Materiały z konferencji

Dlaczego superszpiedzy są nie do zatrzymania i potrafią wykraść każdą informację. Kryminaliści w Internecie, hakerzy, czy nawet Wasi pracownicy - wszyscy mogą pretendować do roli superszpiegów. Prawdziwy szpieg, czyli ktoś kto nie tylko potrafi informacje wykraść, ale również dobrze ochronić własne informacje. Dlaczego tak mało słychać o superszpiegach, jeśli zestawić to z liczbą osób pracujących nad ich wykryciem? Czy znajomość sposobów włamywania się do systemów i kradzieży informacji to wiedza? Jak najlepiej zabezpieczyć ogromne ilości informacji? Demonstracja najefektywniejszych rozwiązań służących do poprawienia bezpieczeństwa organizacji.

Obecnie stosowane metody uwierzytelniania tożsamości. Uwierzytelnianie dwuskładnikowe jako najsilniejsza metoda potwierdzania tożsamości (na polskim rynku). Istota dwuskładnikowego uwierzytelnienia - cechy, zalety i atrybuty bezpieczeństwa. Prezentacja rozwiązania mToken.

Projektowanie i wdrożenie centrum bezpieczeństwa IT. Skala globalna i jej wyzwania - strefy czasowe, różnice kulturowe i językowe, IT Governance.

Technika ataku HPP (HTTP Parameter Pollution) - nowe zagrożenia i możliwe scenariusze ataku. Wykorzystanie HPP do modyfikacji funkcjonowania aplikacji po stronie klienta oraz serwera i ominięcia zapór bezpieczeństwa aplikacji webowych. Przykłady z życia wzięte (Yahoo! Mail, CUPS, ModSecurity i in.). Narzędzia i rozwiązania.

Bezpieczeństwo i używalność - jako dwie, zazwyczaj konkurencyjne wartości. Jak powinno się traktować proces budowy systemu bezpieczeństwa, tak by nie utracić przewagi konkurencyjnej i uwzględniać i uwzględniać potrzeby użytkowników. Argumenty do przekonania kadry decyzyjnej.

Przykłady najgorszych praktyk - jak nie należy zarządzać bezpieczeństwem. Pouczające przykłady (zabezpieczenia antywirusowe, które nie chronią przed złośliwym kodem; implementacja aplikacji, która zaraz po włączeniu do eksploatacji z powodów bezpieczeństwa powinna być natychmiast wyłączona; plany ciągłości działania . serwerów, nie zapewniające możliwości dalszej pracy dla użytkowników czy dostępności kluczowych procesów biznesowych). Dlaczego tak się dzieje w praktyce wielu organizacji i jak się przed tym ustrzec?

więcej informacji

Jak bezpiecznie korzystać z oprogramowania w modelu SaaS? Na czym polega udostępnianie oprogramowania w modelu Saas? Jakie skutki prawne i zobowiązania rodzi wykorzystanie oprogramowania w modelu SaaS (odmienne niż na podstawie licencji)? Jak prawnie dobrze zabezpieczyć swój interes w przypadku korzystania z oprogramowania Saas?

Dlaczego użytkownicy korporacyjni i ich systemy zabezpieczeń nie są przygotowane na obsługę nowej kategorii zagrożeń - ataków ukierunkowanych na klienta (Client-side Hacking), w których wykorzystywany jest ich brak ostrożności albo błędy oprogramowania użytkowego (nieautoryzowane wykorzystanie kart płatniczych i kont bankowych czy powszechność obecności aplikacji na komputerach użytkowników - bot, spyware, trojan i in.). Techniki włamań typu Client-side Hacking - dlaczego powszechnie stosowane zabezpieczenia są tak mało skuteczne i jak znaleźć skuteczne metody ochrony?

Metody ukrywania informacji w systemie operacyjnym (alternatywne strumienie danych oraz sposoby i narzędzia służące do ich wykrywania). Steganografia - ukrywania informacji w plikach graficznych i dźwiękowych. Ukrywanie informacji z perspektywy informatyki śledczej. Sposoby wykrywania ukrytych informacji.

6 lat po wejściu rozporządzenia MSWiA dotyczącego systemów informatycznych przetwarzających dane osobowe okazuje się, że proste i obecnie technicznie niedoskonałe propozycje zabezpieczeń opisane w akcie prawnym towarzyszącym ustawie o Ochronie Danych Osobowych są trudnym, wciąż nie nierozwiązanym problemem dla dużych przedsiębiorstw o wielomiliardowych przychodach. prelegenci wskażą, jakie aspekty systemów IT przetwarzających dane pracowników i klientów mogą stanowić realne zagrożenie dla działalności operacyjnej przedsiębiorstw - na podstawie doświadczeń po przebadaniu kilkuset systemów informatycznych pod kątem zgodności z obowiązującymi wymogami.

Praktyczne aspekty zabezpieczenia nośników i samego komputera na potrzeby informatyki śledczej. Przegląd podstawowego wyposażenia. Wykorzystanie narzędzi open-source do zabezpieczania dysków. Zabezpieczenia dysków - wykorzystanie prostego zestawu typu write-blocker. Proces wykonywania obrazów dysków dla komputerów w środowisku korporacyjnym - narzędzia komercyjne. Wymogi formalno-techniczne (niezbędne dokumenty, prowadzenie dokumentacji, przechowywania zabezpieczonych danych).

