Vážené dámy, vážení pánové, vážení přátelé,
dovolte, abych vás co nejsrdečněji pozval na 16. ročník konference IT Governance s letošním podtitulkem „Preskriptivní a agilní přístupy“. Konference se zaměří na oba tyto přístupy z pohledu praxe s cílem ukazovat, vzájemně diskutovat, a hlavně sdílet zkušenosti a praktické zpětné vazby nejen s jejich základním pojetím, ale také s možnostmi rozumných kombinací obou těchto přístupů. V každém případě je třeba nahlížet na současné vzájemné obohacování a prolínání metodických přístupů jako na trend současné doby.
V popředí našeho zájmu je z metodických rámců nový COBIT 2019. Pro ty, kteří COBIT 2019 ještě neznají, jsme připravili tutoriál, jehož cílem je vysvětlit výukovým přístupem, na čem je tento metodický rámec postaven. Tutoriál proběhne první den před oficiálním zahájením konference. Druhý den dopoledne proběhne další samostatně volitelná část konference v podobě workshopu zaměřeného na kybernetickou bezpečnost, ve kterém budeme procházet krizovou situací, jež se odehrává anebo má původ v kyberprostoru.
Při zahájení přednáškové části konference se spolu podíváme na trendy a (staro)nové myšlenky současných metodických rámců s primárním zaměřením na inovovaný COBIT 2019 a ITIL 4. Bude diskutována preskriptivnost klasických metodických přístupů v kontrastu na agilní přístupy a možnosti jejich ovlivňování a učení se navzájem. Následovat budou přednášky zaměřené na cloud a zkušenosti s řízením dodávek a konfigurací v tomto prostředí dynamicky reagujícím na vyvíjející se potřeby zákazníků.
Nosné tematické zaměření konference nás zavede do aktuálních problémů bezpečnosti, a to z více úhlů pohledu. Podíváme se na to, jak vůbec rozumně detekovat, že jsme pod bezpečnostním incidentem, který ohrožuje naši organizaci. Vyhodnotíme si společně table-top cvičení z workshopu s poukázáním na ponaučení, které bychom si měli z takových cvičení vštípit do paměti.
Druhý přednáškový den konference pokračuje v bezpečnostní tématice. Zamyslíme se nad tím, zda dnes je či naopak není obtížné provést cílený útok a jaké vektory útoků různé obtížnosti si útočník může volit.
Jako červená nit se konferencí táhnou agilní přístupy vč. DevSecOps. Společné chápání řízení vývoje a provozu nás vede k potřebě sdílet odpovědnost za bezpečnost mezi nimi, a to oběma směry. Agilní přístupy typické svým důrazem na flexibilitu a rychlost provádění změn se stále častěji střetávají s požadavky regulatorních orgánů vyžadujících prokázání shody přes funkčnosti zavedených procesů, plánů a řízení zpětných vazeb a dokumentace. Chceme-li v auditech obstát, musíme přistoupit k pragmatické kombinaci agilních a preskriptivních přístupů. Tuto kombinaci musí však přijmout obě strany, tj. jak prověřovaná organizace, tak i samotný auditor.
Letošní panelová diskuze nás zavede zpět k tématu GDPR. Nastavení vzájemných vztahů a odpovědností mezi správci, zpracovateli a příjemci osobních údajů osvěží konferenci tím, jak je lze různě interpretovat.
