Dámy a pánové,
v sedmém roce existence znalostně zaměřených konferencí ISACA nazvaných IT Governance se zaměřujeme, tradičně pod zorným úhlem praxe řízení a správy informatiky, na informační aktiva. Ty představují vymezitelné informace, které mají rozpoznanou vysokou hodnotu pro danou organizaci a logicky jsou proto předmětem jejího (zpravidla velmi pečlivého) řízení. Hodnota informačních aktiv je poměřována vůči byznysu a proto je jejich struktura a složení závislé na konkrétnosti poslání a podnikání dané organizace a její strategii. V každé organizaci vzniká unikátní architektura informačních aktiv postavená kolem hodnotově dominantních aktiv vytvářejících základ nehmotného intelektuálního kapitálu dané organizace, kolem vzájemných vazeb mezi souvisejícími aktivy, kolem vlastnictví, strukturovanosti nebo společných technických atributů aktiv či kolem životního cyklu informačních aktiv nebo jejich dalších charakteristik.
Konference IT Governance: „Informační aktiva“ je přednostně zaměřena na řízení rizik spojených s informačními aktivy, na klasifikaci aktiv a jejich oceňování, na technickou zranitelnost aktiv, na kybernalitu spojenou s informačními aktivy a na přístupy a omezení formující řízení informační bezpečnosti vybudované kolem informačních aktiv. Specifická pozornost bude v panelové diskusi věnována volně šiřitelným informačním aktivům v kontextu problematiky stále rostoucího významu sociálních sítí.
V rámci konference rovněž dojde k významné události – uvedení nové metodiky ISACA nazvané RISK IT, která představuje standard pro efektivní governance a management IT rizik. Proto jsme jako samostatný workshop zařadili v úvodu konference přehledové seznámení s různými přístupy k řízení rizik včetně jejich promapování na RISK IT.
Jsem přesvědčen, že letošní tématické zaměření konference ISACA svou aktuálností orientace na informační aktiva účastníky zaujme a že získají v rámci programu konference doplněného o tradičně hodnotné doprovodné diskuse znalosti, které se nedají získat jinak než vzájemným odborně profilovaným setkáním. Za zajímavost stojí rovněž doprovodný program konference, který řízenou degustací vín poukáže na pohostinnost moravského regionu, který v zákoutích řeky Dyje nabízí ty nejlepší vinařské tratě, které máme.
Petr Hujňák
Předseda programového výboru a prezident ISACA CRC
09.45 – 10.00 | Registrace na workshop |
10:00 – 12:30 | Workshop: Přístupy a standardy pro řízení rizik Ing. Lukáš Mikeska, CISA; Ernst & Young Ing. Jan Mikulecký, Ph.D., CISM, CGEIT; Risk Analysis Consultants |
12:30 - 13:30 | Oběd pro účastníky workshopu |
13.30 – 14.00 | Registrace |
14.00 – 14.10 | Slavnostní zahájení konference |
14.10 – 14.55 | Konference: ICT a informační aktiva jako nástroje zvýšení konkurenceschopnosti ČR Prof. Ing. Jiří Voříšek, CSc.; ČSSI a VŠE |
14.55 – 15.00 | Přestávka |
15.00 – 15.45 | Klasifikácia informácií v praxi Ing. Pavol Adamec, CISA, CISM, CISSP, CGEIT; KPMG Slovensko |
15.45 – 16.00 | Přestávka |
16.00 – 16.45 | Ocenění a klasifikace informačních aktiv z pohledu auditora Ing. Pavol Hudák; VINCOTTE Slovakia RNDr. Karol Marsina, CSc.; Všeobecná zdravotná poisťovňa |
16.45 – 17.00 | Přestávka |
17.00 – 17.45 | Zákony technických zranitelností informačních aktiv Tomáš Fencl; České aerolinie Marek Skalický; Qualys |
18.30 – 24.00 | Společenský večer s degustací moravského vína |
09.00 – 09.50 | Postavení rizik IS/IT v kontextu řízení rizik ve finančních institucích Ing. Martin Fleischmann, Ph.D.; ČNB |
09.50 – 10.00 | Přestávka |
10.00 – 10.45 | Risk Management v bankovnictví – proč se přístupy k řízení operačních rizik liší? Martin Sitár, CISA; Komerční banka |
10.45 – 11.00 | Přestávka |
11.00 – 12.30 | Interaktivní diskuse: Sociální sítě a ochrana volně šiřitelných informačních aktiv: zakázat či povolit? Moderátor Ing. David Cón, CISA; KPMG Česká republika a jeho hosté |
12.30 – 14.00 | Oběd |
14.00 – 14.45 | Kybernalita – Bezpečnostní aspekty internetových závislostí Doc. Ing. Václav Jirovský, CSc.; FD ČVUT |
14.45 – 15.00 | Přestávka |
15.00 – 15.30 | Architektura a principy fungování základních registrů Ing. Ondřej Felix CSc.; MV ČR |
15.30 – 16.00 | Klíčové otázky bezpečnosti základních registrů RNDr. Petr Tiller; Aquasoft |
16.00 | Slavnostní zakončení konference |
Workshop: „Přístupy a standardy pro řízení rizik“
Ing. Lukáš Mikeska, CISA; Ernst & Young, s. r. o.,
Ing. Jan Mikulecký, Ph.D., CISM, CGEIT; Risk Analysis Consultants s. r. o.