Dlaczego bezpieczeństwo to nie tylko (czy nie głównie) ochrona zewnętrzna. Waga pytań - "Jak pracują nasi ludzie?", "Kto u nas przejmuje się informacją?". Wygoda jako wspólna cecha typowych zachowań pracowników - ważne informacje i dane osobowe jako ulotny, rozproszony i trudny do zlokalizowania zasób. Dlaczego trzeba monitorować nie tylko dane, ale również pracownika, który nimi dysponuje. Możliwości i ryzyka związane z monitoringiem pracowników.

Uczestnicy warsztatów powinni dysponować własnym laptopem (BYOL), najlepiej Windows XP i maks. 1 GB RAM. oraz pendrive'em, min. 2 GB

więcej informacji

Kontrola sposobu wykorzystywania zasobów firmowych i czasu świadczenia pracy - telepraca, monitoring kierowców, skrzynek pocztowych, komórek i komputerów. Wymagania pracodawcy wobec tego, co w powszechnym odczuciu dotyczy pozazawodowej strefy życia pracownika. Czy pracodawca może monitorować służbową skrzynkę pocztową pracownika? Czy i kiedy pradawca może wykorzystywać dane bilingowe? Czy i w jaki sposób pracodawca może automatycznie lokalizować pracownika? Ochrona prywatności pracownika a wykorzystywanie do celów służbowych prywatnego samochodu, komputera czy telefonu (i odwrotnie).

Dane osobowe a kopie bezpieczeństwa. Dyrektywa o retencji danych a poczta elektroniczna i internet. Czy można i trzeba przechowywać dane nt. użytkowników? Gdzie leży granica między prywatnością osób a efektywnością działań związanych z bezpieczeństwem? Czy można przechowywać dane osobowe w kopiach bezpieczeństwa bez dodatkowej zgody klientów? Czy implementacja dyrektywy o retencji danych do prawa telekomunikacyjnego jest wystarczająca? Czy można zbierać dane o dacie logowania do poczty elektronicznej, adresie IP, adresie fizycznym właściciela komputera?

Czym są czyny określane powszechnie mianem kradzieży tożsamości? Dlaczego ten tego termin bywa różnie interpretowany i rozumieny. Skala zjawiska, ocena prawna, jego wpływ na społeczeństwo i działalność gospodarczą. Czynniki sprzyjające nadużyciom związanych z kradzieżą tożsamości oraz sposoby przeciwdziałania.

Przyczyny i konsekwencje zwiększenia roli zarządzania ryzykiem w organizacjach i w działach IT.

Ochrona w warunkach wirtualizacji, cloud computing, SOA i aplikacji webowych wymuszają ewolucję rozwiązań SIEM w kierunku korzystania nie tylko z coraz większej ilości logów i szerokiej informacji kontekstowej, ale również zawartości plików i dokumentów.

Teoria i praktyka na gruncie polskim, czyli dlaczego bezpieczeństwo - zwłaszcza w przypadku rozwiązań i systemów na zamówienie - jest uwzględniane jedynie w fazie definiowania wymagań i tuż przed wdrożeniem (testy bezpieczeństwa) a nie wpisane w cały cykl rozwojowy oprogramowania? Czy stosowanie zasad bezpiecznego tworzenia oprogramowania jest faktycznie tak skomplikowane, jak by się to mogło wydawać?

Wyciek danych to nieuchronna konsekwencja normalnej działalności operacyjnej. Nie ma co się zastanawiać, czy to się staniem, tylko raczej powinniśmy myśleć o tym, kiedy to nastąpi. Co zrobić, żeby podnieść poziom dojrzałości organizacji wobec zjawiska DLP - tak aby osiągnąć wymierne cele w postaci zwiększenia średniego czasu pomiędzy incydentami czy uzyskania niższego kosztu działań naprawczych po wystąpieniu incydentu. Schemat postępowania krok po kroku - poprzez zarządzanie ryzykiem w stronę metryk procesu LDP.

Przy tworzeniu oprogramowania często w niedostateczny sposób uwzględniane są kwestie bezpieczeństwa. W rezultacie, w wielu serwisach internetowych występują istotne podatności stwarzające zagrożenia dla prywatności ich użytkowników, jak również dla reputacji ich właścicieli. Podczas prezentacji zostaną zademonstrowane przykłady ataków, wykorzystujących najistotniejsze podatności aplikacji internetowych, jak: SQL Injection oraz Cross-site Scripting. W trakcie pokazów na żywo, przedstawione zostaną również podstawowe techniki penetracyjne oraz przykładowe narzędzia do tego rodzaju testów.

Czy praktyka stosowania BCP bardzo się różni od teorii planowania BCP? Kontekst polski.
Wystąpią:

Czy praktyka stosowania BCP bardzo się różni od teorii planowania BCP? Kontekst polski.
Wystąpią:

Czy praktyka stosowania BCP bardzo się różni od teorii planowania BCP? Kontekst polski.
Wystąpią:

Dorobek Fundacji Open Web Application Security Project (OWASP). Minimalizacja ryzyka niedoskonałej implementacji mechanizmów bezpieczeństwa. 3 najlepsze narzędzia do nauki, testowania i implementacji bezpieczeństwa.

Omówienie wyników najnowszego raportu "IT Governance w Polsce"

Współczesne podejście do błędów ludzkiej pamięci. Niektóre obserwowane zjawiska, wnioski płynące ze współczesnych badań oraz możliwe działania profilaktyczne.