Organizatorzy
Partner Merytoryczny
Patron Medialny
|
|
Pobierz materiały konferencyjne
|
|
DZIEŃ PIERWSZY - wtorek 23 stycznia 2007 |
|
09.00 - 10.00 |
Rejestracja uczestników
|
|
10.00 - 10.15 |
Otwarcie pierwszego dnia konferencji.
Powitanie uczestników - kilka słów wprowadzenia.
Radosław Kaczorek, ISACA Warsaw Chapter
Patryk Gęborys, ISSA Polska
|
|
10.15 - 10.45 |
Czy polskie przedsiębiorstwa mogą czuć się bezpieczenie?
Badania polskiego rynku rozwiązań bezpieczeństwa ICT w latach 2004 i 2006 - ewolucja świadomości
i dojrzałości rynku. Polityka bezpieczeństwa IT w przedsiębiorstwie i sposoby jej realizacji. Podstawowe
bariery poprawy bezpieczeństwa IT. Stosowane technologie i skłonność do outsourcingu bezpieczeństwa IT.
Próba oceny dostawców rozwiązań bezpieczeństwa ICT.
Emil Konarzewski, Audytel
|
|
10.45 - 11.30 |
Przeszli w 60 sekund
Prezentacja wniosków płynących z praktycznych, 16-letnich doświadczeń przy prowadzeniu ponad 100 penetracyjnych projektów testowych. Kim mogą być ci, którzy atakują Twoją korporacyjną infrastrukturę IT? O czym mogą myśleć i w jaki sposób przygotują swoje działania? W jaki sposób można dostać się do korporacyjnej sieci w czasie krótszym niż 60 sekund?
Ivica Ostojić, Cisco
|
|
11.30 - 11:45 |
Przerwa kawowa
|
|
|
|
Sesja: Audyt, prawo i narzędzia, cz. I |
|
11.45 - 12.30 |
Vademecum audytora IT
Wersja 4.0 standardu COBIT, wydana w 2005 r. przez Governance Institute - zasadnicze zmiany (istotna modyfikacja zakresu jednej z czterech domen zarządzania IT - dawnej domeny "Monitoring", korekty w procesach pozostałych domen oraz integracja kilku elementów wersji 3.0 w jeden blok, uzupełniony dodatkowymi segmentami, prowadzącymi opis każdego z procesów zarządzania obszarem IT).
Przydatność standardu dla osób odpowiedzialnych za zarządzanie IT i za IT Governance. Omówienie najnowszego wydania dokumentów regulujących pracę audytorów i komórek audytu w organizacjach oraz opisujących wymagania względem profesjonalistów w dziedzinie audytu IT z listopada 2006 r.
Sylwia Wystub, ISACA Warsaw Chapter
|
|
12.30 - 13.30 |
Kwestia legislacji
Aspekt praktyczny wykonywania audytu bezpieczeństwa teleinformatycznego i fizycznego. Wymagania prawne i ich respektowanie. Podstawa metodologiczna audytu bezpieczeństwa teleinformatycznego i fizycznego w oparciu o Załącznik A - ISO 27001:2005.
W szczególności:
1. Audyt sieci teleinformatycznej
2. Audyt instalacji niskoprądowych
3. Audyt bezpieczeństwa fizycznego.
Tomasz Cygan, Wyższa Szkoła Mechatroniki
Przemysław Bańko, 2Business Consulting Group
|
|
13.30 - 14.30 |
OBIAD
|
|
|
Sesja: Aspekty bezpieczeństwa |
|
11.45 - 12.20 |
Outsourcing SI a bezpieczeństwo
Zarządzanie bezpieczeństwem outsourcowanego środowiska IT - doświadczenia praktyczne. Dobre praktyki i standardy audytu i kontroli Systemów Informatycznych proponowane przez ISACA. Krótki przegląd dostępnych materiałów wspomagających kontrolę i audyt outsourcingu SI. Zarządzanie bezpieczeństwem outsourcowanego środowiska IT - punkt widzenia klienta. Najważniejsze elementy umów dotyczące bezpieczeństwa (i jakości). Praktyki kontrolne i praktyczne zarządzanie bezpieczeństwem środowiska IT - z punktu widzenia outsourcera w Polsce. Dobre praktyki dobrych outsourcerów. Kontrole w praktyce.