S přáním získání odborných znalostí, inspirace a radosti z výměny názorů v přátelské atmosféře konference,
Petr Hujňák
Předseda programového výboru a prezident ISACA Czech Republic
13.00 - 17.00 | TUTORIAL: COBIT 2019 a jeho nasazení ve firmě Ing. Martin Vitouš, MBA; ict-123.com |
19.30 - 23.30 | Společenská neformální akce s večeří |
09.30 - 11.45 | WORKSHOP: Table-top cvičení jako příprava na krizovou situaci Mgr. Pavlína Jedličková, Mgr. Petr Novotný; NÚKIB |
11:45 – 12:45 | Oběd pro účastníky workshopu |
12:30 – 13:00 | Registrace |
13:00 – 13:10 | Slavnostní zahájení konference Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; prezident ISACA CRC |
13.10 - 13.50 | Nové myšlenky metodických rámců a využitelnost v praxi Ing. Petr Hujňák Ph.D., CGEIT, CRISC; Per Partes Consulting |
13:50 – 14:00 | Přestávka |
14.00 - 14.45 | Delivery management cloudových řešení Petr Böhm, MBA, CISA; Oracle Czech |
14:45 – 14:55 | Přestávka |
14.55 - 15.40 | Konfigurace jako kód: řízení konfigurace v cloudu Mgr. Tomáš Honzák, CISM; GoodData |
15:40 – 15:50 | Přestávka |
15.50 - 16.35 | Jak poznat co je skutečný bezpečnostní incident? Ing. Richard Michálek; nezávislý konzultant |
16:35 – 16:40 | Přestávka |
16.40 - 17.25 | Vyhodnocení table-top cvičení z workshopu Mgr. Pavlína Jedličková, Mgr. Petr Novotný; NÚKIB |
18:00 – 23:30 | Společenský večer |
09.00 - 09.45 | Dnešní situace: Kyberšpiónem snadno a rychle MSc. Peter Košinár; ESET |
09:45 – 09:50 | Přestávka |
09.50 - 10.30 | Automatizace bezpečnostního testování v DevSecOps Ing. Josef Krýcha; AEC |
10:30 – 10:45 | Přestávka |
10.45 - 11.20 | Zavádění compliance v agilním prostředí Zonky Ing. David Doležal; Zonky |
11:20 – 11:30 | Přestávka |
11.30 - 13.00 | Panelová diskuse: Řízení zpracovatelů v prostředí GDPR Moderátor Mgr. Jan Krob, CISA; Accenture a jeho hosté |
13:00 – 14:00 | Oběd |
14.00 - 14.45 | Agile okem auditora: specifika, rozdíly a rizika Ing. Milada Závodová, CISA; EY |
14:45 – 14:50 | Přestávka |
14.50 - 15.30 | Jak na audit v agilně transformovaných bankách – praxe a mýty Ing. Jiří Khun; KPMG Česká republika |
15:30 | Ukončení konference |
* Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 10,5 CPE hodin za účast na konferenci, 4,15 CPE za tutoriál a 2,5 CPE za workshop.
** ZMĚNA PROGRAMU VYHRAZENA.
Každá firma chce být úspěšná. Úspěšná bude tehdy, když dosáhne svých cílů. Aby svých cílů dosáhla, musí definovat strategii, která ukáže cestu a vymezí mantinely. To, že všichni jdou po vymezené cestě, zajišťuje GOVERNANCE. Governance je systém pravidel a opatření, která nastaví dílčí cíle, sledují jejich plnění a poskytují zpětnou vazbu. To nám umožní buď korigovat naši cestu nebo způsob, jak po ní jdeme. K tomu jsou potřeba informace. A tady se dostáváme ke COBITu. COBIT je rámec, který pomáhá zajistit efektivní řízení firemních informací a technologií (I&T), které je poskytují a spravují. V rámci tohoto tutoriálu se podíváme co to COBIT (ve verzi 2019) je, z čeho se skládá a jakým způsobem je možné na jeho základě vytvořit governance systém ve firmě.
Martin Vitouš
Většinu své profesní dráhy strávil jako zaměstnanec nadnárodních společností na různých pozicích (od technických až po manažerské) v různých zemích všech kontinentů. V současné době působí jako konzultant, lektor a mentor v oblasti strategického, projektového, procesního, osobního a IT řízení. Pomáhá firmám řešit jejich problémy a využívat příležitosti poskytnutím zkušeností získaných za 30 let v IT, znalostí různých rámců a metodik jako například COBIT, ITIL, PRINCE2, Agile, DevOps apod. a nástrojů, které k tomu potřebují.
Nahoru
Table-top cvičení představují vhodný nástroj pro navyšování povědomí v oblasti kybernetické bezpečnosti, a to zejména (ale ne pouze) u pracovníků působících na strategické úrovni. Podobné cvičení již v minulosti pracovníci NÚKIB připravili například pro energetický sektor v ČR, Kurz Generálního štábu ČR, americký Kongres nebo U.S. Cyber Command.
Workshop umožní účastníkům projít krizovou situací, která se odehrává, či má původ, v kyberprostoru, přičemž připravený scénář bude vycházet z reálných útoků a incidentů.
Hlavním cílem je odpoutat pozornost od čistě technického vnímání řešení kybernetických incidentů, a naopak poukázat na nutnost jejich komplexního vnímání a kontextu realizace. Bez znalosti širšího kontextu je velmi těžké chránit kybernetický prostor. Scénář cvičení tak bude kombinovat nejrůznější vektory útoků, které jsou provázané, v čase eskalují a svým dopadem často přesahují do roviny strategické, politické, ekonomické, mediální, právní a dalších.