Řízení rizik je možné řešit různými přístupy, které jsou dané používanou metodikou, standardem, nástrojem nebo intuicí. Každý přístup určuje procesní kroky, které jsou zčásti podobné, ale v detailech se mohou lišit. Workshop představí různé přístupy k řízení rizik, které nabízí Risk IT, COSO ERM, ISO 31000, AS/NZS 4360, ARMS, ISO 20000 a 27005, PMBOOK a BS7799-3. Všechny standardy budou jednotlivě představeny a následně vzájemně porovnány z pohledu jejich zaměření, přístupu k řízení rizik a praktických možnosti využití v různých typech a velikostech organizací. Účastníci workshopu obdrží tištěnou příručku nového standardu ISACA – Risk IT Practitioner Guide.
ICT a informační aktiva jako nástroje zvýšení konkurenceschopnosti ČR
Prof. Ing. Jiří Voříšek, CSc.; ČSSI a VŠE
V roce 2004 byla Česká republika na předních místech všech žebříčků, které hodnotily atraktivitu pro umístění investic do služeb s vysokou přidanou hodnotou v různých zemích světa. Od té doby se ČR v žebříčcích neustále propadá, a to loni až do třetí desítky. Zatímco jiné země např. Finsko, J.Korea mají jasnou strategii rozvoje své konkurenceschopnosti a pro její realizaci využívají ICT a informační aktiva, ČR žádnou podobnou strategii nemá. Zastavíme zaostávání ČR? Co pro to musíme udělat? Příspěvek hledá odpověď na tyto otázky.
Prof. Ing. Jiří Voříšek, CSc.
Je absolventem VŠE, oboru ekonomicko-matematické výpočty. V současnosti je vedoucím katedry informačních technologií na VŠE v Praze, prezidentem České společnosti pro systémovou integraci a prokuristou poradenské firmy ITG, s. r. o. Specializuje se na strategické řízení informačních systémů, systémovou integraci, outsourcing a metodiky vývoje a provozu podnikových informačních systémů. Je autorem nebo spoluautorem osmi knih a mnoha desítek skript, článků a příspěvků na konferencích. Je zakladatelem a organizátorem každoročně pořádané mezinárodní konference Systémová integrace.
Klasifikácia informácií v praxi
Ing. Pavol Adamec, CISA, CISM, CISSP, CGEIT; KPMG Slovensko spol. s r. o.
Klasifikácia informácií sa stáva v posledných rokoch jednou z kľúčových oblastí, na ktoré sa organizácie začínajú zameriavať v oblasti informačnej bezpečnosti. Prvý krok v podobe definovania internej politiky pre klasifikáciu informácií už podnikli mnohé organizácie – a mnohé z nich tam aj zastali. Aké sú dôvody, ktoré vedú organizácie k tomu, aby sa zaoberali touto témou? Aký sú typické problémy, s ktorými sa oranizácie stretávajú? Aké sú obvyklé výsledky procesu klasifikácie? Čoho je dobré sa vystríhať a na čo nezabudnúť? Prednáška sa pokúsi dať odpovede aj na tieto otázky, vychádzajúc z výsledkov prieskumov ale hlavne na základe skúseností zažitých na lokálnom trhu.
