim Zakonom o informacijski varnosti zavezala, da bo nadgradila sistem za odzivanje ne kibernetske grožnje. Kakšen je načrt, ali se uresničuje po pričakovanjih in kateri mejniki nas čakajo v bodoče? Kaj kažejo trenutni trendi na področju obravnave incidentov in kako se lotevamo njihovega reševanja na SI-CERT.

O predavatelju

Gorazd Božič je vodja Nacionalnega odzivnega centra za kibernetsko varnost SI-CERT (Slovenian Computer Emergency Response Team). Odzivni center SI-CERT v okviru javnega zavoda Arnes od leta 1995 preiskuje vdore v računalnike, okužbe z računalniškimi virusi in pomaga uporabnikom pri raznovrstnih drugih zlorabah na internetu, tudi s programom ozaveščanja varninainternetu.si. Med letoma 2000 in 2008 je Gorazd Božič predsedoval evropski skupini odzivnih centrov TF-CSIRT in je predstavnik Slovenije v upravnem odboru Evropske agencije za omrežno in informacijsko varnost ENISA vse od njenega nastanka leta 2004. Gorazd je aktiven tudi pri podpori in mentoriranju novoustanovljenih skupin CSIRT v regiji jugovzhodne Evrope. Leta 2015 je izpeljal projekt izdelave dokumentarnega filma o 20-letnem razvoju hekerske skupnosti v Sloveniji hekerji.si (v koprodukciji s TV Slovenija in producentsko hišo Sever & Sever), kjer je sodeloval kot scenarist in svetovalec režiserja.

Stanka Šalamun: Mikrozdravljenje makrovarnostnih lukenj oziroma popravljanje popravljanja

Opis

Na namiznih računalnikih, ključnih računalniških orodjih v pisarnah podjetij, je danes več kot polovica aplikacij zastarelih in posledično ranljivih.  Za morebitne napadalce predstavljajo odlično vstopno točko tudi v najbolj varovana računalniška okolja.  Po desetletjih neuspešnega prepričevanja uporabnikov in skrbnikov, da je vendarle treba nameščati varnostne popravke kar se da hitro in na čim več sistemov, je čas, da se iskreno vprašamo: Kaj je narobe s sodobnimi načini nadgrajevanja programske opreme, da so v praksi tako težko izvedljivi? Je pogosta menjava celotnega operacijskega sistema  in vseh aplikacij res primeren način za odpravljanje varnostnih lukenj? In še pomembneje: Kakšno vrsto računalniške kirurgije moramo  vpeljati, da bo zdravljenje varnostnih bolezni za vse vpletene čim manj boleče, brez odvečnih sprememb poslovnega okolja in na koncu predvsem učinkovito?

O predavateljici

Stanka Šalamun (0patch by ACROS Security) se že dobro desetletje ukvarja z varnostjo programske opreme. V podjetju skrbi za organizacijo in razvoj varnostnega izdelka 0patch, ki omogoča neboleče nameščanje računalniških popravkov. V preteklosti je vodila projekt »Sled«, ki je od urada  Informacijskega pooblaščenca prejel nagrado ambasador zasebnosti 2011, več let pa je bila tudi kolumnistka revij MonitorPro in Sistemi ter vodja lokalnega odseka OWASP.

Tadej Nared: »Catch me if you can No.2« (Pogled na moderne možnosti prevar in goljufij skozi oči etičnega hekerja)

Opis

Kibernetski kriminal predstavlja največji prenos bogastva v zgodovini človeštva, škoda iz leta v leto nezadržno narašča, medtem ko je raziskovanje in dokazovanje tovrstnih kaznivih dejanj v veliki meri brezplodno.

Da bi razumeli zakaj, si bomo uvodoma pojav kibernetskega kriminala ogledali z alternativnega zornega kota, se seznanili z orodji in tehnikami, ki izkušenim spletnim nepridipravom omogočajo kontinuirano nezakonito početje, in pridobili jasen, neolepšan pogled na realno stanje sodobnega digitalnega sveta.