Mezi další cíle table-top cvičení patří:
• Procvičit rozhodovací procesy během krizové situace, s nedostatkem informací a v časovém
tlaku.
• Poukázat na význam mediální komunikace v kontextu kybernetického bezpečnostního incidentu a koordinaci této komunikace s partnery.
• Zprostředkovat porozumění dopadům kybernetických útoků majících za následek nefunkčnost klíčových informačních a komunikačních systémů.
• Seznámit se s pohledy rozličných subjektů na řešení kybernetického bezpečnostního incidentu a pochopit řešení problému z různých perspektiv.
• Upozornit na dopady v případě ztráty důvěry v informační a komunikační systémy.
• Poukázat na možné důsledky kompromitace dat útočníkem.
• Cílem cvičení primárně není posuzovat odpovědi na základě jejich (ne)správnosti.
K účasti na table-top cvičení nejsou nutné hlubší technické znalosti v oblasti ICT či kybernetické bezpečnosti. Cvičení je koncipováno jako netechnické, s důrazem na rozhodovací procesy.
Pavlína Jedličková
Absolventka Pedagogické fakulty Masarykovy univerzity v Brně. Od roku 2018 pracuje na Národním úřadu pro kybernetickou a informační bezpečnost, kde v roce 2015 začínala jako stážistka. V začátcích svého působení na NÚKIB začínala jako referentka vzdělávání se zaměřením na základní školy. Nyní působí na oddělení cvičení, kde se věnuje přípravě a realizaci kybernetických cvičení.
Petr Novotný
Absolvent Fakulty sociálních studií Masarykovy univerzity v oboru Bezpečnostní a strategická studia. Pracuje na Národním úřadě pro kybernetickou a informační bezpečnost jako člen oddělení cvičení. Hlavní náplní jeho práce je příprava a vedení cvičení v oblasti kybernetické bezpečnosti. Podílí se také na tvorbě jejich scénářů a vyhodnocování. V rámci své agendy se rovněž věnuje vzdělávání zaměstnanců ve veřejném sektoru prostřednictvím workshopů a interaktivních seminářů.
Nahoru
Příspěvek se zaměří na praktickou využitelnost nových myšlenek objevujících se v inovovaných metodických rámcích s primárním zaměřením na COBIT 2019 a ITIL 4. Bude diskutována preskriptivnost klasických metodických přístupů v kontrastu na agilní přístupy a možnosti jejich rozumné kombinace v praxi.
Petr Hujňák
Dlouhodobě se zabývá metodickými přístupy v informatice a jejich aplikací v praxi. Je soudním znalcem na informatiku ve třech oborech, certifikovaným projektovým ředitelem IPMA (Level A), certifikovaným projektovým manažerem na oblast projektové kvality (ISO 10006), certifikovaným odborníkem ISACA na řízení podnikové informatiky (CGEIT) a řízení rizik a IT kontrol (CRISC). Dlouhou dobu působil jako vedoucí partner divize Consulting ve společnosti Ernst&Young. Dnes působí jako CEO společnosti Per Partes Consulting soustředěné na nezávislé ICT poradenství, je prezidentem ISACA Česká republika a předsedou konference IT Governance.
Nahoru
Prezentace se bude věnovat srovnání typických implementačních přístupů pro implementaci tzv. „On Premise“ informačních systémů a tzv. „Cloud“ resp. „SaaS - Software as service“. Zaměříme se na klíčové faktory úspěchu jak v rámci přípravy zadání projektu a přípravy organizace před samotným projektem přechodu na „Cloud“, tak i kritické faktory úspěchu a rizika samotné realizace.
Petr Böhm
Studoval na ČVUT a na B.I.B.S. v Brně - program MBA for Senior Executives. Získal mnoho
profesních certifikací CISA, PRINCE2, PRINCE2 Agile, PMI-PMP, AgilePM apod. Nyní zastává roli Senior Project managera ve společnosti ORACLE Czech. Během své kariéry pracoval mimo jiné také jako Change manager a vedoucí týmu IS Security a podílel se na tvorbě metodiky analýzy rizik pro Národní bezpečnostní úřad. Má více jak 20 let zkušeností v oblasti implementací ERP (SAP, Oracle) včetně Cloud HCM, dále s poradenstvím v oblasti procesního řízení, řízením organizačních změn, definici strategie IT atd. Je členem komory projektových manažerů a ISACA.