Mirosław Błaszczak, Business Point SA, CISA
|
|
12.20 - 13.00 |
Outourcing IT w STOEN SA
Doświadczenia praktyczne i wnioski pod rozwagę. Kluczowa kwestia określenia warunków współpracy - umowa pomiędzy STOEN a STOEN Info. Konstrukcja umów typu SLA.
Krzysztof Biniek, STOEN
|
|
13.00 - 13.30 |
Certyfikacja SI i systemów zarządzania
Podstawy i znaczenie certyfikacji. Certyfikacja systemów informatycznych przykłady wg Common Criteria i stron WWW wg WCAG. Certyfikacja systemów zarządzania jakością nowego wymagania ISO/IEC 17021 i bezpieczeństwa informacji ISO/IEC 27006. Doświadczenia praktyczne.
Bolesław Szomański, Politechnika Warszawska
|
|
13.30 - 14.30 |
OBIAD
|
| |
|
|
Sesja: Audyt, prawo i narzędzia, cz. II |
|
14.30 - 15.30 |
Narzędzia wspomagania audytu
Specyfika wykorzystania narzędzi wspomagania audytu w na przykładzie działu korporacyjnego Audytu Wewnętrznego IT firmy Coca-Cola HBC, obejmującego swoim działaniem 27 krajów. Opis dostępnych na rynku narzędzi wspomagania audytu, studium przypadku. Studium przypadku: wykorzystanie pakietu TeamMate w procesie audytu wewnętrznego IT (planowanie audytów poszczególnych operacji krajowych i jednostek organizacyjnych na podstawie analizy ryzyka oraz dostosowania do zmian w organizacji i jej systemach IT; organizacja działu audytu wewnętrznego a wykorzystanie narzędzi; budowa programów audytowych i raportowanie oraz ponowne wykorzystywanie dokumentacji roboczej). Wykorzystanie narzędzi audytorskich w projektach specjalnych, typu Sarbanes-Oxley.
Przemysław Soroka, Coca-Cola HBC
|
|
15.30 - 16.00 |
Computer Forensics
Dowód elektroniczny - aspekty prawe i techniczne, cechy szczególne, sposób podejścia od momentu zabezpieczania aż po prezentację, oraz analiza takiego dowodu jako domena informatyki śledczej. Informatyka śledcza jako połączenie informatyki i prawa tworzące wzorcowe procedury postępowania na każdym etapie dochodzenia i postępowania w śledztwie elektronicznym. Śledztwo elektroniczne.
Przemysław Krejza, Mediarecovery
|
|
|
Sesja: Prawie wszystko o compliance |
|
14.30 - 15.00 |
Automatyzacja compliance
Czy systemy do zarządzania zgodnością z regulacjami mogą spowodować zmniejszenie wydatków na bezpieczeństwo? Czy można zbudować system do zarządzania zgodnością, pracujący w sposób ciągły? Zarządzanie słabościami, ryzykiem i zgodnością z przepisami. Automatyczny i ciągły pomiar ryzyka w korporacji i jego wizualizacja oraz efektywne wykorzystanie danych z systemów zarządzania słabościami i danych konfiguracyjnych do ciągłego mierzenia zgodności oraz systematycznego zmniejszania ryzyka.
Robert Dąbroś, McAfee, CISSP
|
|
15.00 - 15.30 |
Leczyć czy zapobiegać?
Compliance w praktyce.
Michał Jarski, Check Point
|
|
15.30 - 16.00 |
Sposób na zgodność z SOX
Stosowane narzędzia i przykłady wdrożeń z rynku polskiego - sytuacja przed wdrożeniem, cel wdrożenia, założony sposób dzialania systemu, napotykane problemy i sposoby ich rozwiązania, rezultat końcowy, zauważone pułapki.