Predavanje bomo nadgradili s praktičnimi primeri novejših možnosti prevar in goljufij, kjer je dokazovanje morebitne samopovzročene škode zaradi odtujevanja premoženja iz gospodarskih družb izjemno težavno ali skoraj nemogoče, slušatelji pa bodo pridobili nov pogled na izzive, s katerimi se morda tudi nevede že soočajo pri svojem delu.

O predavatelju

Tadej Nared je pobudnik, soustanovitelj in predsednik uprave Fundacije SICEH. V 20 letih dela na področju IT je bil aktiven kot razvijalec, svetovalec, predavatelj in direktor v tehnoloških podjetjih tako doma kot v tujini. Bogate poslovne izkušnje je pridobival predvsem na področju elektronskega trgovanja in kibernetske varnosti s poudarkom na Open-Source Intelligence, v zadnjem času pa se osredotoča na neprofitni sektor, kjer svoje znanje prenaša na mlajše generacije tehnoloških navdušencev.

Mladen Terčelj: ISO/IEC 27032 – Smernice za kibernetsko varnost

Opis

V okviru predavanja bo predstavljen standard, ki zagotavlja tehnične smernice za obravnavanje skupnih tveganj za kibernetsko varnost, vključno z napadi: socialnega inženiringa, hackinga, profiliranja z zlonamerno programsko opremo, vohunsko programsko opremo. Predstavljene bodo kontrole, ki jih standard zagotavlja, vključno s kontrolami za pripravo na napade, na primer z zlonamerno programsko opremo, odkrivanje in spremljanje napadov ter odzivanje nanje. Standard tudi zagotavlja okvir za izmenjavo informacij, koordinacijo in upravljanje varnostnih incidentov.

O predavatelju

Mladen Terčelj je vodilni presojevalec sistema upravljanja varovanja informacij in aktivni preizkušeni revizor informacijskih sistemov. Mladen ima 15 let izkušenj presoj in revizij varovanja informacij po standardih skupine ISO/IEC 27K.

Tina Kavčič: Analiza možnosti zavarovanj pred kibernetskimi napadi

Opis

Na predavanju bo predstavila trenutno situacijo kibernetskega zavarovanja v slovenskem prostoru. V času priprav na magistrsko nalogo je na Fakulteti za informacijske študije pripravila raziskavo pod mentorstvom docenta dr. Boštjana Delaka, s katero je izvedla anketo, kako so slovenske zavarovalnice pripravljene na kibernetsko zavarovanje. Kibernetsko zavarovanje je relativno novo zavarovanje in ponuja možnost prenosa kibernetskega tveganja na zavarovalnice. Zavedanje zavarovalnic, da je kibernetsko zavarovanje eno od bodočih ključnih zavarovanj, pa jim predstavlja konkurenčno prednost.

O predavateljici

Tina Kavčič je leta 2007 diplomirala na Fakulteti za računalništvo in informatiko, izkušnje je že pred diplomo pridobivala v družbi Hermes Softlab, d. d., oz. kasneje preimenovano v Comtrade, d. d. Od septembra 2011 je zaposlena na Agenciji Republike Slovenije za kmetijske trge in razvoj podeželja v službi za informatiko, kjer se ukvarja z vodenjem informacijskih projektov ter z obdelavo prostorskih podatkov. Informatika je področje, ki jo že od nekdaj zanima, navdihuje in veseli.

Marko Zavadlav: Zagotavljanje skladnosti z novimi zakoni na področju varovanja informacij

Opis

V letu 2018 je začela veljati Splošna uredba o varstvu osebnih podatkov. V Sloveniji smo poleg tega sprejeli še Zakon o kritični infrastrukturi – ZKI (januar 2018) ter Zakon o informacijski varnosti – ZinfV (maj 2018). Poleg omenjenega so bili sprejeti tudi podzakonski akti. Vse organizacije morajo zagotoviti skladnost s Splošno uredbo, nekatere večje organizacije s področij, določenih v ZKI in ZinfV, pa morajo zagotoviti tudi skladnost z omenjenima zakonoma. Vsem trem je skupno poročanje o kršitvah oziroma incidentih. Organizacije, ki imajo zaradi zahtev regulatorjev že sedaj vzpostavljeno poročanje, se bodo soočile s podvajanjem aktivnosti. Kako lahko organizacije zagotovijo skladnost z vsemi zakoni in predpisi, ne da bi čezmerno posegale v delovne procese? Ali obstaja način, ki omogoča poenostavitev? Veliko vprašanj je odprtih, zato je smiselno poiskati najustreznejše rešitve.