Nahoru
Správné a efektivní řízení konfigurací významně snižuje rizika spojená se správou IT. Dynamické prostředí cloudových služeb, které umožňují pružné škálování, tedy nasazování nových aktiv i jejich vyřazování bez zásahu operátora, s sebou přineslo nutnost fundamentální změny implementace řízení konfigurací. Společně se zaváděním agilních metodik, především DevOps přístupu, se ujalo jako standardní přístup řízení infrastruktury jako zdrojového kódu. V přednášce si vysvětlíme, jak tento přístup naplňuje požadavky konfiguračního managementu, v čem spočívají jeho hlavní výhody a rizika a představíme si některé další oblasti, kde se konfigurace jako kód dá úspěšně využít.
Tomáš Honzák
Dlouholeté zkušenosti v oblasti metodologie vývoje software, procesního řízení a řízení informační bezpečnosti získal v globálních společnostech. V současné době působí jako Chief Information Security Officer v česko-americkém startupu GoodData, kde vybudoval systém řízení informační bezpečnosti v souladu s požadavky ISO 27002:2013, certifikovaný SOC 2 a naplňující požadavky HIPAA a GDPR. Zaměřuje se na hledání synergií mezi agilními metodikami vývoje a provozu IT a požadavky standardů řízení bezpečnosti a kvality. Je členem výboru české pobočky ISACA a držitelem certifikace CISM.
Nahoru
Mnoho organizací staví CERTy a CSIRTy nebo využívaá služeb SOCu, ipmplementuje technologii, detekuje, vyhodnocuje a řídí kybernetické bezpečnostní incidenty. Brání organizaci a honí hackery. Kdo však řekl, že právě to co řeší jsou bezpečnostní incidenty skutečně ohrožující organizaci? Byla ohrožena informační bezpečnost, IT nebo dodavatel SIEMu? Vskutku se organizace brání před incidenty, které ji ohrožují anebo se jen honí za fantomy? Z praxe mé vlastní i z praxe mnoha SOC poskytujících služby zákazníkům vyplývá, že určit co je skutečným bezpečnostním incidentem není snadné. Tato přednáška Vám pomůže přehodnotit přístup k bezpečnostním incidentům, definovat skutečné bezpečnostní incidenty a připravit zadání jak tyto incidenty poznat, vyhodnotit a jak je zvládat.
Richard Michálek
Vystudoval VVTŠ v Liptovském Mikuláši, je členem výboru ISACA CRC. Zaměřuje se na praktické výstupy systémů řízení bezpečnosti informací a zajištění kontinuity činností organizace a na použití bezpečnostních technologií. V současné době využívá své více než dvacetileté zkušenosti z vedoucích a technických pozic jako nezávislý konzultant pro kybernetickou bezpečnost a oblast zajištění kontinuity činností organizace.
Nahoru
Během vyhodnocení budou odhaleny reálné incidenty a útoky, kterými se scénář cvičení inspiroval. Rovněž dojde k vyhodnocení odpovědí cvičících ve světle jak pozitivních, tak také negativních historických příkladů a zkušeností pracovníků NÚKIB. Odpovědi přitom nebudou primárně hodnoceny na ose dobré/špatné, ale právě například ve světle historických událostí či jejich časové a vnitřní konzistentnosti. Součástí vyhodnocení bude nakonec i sdílení doporučení, dobré praxe a tzv. „lessons learned“ ze strany NÚKIB.
Pavlína Jedličková
Absolventka Pedagogické fakulty Masarykovy univerzity v Brně. Od roku 2018 pracuje na Národním úřadu pro kybernetickou a informační bezpečnost, kde v roce 2015 začínala jako stážistka. V začátcích svého působení na NÚKIB začínala jako referentka vzdělávání se zaměřením na základní školy. Nyní působí na oddělení cvičení, kde se věnuje přípravě a realizaci kybernetických cvičení.
Petr Novotný
Absolvent Fakulty sociálních studií Masarykovy univerzity v oboru Bezpečnostní a strategická studia. Pracuje na Národním úřadě pro kybernetickou a informační bezpečnost jako člen oddělení cvičení. Hlavní náplní jeho práce je příprava a vedení cvičení v oblasti kybernetické bezpečnosti. Podílí se také na tvorbě jejich scénářů a vyhodnocování. V rámci své agendy se rovněž věnuje vzdělávání zaměstnanců ve veřejném sektoru prostřednictvím workshopů a interaktivních seminářů.