Ing. Pavol Adamec, CISA, CISM, CISSP, CGEIT
Pracuje v oblasti IT a informačnej bezpečnosti už viac ako 16 rokov. Vyštudoval Elektrotechnickú fakultu STU v Bratislave a následne pracoval ako IT administrátor. Dva roky pracoval ako bezpečnostný konzultant a riaditeľ divízie služieb informačnej bezpečnosti u popredného lokálneho IT integrátora. Od roku 2002 pracuje v KPMG na Slovensku v manažérskych pozíciách ako osoba zodpovedná za oblasť služieb informačnej bezpečnosti, momentálne na pozícia riaditeľa v oblasti IT Advisory. Je členom Rady združenia ISACA Slovensko a držiteľom profesných certifikátov CISA, CISM, CISSP a CGEIT.
Ocenění a klasifikace informačních aktiv z pohledu auditora
Ing. Pavol Hudák; VINCOTTE Slovakia s. r. o.
RNDr. Karol Marsina, CSc.; Všeobecná zdravotná poisťovňa, a. s.
Pohľad na aktíva z dvoch strán – Na jednej strane zo strany klienta: s čím sa najčastejšie stretávame u klientov, ako oceňujú a klasifikujú svoje aktíva, používané formy, spôsoby, systémy, metodiky. Na druhej strane zo strany audítora: čo požaduje norma, aká je najlepšia prax, aké sú najčastejšie chyby, čo norma žiada, čo pripúšťa a čo zakazuje. Ako a čo audítor audituje pri oceňovaní a klasifikácií informačných aktív.
Ing. Pavol Hudák
V roku 1992 ukončil štúdium na Elektrotechnickej fakulte Technickej Univerzity v Košiciach, odbor počítače. Po škole pracoval ako programátor, v rokoch 1996 až 2002 v Prahe v dcérskej spoločnosti PSE Siemens (ANF DATA s. r. o.). V rokoch 2003–2006 pracoval ako audítor v spoločnosti Det Norske Veritas – dosiahol kvalifikáciu vedúceho audítora ISMS ako jeden z prvých ISMS audítorov Čechách a na Slovensku. V súčasnosti pracuje ako riaditeľ belgickej certifikačnej spoločnosti Vincotte na Slovensku.
RNDr. Karol Marsina, CSc.
Absolvent Prírodovedeckej fakulty UK Bratislava, odbor geochémia. Od roku 2005 pracuje ako manažér Inetgrovaného Manažérského systému v Spoločnej Zdravotnej Poisťovni, a. s. (jedná z prvých spoločností certifikovaná na ISMS na Slovensku), ktorá sa od 1. 1. 2010 pričlenila k Všeobecnej Zdravotnej Poisťovni. Certifikovaný auditor IRCA na ISMS a QMS.
Zákony technických zranitelností informačních aktiv
Tomáš Fencl; České aerolinie a. s.
Marek Skalický; Qualys GmbH
Na makroúrovni se organizace chovají racionálně a o systémy se starají tak, aby byly zabezpečeny. Je ale racionální očekávat, že také u konkrétní organizace nalezneme stejné trendy, nebo se bude chování významně odlišovat od průměrných hodnot? Na polemickém srovnání konkretních praktických zkušeností se statistickým modelem ukážeme, jaká úskalí číhající v mikrosvětě IT útvarů mohou odchylovat výsledky od globalních statistických trendů. Na základě statistického průzkumu, který provedla firma Qualys nad anonymizovanými výsledky testování 80.000.000 IP adres cca 3 500 firem v letech 2008–2009, byly definovány obecně „Zákony zranitelnosti ICT produktu”. Jedná se o „Poločas rozpadu”, „Přetrvávání”, „Trvanlivost” a „Využitelnost”. Tyto představují společně charakteristiky statistického výskytu a chování technických zranitelností informačních aktiv na různých ICT poduktech v praxi velkých, středních i malých firem v globálním měřítku.
Tomáš Fencl
Od roku 2008 pracuje jako bezpečnostní a IT architekt ve společnosti České aerolinie. V současné pozici odpovídá především za kontrolu technické bezpečnosti informačních systémů a podílí se na rozvojových projektech. Před příchodem do aerolinií pracoval nejprve jako auditor a poté působil vice než pět let jako bezpečnostní manažer ve společnosti MUZO (Global Payments Europe).