O predavatelju

Marko Zavadlav je višji svetovalec v podjetju PRO.astec. Ima več kot 20 let izkušenj na področju informacijskih sistemov, od tega več kot 10 let na področju varovanja informacij. Njegove reference vključujejo vzpostavitev sistemov upravljanja varovanja informacij v proizvodnih organizacijah ter informacijskih podjetjih, svetovanje na področju varovanja informacij, vodenje projektov vzpostavitve kompleksnih informacijskih rešitev. V zadnjem času se ukvarja predvsem z vzpostavitvijo informacijskih varnostno-operativnih centrov (SOC). Sodeloval je tudi pri pripravi Zakona o informacijski varnosti.

Aleš Černivec in Anže Žitnik: Orodja za učenje kibernetske varnosti in preprečevanje napadov v kibernetskem okolju

Opis

V okviru predavanja bomo predstavili orodja za učenje kibernetske varnosti in preprečevanje napadov v kibernetskem okolju, kjer se bomo osredotočili na način uporabe teh orodij. V podjetju XLAB sodelujemo na dveh evropskih projektih programa H2020, katerih tematika je način uporabe omenjenih orodij v organizacijah. XLAB v projektih sodeluje kot tehnični partner, ki skrbi za povezovanje odprtokodnih in namensko razvitih orodij za zaznavanje in preprečevanje kibernetskih napadov s celotnim sistemom projekta. XLAB ima domensko znanje tako s področja uporabe opisanih orodij kot iz razvoja namenskih rešitev z mikrostoritveno usmerjeno arhitekturo računalniških sistemov v oblaku.

Projekt CYBERWISER.eu se ukvarja z razvojem platforme za učenje strokovnjakov za kibernetsko varnost in praktično vadbo preprečevanja napadov v kibernetskem okolju. Razvita platforma bo omogočala postavitev simuliranega okolja za vadbo različnih scenarijev kibernetskih incidentov za izobraževanje študentov in strokovnjakov.

Učenje računalniške varnosti je zelo pomembno zaradi visoke odvisnosti od informacijskih tehnologij v vseh poslovnih sektorjih in pri kritičnih infrastrukturah. CYBERWISER.eu bo pripomogel k splošni osveščenosti, večjemu zanimanju za računalniško varnost med študenti, ter dodatnemu izobraževanju strokovnjakov skozi praktične vadbe.

XLAB v okviru projekta razvija ogrodje za samodejno detekcijo ranljivosti, orodje za simulacijo napadov, ter sistem za izmenjavo in hrambo podatkov o opazovani infrastrukturi.

V okviru projekta FORTIKA razvijamo platformo, ki bo organizacijam omogočila preprost dostop do različnih orodij za varovanje in preprečevanje napadov v kibernetskem okolju. Osnovna funkcionalnost platforme je ponudba orodij s področja računalniške varnosti v preprosto dostopni trgovini storitev. Z orodji iz trgovine organizacija znižuje tveganje izpostavljenosti kibernetskim napadom, tako da se orodja namestijo v domeni organizacije na namenski strojni opremi, ki je del ponudbe platforme. Organizacija pri tem nima visokih stroškov nameščanja in vzdrževanja nameščenih rešitev. Končni cilj platforme je ponuditi rešitve za zagotavljanje kibernetske varnosti. Ciljni nabor storitev projekta je: IDPS (angl. Intrusion Detection and Prevention System), SIEM (angl. Security Information and Event Management) in SEARS (angl. Social Engineering Attack Recognition System).