Krzysztof Kroczyński, Orion Instruments Polska
|
|
|
Przerwa kawowa |
|
16.00 - 16.15 |
Przerwa kawowa
|
|
Wieczorna sesja plenarna |
|
16.15 - 16.45 |
Plan informatyzacji państwa na lata 2007-2010 - wyzwania i korzyści
Agnieszka Suska-Buława, Ministerstwo Spraw Wewnętrznych i Administracji
|
|
16.45 - 18.00 |
Panel dyskusyjny - Wartość informacji w przedsiębiorstwie
Wartości informacji w organizacji, czyli w jaki sposób ją określać i kto powinien to robić? Właścicielstwo informacji,
współpraca pomiędzy biznesem a komórkami ochrony i audytu, pozyskanie wsparcia dla koniecznych działań i inwestycji - spojrzenie z perspektywy przedstawicieli różnych branż i instytucji.
Prowadzenie:
Patryk Gęborys (ISSA Polska), Grzegorz Moskal (ISSA Polska)
Udział wezmą: Andrzej Galik (Thomson Display Polska), Zbigniew Jabłoński (Kancelaria Sejmu RP),
Andrzej Koweszko (ING Bank Śląski), Marek Ujejski (ISACA), Jacek Wróblewski (Internetium i in.)
|
|
18.00 - 24.00 |
Wieczorna impreza integracyjna
W programie:
- swobodna dyskusja w sprzyjających okolicznościach, czyli rozmowa o ciekawych przypadkach z życia audytorów i specjalistów ds. bezpieczeństwa IT wziętych
- najbardziej taneczne hity z ostatnich 5 dekad - przeboje w wykonaniu DJ oraz zespołu na żywo
- przekąski zimne, ciepłe, napoje oraz piwo
KLUB DEKADA, ul Grójecka 19/25 (5 minut pieszo od hotelu Kyriad)
|
|
DZIEŃ DRUGI - ŚRODA 24 stycznia 2007 |
|
09.00 - 09.10 |
Otwarcie drugiego dnia konferencji
|
|
09.10 - 09.45 |
Z policyjnego punktu widzenia
Przestępczość komputerowa, trendy, zagrożenia, odpowiedzialność, zabezpieczanie dowodów, przepisy prawa.
Dariusz Skalski, Komenda Główna Policji
|
|
09.45 - 10.45 |
Dobrze sprzedać bezpieczeństwo
Jak dobrze wyliczyć współczynnik ROSI (zwrotu z inwestycji w bezpieczeństwo). Jak przekonać zarząd firmy
i tych, którzy podejmują decyzje, że warto inwestować w bezpieczeńswo informacji. Zarządzanie systemami
IT i bezpieczeństwem informacji w praktyce.
Pamela Fusco, Citigroup (Global Information Security)
|
|
10.45 - 11.00 |
Przerwa kawowa
|
|
|
|
Sesja: Użytkownik, uprawnienia i ograniczenia |
|
11.00 - 11.30 |
Zarządzanie cyklem życia tożsamości
Podstawowe pojęcia i zagadnienia w ujęciu biznesowym. Dobre rozwiązanie zarządzania tożsamością - korzyści dla pracowników i dla firmy. Części składowe rozwiązania zarządzania tożsamością. Budowa rozwiązania w świecie rzeczywistym - jak powstawało jedno z rozwiązań zrealizowanych przez Microsoft Services).
Jan Macherzyński, Microsoft
|
|
11.30 - 12.15 |
Zarządzanie uprawnieniami w systemach informatycznych Główne zagrożenia dla organizacji związane z kontrolą dostępu oraz zarządzania uprawnieniami (w szczególności powiązanej z nim warstwy procesowej). Kierunki rozwoju środowiska kontrolnego mającego zapobiegać zagrożeniom bezpieczeństwa danych. Prezentacja podstawowych funkcjonalności oferowanych przez systemy zarządzania tożsamością i dostępem, będące odpowiedzią na zagrożenia kontroli dostępu.