Marek Skalický
Pracuje ve společnosti Qualys od roku 2008 jako Regional Account Manager pro země střední a východní Evropy, kde se věnuje rozvoji trhu, řízení spolupráce s obchodními partnery a podpoře zákazníků. Dříve pracoval 5 let jako Senior Consultant ve společnosti RAC, se zaměřením na projekty v oblasti řízení bezpečnosti informací, implementace ISMS a implementace procesu Řízení zranitelností ICT.
Postavení rizik IS/IT v kontextu řízení rizik ve finančních institucích
Ing. Martin Fleischmann, Ph.D.; ČNB
Přednáška pojednává o postavení řízení rizik IS/IT v rámci obvyklých přístupů využívaných finančními institucemi při řízení ostatních (finančních i nefinančních) rizik. Na základě stručné charakteristiky přístupu finančních institucí k řízení rizik se v této souvislosti těsněji zaměřuje na vazby, shodné rysy i odlišnosti mezi řízením rizik IS/IT a řízením operačního rizika. Stručně hodnotí dosavadní výsledky (přínosy a problémy) obou rámců v praxi finančních institucí. Zamýšlí se nad problematikou vzájemného přenosu technik a metod mezi řízením rizik IS/IT a operačním rizikem včetně možností a míry integrace řízení rizik IS/IT do celkového rámce řízení operačního rizika. Věnuje se také přínosům a problémům, které pro uvedená rizika přinesl koncept Basel II.
Ing. Martin Fleischmann, Ph.D.
Absolvoval Národohospodářské fakulty Vysoké školy ekonomické v Praze. V roce 2010 dokončil doktorské studium na fakultě Informatiky a statistiky téže školy. Osm let pracoval v úseku informatiky ČNB, kde mj. vedl projekty informačních systémů pro klíčové útvary ČNB. Od roku 1998 pracuje v dohledových sekcích ČNB. V roce 2002 byl pověřen vybudováním týmu pro dohled nad IS/ICT bank a zavedením dohledu v této nové oblasti do praxe. V roce 2005 zodpovídal za zavádění dohledu v oblasti řízení operačního rizika. Je vedoucím referátu operačního rizika a zástupcem ředitele odboru kontroly řízení rizik v sekci dohledu nad finančním trhem.
Risk Management v bankovnictví – proč se přístupy k řízení operačních rizik liší?
Martin Sitár, CISA; Komerční banka, a. s.
Prezentace nastíní důvody toho, proč se přístupy k řízení operačních rizik v bankovnictví tolik liší, nejen mezi jednotlivými bankovními domy, nýbrž i mezi jednotlivými útvary jediné bankovní instituce. V prezentaci budeme hledat odpovědi na otázky: Kdo? – Jací lidé provádí analýzu rizik? Proč? – Jaká je jejich motivace? Jak? – Jak se s problémem vypořádali?
Martin Sitár, CISA
Pracoval na mnoha technických pozicích, zpočátku ve státní správě, následně v soukromém sektoru. Od roku 2005 do roku 2008 se věnoval výhradně auditu informačních a komunikačních technologií. Od roku 2009 se pokouší o osvětu bankovní sféry v oblasti informační bezpečnosti a řízení operačních rizik. V oboru informačních a telekomunikačních technologií pracuje přes 12 let. Od roku 2005 je členem ISACA.
Interaktivní diskuse: „Sociální sítě a ochrana volně šiřitelných informačních aktiv: zakázat či povolit?“
Sociální sítě jsou bezpochyby fenoménem komunikace pro stovky miliónů lidí po celém světě. Původní služby sociálních sítí, tedy sdružování lidí obdobného zájmu, se vyvinuly a dnes jsou sociální sítě populární a využívané nejen jednotlivci, ale i značným množstvím organizací. Sdílení obsahu a vazeb prostřednictvím sociálních sítí s sebou nese klíčovou otázku informační bezpečnosti. Odkud by měla ochrana přijít? Stačí legislativní rámec, interní pravidla firem či vzdělávání uživatelů sociálních sítí? Jaká pravidla jsou aplikovatelná? Potřebujeme regulaci poskytovatelů služeb sociálních sítí? Měli bychom mít obavy z rostoucího rozšíření sociálních sítí? Jsou a budou spíše dobrým sluhou nebo zlým pánem?