O predavateljih

Aleš Černivec je magistriral na Fakulteti za računalništvo in informatiko s področja porazdeljenih algoritmov. V podjetju XLAB, d. o. o., je zaposlen kot inženir varnosti informacijskih sistemov, kjer je odgovoren za vzdrževanje certifikacije podjetja po standardu ISO 27001. Poleg tega njegovo področje raziskovanja zajema razvoj aplikacij v računalniškem oblaku (uporaba sistemov IaaS, PaaS) in računalniško varnost (avtentikacijski, avtorizacijski mehanizmi). V okviru raziskovalnega projekta FORTIKA (H2020) vodi aktivnosti v podjetju, kjer je XLAB zadolžen za implementacijo zalednih storitev. Poleg tega Aleš vodi tudi projekt implementacije in vzdrževanja nacionalnega interoperabilnega okvira – portal NIO.

Anže Žitnik  je magistriral na Fakulteti za računalništvo in informatiko v Ljubljani. V podjetju XLAB deluje kot razvojni inženir in raziskovalec na področju računalniške varnosti. Osredotoča se na analizo omrežne varnosti, detekcijo in izkoriščanje ranljivosti in analizo zlonamerne programske opreme. Vodi interne aktivnosti v projektu CYBERWISER.eu, kjer XLAB skrbi za samodejno detekcijo ranljivosti, podporo samodejnim napadom na infrastrukturo v simuliranem okolju in integracijo storitev.

Maja Hmelak: Primeri kibernetskih napadov

Opis

Ali je izsiljevalske zlonamerne kode res čedalje manj? Ali je izsiljevalsko rudarjenje res le nedolžna uporaba tujih procesnih virov? Kakšno grožnjo predstavljajo napadi na oskrbovalne verige? Kaj je ugrabitev form in zakaj nas mora skrbeti?

Svet spletnega kriminala se zelo hitro spreminja. Kriminalci si ustvarjajo nove priložnosti, politične in gospodarske spremembe spodbujata k aktivnosti nove skupine, za organizirani spletni kriminal pa postaja značilna tudi čedalje večja stopnja specializacije posameznih združb na  manjše, točno določene segmente dela.

Spletne korporacije, izvajalci storitev informacijske varnosti, proizvajalci komunikacijske opreme, pa tudi različne državne in naddržavne institucije spremljajo in analizirajo raznolike trende na področju spletnega kriminala. Prispevek predstavlja sintezo njihovih najpomembnejših ugotovitev.

O predavateljici

Maja Hmelak je strokovna sodelavka na Računskem sodišču Republike Slovenije. Njeno posebno strokovno področje so revizije učinkovitosti, uspešnosti in gospodarnosti delovanja informacijskih tehnologij. Pred tem je vrsto let delala kot revizorka informacijskih sistemov v finančnih institucijah, proizvodnih in trgovskih organizacijah v različnih evropskih državah.

Jaka Kosmač: Vloga kazenskega prava pri preprečevanju kibernetskih napadov

Opis

V zadnjem desetletju uporaba sredstev informacijsko-komunikacijske tehnologije in povezanost omrežij hitro naraščata, digitalne tehnologije pa so temeljito spremenile naše okolje. Temu trendu je sledila tudi kibernetska kriminaliteta, katere obseg se iz leta v leto povečuje tudi zaradi vse številnejše uporabe in odvisnosti od informacijsko-komunikacijske tehnologije. V okviru predavanja se bom posvetil vlogi kazenskega prava pri preprečevanju oziroma omejevanju kibernetske kriminalitete. Kibernetska kriminaliteta je posebna vrsta kriminalitete, saj se od klasične razlikuje v številnih pogledih, med katerimi bi kot ključne izpostavil, da ni ozemeljsko omejena in je pogosto čezmejna, da zakonodaja zaostaja za novimi pojavnimi oblikami kibernetske kriminalitete, da med storilcem in žrtvijo ni fizičnega stika, pogosto pa pride tudi do popolne anonimnosti vsaj z ene strani. Namen kazenskih sankcij je zatiranje in preprečevanje dejavnosti, ki kršijo ali ogrožajo pravne dobrine, zavarovane s kazensko zakonodajo. Kazenske sankcije imajo dve funkciji: represivno in preventivno. Kazensko pravo s preventivno funkcijo zasleduje cilje generalne in specialne prevencije. Cilj generalne prevencije, ki je usmerjena k vsem ljudem, je preprečevanje kriminalitete z zastraševanjem ljudi pred pretečo kaznijo, s čimer naj bi jih odvrnila od storitve kaznivega dejanja. Učinki generalne prevencije pa so lahko različni tudi glede na posamezne skupine kaznivih dejanj. V okviru predavanja pa bom poskusil ugotoviti, ali ima generalna prevencija (oziroma kakšen) učinek na področju kibernetske kriminalitete.