Józef Sulwiński, Ernst & Young
Andrzej Pacek, Ernst&Young Business Advisory
|
|
12.15 - 12.45 |
Efektywne zarządzanie tożsamością i dostępem
Zarządzanie tożsamością i dostępem (IAM) - definicja i trendy rynkowe w opinii analityków. Model dojrzałości biznesowej - rola rozwiązań IAM w przedsiębiorstwie, potencjalne zyski i możliwe zagrożenia. Rozwiązania technologiczne CA - eTrust. Najważniejsze kroki postępowania zwiększające szansę powodzenia przy implementacji projektów zarządzania tożsamością i dostępem.
Piotr Owerski, (CISSP), CA
|
|
12.45 - 13.15 |
Nie zapominajcie o użytkowniku!
Budowanie świadomości użytkowników w aspekcie bezpieczeństwa informacji i compliance. W jaki sposób skutecznie prowadzić właściwą komunikację i dialog pomiędzy działem IT a użytkownikami systemów IT. W jaki sposób uzyskać ich zaangażowanie i zrozumienie.
Marian Płachecki, Szkoła Wyższa Psychologii Społecznej
|
|
|
Sesja: Zarządzanie ryzykiem |
|
11.00 - 11.45 |
Zarządzanie ryzykiem operacyjnym w IT
W jaki sposób skutecznie wdrożyć systemowe zarządzanie ryzykiem operacyjnym i jakie są kluczowe czynniki sukcesu takiego wdrożenia? Kto tak naprawdę jest głównym beneficjentem skutecznego zarządzania ryzykiem operacyjnym w organizacji? Czy można mówić o ryzyku operacyjnym w oderwaniu od ryzyka biznesowego? Jakie jest miejsce i rola zarządzania ryzykiem operacyjnym na tle innych procesów zarządzania w organizacji?
Grzegorz Moskal, ISSA Polska
|
|
11.45 - 12.30 |
Enterprise Risk Management - luksus, konieczność czy zdrowy rozsądek?
Przesłanki wdrażania ERM. Dobre praktyki ERM i korzyści z nich płynące. Najczęstsze problemy przy wdrażaniu ERM i sposoby ich przezwyciężania. ERM a zarządzanie bezpieczeństwem informacji. Kilka uwag praktycznych.
Piotr Chodzicki, Forum Menedżerów Ryzyka
|
|
12.30 - 13.15 |
Proces zarządzania ryzykiem według ISO 27005
Prezentacja nowej normy z serii ISO 27000W, dotyczącej zarządzania bezpieczeństwem informacji, która powinna zostać oficjalnie ogłoszona w 2007 roku, oraz przedstawienie terminów jej wprowadzania. Omówienie procesu zarządzania ryzykiem na podstawie roboczej wersji ISO 27005.
Jakub Syta, ImmuSec
|
|
|
13.15 - 14.15 OBIAD |
|
Popołudniowa sesja plenarna |
|
14.15 - 15.00 |
Bezpieczny audyt
Omówienie najczęściej spotykanych kwestii spornych pomiędzy audytowanym i audytorem, na każdym etapie audytu - od zawarcia umowy, uzgodnienia celu i zakresu, poprzez przebieg prac aż do przedstawienia wyników i wydania raportu z audytu. Tematyka zostanie omówiona w formie dialogu pomiędzy audytorem i jego klientem, w znanej wszystkim formule programu telewizyjnego SONDA, prowadzonego przed laty przez Andrzeja Kurka i Zdzisława Kamińskiego.
Radosław Kaczorek, ISACA Warsaw Chapter
Waldemar Kasinow, Pekao Financial Services Sp. z o.o.
|
|
15.00 - 16.00 |
IT na swoim miejscu
Budowanie wartości w firmie poprzez wdrożenie IT Governance (IT Value Management). Uwagi o dalszej ewolucji CobiT-u.
Erik Guldentops, ISACA oraz IT Governance Institute
|
|
16.00 - 16.15 |
Zamknięcie konferencji
Przemysław Gamdzyk, Redaktor, IDG Poland
|
|
|
|
|
|
|
|
|
|
Copyright 1999 - 2012 IDG Poland SA. Wszelkie prawa zastrzeżone. Publikacja całości lub części zamieszczonych materiałów w jakiejkolwiek formie bez pisemnej zgody IDG Poland SA jest zabroniona. Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA. |  |
|
|