Kybernalita – Bezpečnostní aspekty internetových závislostí
Doc. Ing. Václav Jirovský, CSc.; FD ČVUT
Příspěvek uvádí přehledně základní projevy internetových závislostí a jejich vztah k pracovnímu prostředí. Popisuje formy závislostí, jejich počáteční a terminální projevy spolu s možnými dopady do oblasti bezpečnosti provozu aplikací. Specifická kategorie nespokojených zaměstnanců, možné modely jednání. Ekonomické aspekty ochrany informací.
Doc. Ing. Václav Jirovský, CSc.; FD ČVUT
Vedoucí Ústavu bezpečnostních technologií a inženýrství na Fakultě dopravní ČVUT, kde se věnuje otázkám počítačové kriminality a protiprávního jednání na sítích. V těchto oblastech rovněž působí jako soudní znalec jmenovaný ministrem spravedlnosti. Je delegátem České republiky ve výboru EU FP7 pro bezpečnostní výzkum, členem Expertní skupiny Ministra dopravy ČR, členem Rady pro program bezpečnostního výzkumu v ČR a členem celé řady dalších strategických orgánů zabývajících se kybernetickou kriminalitou. Je hlavním koordinátorem několika grantů zaměřených na problematiku kybernetické bezpečnosti.
Architektura a principy fungování základních registrů
Ing. Ondřej Felix, CSc.; MV ČR
V přednášce bude vysvětlena celková koncepce základních registrů, jejich účel, navržená architektura a základní principy fungování. Jednotlivé problémové oblasti budou objasněny z hlediska subjektů údajů – občanů a firem působících na území ČR, orgánů veřejné moci a jejích úředníků vykonávajících veřejnou správu i z hlediska informatiků působících ve veřejnoprávní i soukromoprávní sféře. Na závěr bude shrnut současný stav jednotlivých projektů implementujících program základních registrů.
Ing. Ondřej Felix, CSc.
Vystudoval ČVUT, obor výpočetní techniky a Československou akademií věd mu byl udělen titul CSc. Byl zaměstnán ve Federálním statistickém úřadě, kde byl odpovědný za velké softwarové projekty (např. sčítání lidu v roce 1980). Poté nastoupil do společnosti ICL, kde zastával různé funkce v oblasti softwarové podpory, product marketingu, rozvoje obchodu a projektů systémové integrace. Dva roky vedl jako generální ředitel firmu APP Systems. V roce 1994 se stal generálním ředitelem firmy Oracle v ČR. V roce 2000 byl jmenován regionálním ředitelem této společnosti pro oblast veřejných služeb v regionu střední a východní Evropy. Od roku 2001 byl předsedou představenstva Českého Telecomu a od roku 2003 i designovaným generálním ředitelem této společnosti. Působil také na pozici předsedy dozorčí rady ČT a Eurotel, byl místopředsedou dozorčí rady České pošty a prezidentem Sdružení pro informační společnost (SPIS). V současné době působí jako hlavní architekt eGovernmentu na MV ČR.
Klíčové otázky bezpečnosti základních registrů
RNDr. Petr Tiller; Aquasoft spol. s r. o.
Přednáška se zaměří na klíčové otázky bezpečnosti základních registrů. Bude diskutována role základních registrů pro ochranu soukromí občanů, prevence velkého bratra, architektonická bezpečnost celého systému, technická, objektová i informační bezpečnost. Zmíněny budou rovněž způsoby zajištění nezbytné provozní spolehlivosti a bezpečné způsoby připojení agendových informačních systémů veřejné správy k základním registrům a požadavky na interní bezpečnost těchto systémů.
RNDr. Petr Tiller
Promoval na Karlově Univerzitě Praha, Matematicko-fyzikální fakultě v roce 1988 v oboru teoretická fyzika. V roce 1989 mu byl na MFF UK udělen titul RNDr. Do roku 1997 pracoval jako odborný asistent katedry fyziky Univerzity obrany. Od roku 1997 nastoupil do společnosti AutoCont a pracoval v oblasti výpočetní techniky. Prošel celým spektrem pozic od správy informačních systémů po návrh architektury rozsáhlých systému (Entreprise architecture) a business konzultace. Věnoval se oblasti komunikačních systémů a bezpečnosti v oblasti Identity managementu. Jako architekt dohledu a provozu spolupracoval na projektu Internet do škol. V roce 2009 nastoupil do společnosti Aquasoft spol. s r. o. jako business konzultant a pracuje na architektuře informačního systému Základních registrů.