O predavatelju

Jaka Kosmač, univerzitetni diplomirani pravnik s pravniškim državnim izpitom. Po diplomi se je zaposlil na Združenju občin Slovenije, kjer je sodeloval pri izvajanju revizij Skupne notranje revizijske službe in pomagal pri organizaciji izobraževanj, srečanj in dogodkov. Kariero je nadaljeval na Komisiji za preprečevanje korupcije, kjer je delo začel kot svetovalec za preventivo in integriteto, kasneje pa je napredoval v vodjo projektov za integriteto, eno leto je vodil tudi področje mednarodnega sodelovanja. Na področju boja proti korupciji je večkrat sodeloval tudi z Organizacijo za gospodarsko sodelovanje in razvoj, v okviru tega sodelovanja pa je med drugim napisal tudi prispevek na temo lobiranja in imel več predstavitev. Računskemu sodišču se je pridružil leta 2015, in sicer oddelku za revizije smotrnosti poslovanja. V okviru nalog na računskem sodišču je sodeloval pri različnih revizijah smotrnosti, in sicer od okoljskih do IT-revizij. V letu 2018 je pridobil tudi naziv državni revizor.

Anton Ujčič in Damir Savanović: EU-SEC: medsebojno priznavanje certificiranja informacijske varnosti oblačnih storitev

Opis

Podeljevanje certifikatov zunanjih certifikacijskih organov je primeren način zagotavljanja zanesljivosti in zaupanja v varnost in zasebnost ponudnika storitev v oblaku. Prav tako je to verodostojen način za prikaz skladnosti z različnimi standardi in regulativo. Žal pa se je število obstoječih nacionalnih, mednarodnih in sektorskih standardov, zakonov in predpisov v zadnjih nekaj letih drastično povečalo, kar je povzročilo večjo kompleksnost področja skladnosti. Neposredna posledica takšne širitve se kaže v povečanih stroških zagotavljanja skladnosti za ponudnike storitev v oblaku, kar se v nekaterih primerih odraža v povečani ceni storitev za naročnika v oblaku.

V okviru projekta EU-SEC, ki ga je financirala Evropska komisija, smo analizirali problematiko širjenja varnostnih standardov in sistemov skladnosti v oblaku in ugotovili, da se številne varnostne zahteve in cilji nadzora v različnih standardih večinoma prekrivajo. Posledica tega je, da je proces doseganja skladnosti z različnimi standardi, zakoni in regulativo za ponudnike storitev v oblakih neučinkovit. Veliko dela se podvaja, kar neupravičeno povečuje stroške in kompleksnost.

V okviru projekta EU-SEC smo navedeno problematiko obravnavali in se ukvarjali z vprašanji, kot je npr. opredelitev skupnih imenovalcev med splošno znanimi standardi (npr. ISO27001 /02/17/18, ISAE3402, CSA STAR Certification and Attestation, BSI C5, ANSSI SecNumCloud) in drugimi nacionalnimi ali sektorskimi shemami ter njihova predstavitev v dobro opredeljenem in celovitem okviru večstranskega priznavanja, poimenovanem EU-SEC Multiparty Recognition Framework.

Glavna ideja večstranskega priznanja ni ustvarjanje še ene certifikacije oblačnih storitev ali nove arhitekture revidiranja. Gre za prizadevanje za zagotovitev enotne metodologije sistematičnih aktivnosti, da bi se zmanjšala bremena ponudnikov storitev v oblakih za pridobitev certifikata "Y", potem ko je že pridobil certifikat "X". Na splošno je namen okvira EU-SEC racionalizacija procesa skladnosti znotraj organizacije in zmanjšanje bremena skladnosti na organizacijo.

V okviru predavanja želimo predstaviti vizijo in rezultate projekta EU-SEC, vpogled v funkcionalnosti okvira, metodologijo za primerjavo orodij in zahtev ter koristi, ki jih okvir prinaša deležnikom in trgu certificiranja oblačnih storitev.

O predavateljih

Anton Ujčič je magister znanosti s področja menedžmenta, zaposlen kot vodja Oddelka za sistemsko upravljanje na Ministrstvu za javno upravo. Njegove naloge so povezane z vpeljavo sistemskih rešitev na področju upravljanja IT-procesov, vodenjem projektov ter s skrbništvom sistema upravljanja informacijske varnosti ISO 27001 za področje gostovanja informacijskih sistemov na centralni državni infrastrukturi. Na poklicni poti se je intenzivno ukvarjal z vpeljavo sistema vodenja ISO 9001 in ISO 27001. Je vodilni presojevalec skladnosti po standardu ISO 27001 ter dober poznavalec upravljanja tveganj s področja informacijske varnosti. V zadnjem obdobju se ukvarja s področjem računalništva v oblaku in z  varnostnimi vidiki uporabe storitev javne uprave v računalniških oblakih. Je vodja delovne skupine ministrstva na projektu The European Security Certification Framework.

Damir Savanović, zaposlen kot »Senior Innovation Analyst« pri Cloud Security Alliance (CSA) z več kot 14 leti izkušenj na področju informacijske varnosti, upravljanja tveganj, revizije in skladnosti. Je projektni vodja na projektu The European Security Certification Framework (EU-SEC) ter vodja globalnih delovnih skupin CSA na področju finančne industrije, zasebnosti in certifikacije.

Preden se je pridružil CSA, je delal kot CISO in skrbnik kakovosti pri SKB banki ter kot revizor informacijskih sistemov pri EY. Diplomiral je na Fakulteti za računalništvo in informatiko (UL) in je nosilec strokovnih nazivov CCSK, CISM, CISA, PRIS ter vodilni presojevalec ISO/IEC 27001.

Igor Guštin: Varnostne rešitve IoT platforme »Gorenje ConnectLife«

Opis

V predavanju bo predstavljena Gorenjeva IoT platforma ConnectLife, ki se uporablja za prihajajoče Gorenjeve povezljive aparate (pečica, hladilnik, kuhalna plošča, napa in pomivalni stroj). Eno glavnih vodil pri načrtovanju je bila varna in enostavna izvedba povezljivosti od aparata preko platforme do mobilne aplikacije. Predstavljena bo arhitektura, ki omogoča preprosto uporabo za uporabnika in kar najvišjo stopnjo varnosti na vseh delih platforme. Za platformo smo dobili certifikat TUV, ki pa je hkrati tudi velika obveza, saj pomeni, da je skrb za varnost proces in ne samo enkratno opravilo. V predavanju si bomo ogledali ključne dele tega procesa in prikazali zahtevnost koordinacije med vsemi vpletenimi službami. Predstavljena bo uporabnikova izkušnja pri varnem uparjanju aparata, v nadaljevanju pa si bomo pogledali še vektorje napada in ključne obrambne strategije.

O predavatelju

Igor Guštin je zaposlen kot DevSecOps v oddelku digitalnih storitev in povezljivih aparatov v Gorenju, kjer je med drugim zadolžen za varnost platforme ConnectLife.

Boštjan Kežmah: Presoja/revidiranje SIEM

O predavatelju

Dr. Boštjan Kežmah je preizkušeni revizor informacijskih sistemov ter sodni izvedenec in cenilec za informatiko in programsko opremo z izkušnjami s področja upravljanja, varnosti in revizije informacijskih sistemov, elektronskega poslovanja, metodologij razvoja varnih informacijskih rešitev in računalniške forenzike. Je predavatelj in avtor na mnogih dogodkih v Sloveniji in tujini, z bogatimi izkušnjami v zavarovalništvu, bančništvu, energetiki, telekomunikacijah. Kot član odbora Sekcije preizkušenih revizorjev informacijskih sistemov redno spremlja spremembe strokovnih in zakonskih podlag stroke in aktivno sodeluje pri njihovi razlagi.

Boštjan Delak: Revizija neprekinjenega poslovanja

Opis

Za učinkovito zaščito pred kibernetskimi grožnjami in napadi potrebujemo tri enakomerna razvita področja: kibernetsko varnost, vključno s sistemi za identifikacijo, zaščito, zaznavanje, odzivnost in okrevanje; skladnost z zakonodajo, standardi in dobrimi praksami ter ustrezen sistem upravljanja neprekinjenega poslovanja. Predavanje bo predstavilo pristop k reviziji upravljanja neprekinjenega poslovanja in možni sodili za učinkovito izvedbo dajanja zagotovil.

O predavatelju

Boštjan Delak je zaposlen kot svetovalec za revizijsko statistiko na Računskem sodišču Republike Slovenije. Ima več kot 37 let delovnih izkušenj, od tega več kot 20 let z analizami informacijskih sistemov in več kot 12 let z revizijami informacijskih sistemov. Je tudi docent za področje informatike in stalni predavatelj na Fakulteti za informacijske študije v Novem mestu ter občasno predava na drugih fakultetah v Sloveniji. Njegovi raziskovalni interesi so analize informacijskih sistemov, skrbni pregledi informacijskih sistemov in upravljanje znanja.

Lokacija: dvorana Planica, hotel Ramada Resort, Kranjska Gora

Nastanitev je predvidena v Ramada Resort (hotel Larix); priporočamo čim prejšnjo rezervacijo.

Sobo rezervirate  na info@hit-alpinea.si, s pripisom da ste udeleženci konference.

Cena na osebo/na noč
Nočitev z zajtrkom v enoposteljni sobi: 81,00 EUR
Nočitev z zajtrkom v dvoposteljni sobi: 58,00 EUR

Doplačila: 
- turistična taksa, prijava in zavarovanje 3 EUR  na osebo / dan 

Na konferenco se lahko s prijavnico, ki jo najdete na naši spletni strani, kjer jo je mogoče tudi oddati. O sprejetju prijave vas bomo obvestili po elektronski pošti. Opozarjamo vas tudi, da se morate od konference odjaviti, če boste morebiti zadržani, saj vam bomo sicer zaračunali udeležnino. Obvestilo o odjavi pošljite na naslov info@si-revizija.si.

Za udeležnino na konferenci boste odšteli 439,20 € (22-odstotni davek na dodano vrednost je vračunan). Za pooblaščene ocenjevalce vrednosti, aktivne imetnike strokovnega naziva in pooblaščene revizorje ter člane ISACA, znaša udeležnina 373,32 € (22-odstotni davek na dodano vrednost je vračunan). Podatke za plačilo konference boste prejeli po elektronski pošti.

Po določbah pravilnikov o priznanju dodatnega izobraževanja se pooblaščenim revizorjem, pooblaščenim ocenjevalcem vrednosti, preizkušenim računovodjem, preizkušenim notranjim revizorjem, preizkušenim revizorjem informacijskih sistemov, preizkušenim davčnikom in revizorjem za konferenco prizna 14 ur.

Za pooblaščene ocenjevalce vrednosti ima konferenca oznako B.

Za pooblaščene revizorje je Agencija za javni nadzor na revidiranjem konferenci določila oznako B.