Nahoru
Pozrieme sa na pokročilých útočníkov, ich nástroje, techniky a metódy, ktoré používajú pri cielených útokoch. Medzi ich obete patria rovnako vládne inštitúcie a významné spoločnosti, ako aj zaujímaví jednotlivci. Keďže útočník si môže vybrať formu útoku podľa vlastného uváženia a schopností, uvidíme ich celé spektrum -- od jednoduchého phishingu až po komplikovné supply-chain útoky a zero-day zraniteľnosti.
Peter Košinár
Pracuje v spoločnosti ESET viac ako desaťročie, je kľúčovým developerom v tíme zastrešujúcom technológiu detekcie a taktiež popredným výskumníkom. V súčasnosti sa zaoberá predovšetkým investigatívou kybernetických útokov – vrátane kryptoanalýzy, neštandardnými vektormi útokmi či cielenými útokmi. Taktiež pomáha pri odhaľovaní páchateľov kybernetických zločinov, na čom spolupracuje aj s vyšetrovacími orgánmi. O IT bezpečnosti a analýze malvéru často prednáša vysokoškolským aj stredoškolským študentom. Pred ESETom pôsobil niekoľko rokov ako nezávislý výskumník v oblasti počítačovej bezpečnosti.
Nahoru
Z pohledu řízení bezpečnosti ve vývoji software představuje rychlost a agilita DevOps týmů značnou výzvu. Integrace automatizovaných nástrojů do vývoje zkrátila vývojový cyklus a manuální procesy již nedokáží udržet krok s frekvencí změn. Odpovědí na tuto výzvu je automatizace bezpečnostního testování do vývojové pipeline a přenesení části odpovědnosti na vývojové týmy. Zaměříme se na výběr vhodných automatizovaných nástrojů, způsoby jejich použití a přínosy pro organizaci. Také se podíváme na procesy, které je potřeba vytvořit, aby automatizace byla efektivní.
Josef Krýcha
Je specialista bezpečnosti ve společnosti AEC a zaměřuje se na řízení bezpečnosti ve vývoji aplikací. V posledních pěti letech spolupracoval s řadou vývojových týmů adaptujících DevOps a DevSecOps a nasbíral cenné zkušenosti z jejich úspěchů i nevyhnutelných nezdarů. V současné době se věnuje zejména vývoji metodiky pro bezpečný vývoj aplikací a školením vývojových týmů.
Nahoru
Agilní prostředí s filosofií “selhávej často, ale brzy” a s důrazem na interakci, fungující software, spolupráci s klienty a reakci na změny (namísto procesů, dokumentace, vyjednávání a plánování) zvyšuje efektivitu práce a zapojení vývojářů do celého životního cyklu software, ale co když na agilně fungující společnost dopadne povinnost prokazovat shodu s přísnými regulacemi finančního světa? V případové studii popíše Ing. David Doležal, Security Officer ve společnosti Zonky, cestu, kterou se Zonky dostalo od “neřízeného” agile do firmy, která prochází všemi audity, a přitom si uchovala maximum flexibility, inovací a efektivity, které agilní metodiky přináší.
David Doležal
Zkušenosti s bezpečností začal sbírat již na Vojenské Akademii, tehdy schováno pod názvy předmětů "spolehlivost systémů, přenos informací" a podobně. Po získání ostruh jako Ředitel bezpečnosti PPF Banky okusil agile prostředí startupu GoodData jako security architekt. Po malé zastávce ve zdravotnictví (Novartis, security manager) nyní zkušenosti z obou pólů světa (striktně regulovaná banka VS startup) zužitkovává v Zonky jako security manager.
Nahoru
Žijeme již druhý rok ve světe s GDPR a stále některé oblasti zůstávají nevyjasněné, resp. různě interpretované. Právě vztahy a spolupráce mezi Správci, Zpracovateli a Příjemci jsou jednou z těchto oblastí. V panelu zasednou reprezentanti businessu, práva, bezpečnosti i IT.
Agilní prostředí s důrazem na interakce, spolupráci a fungující software nejen že často zanedbává či zcela opomíjí dokumentační a procesní stránku věci, ale též klade důraz na jednoduchost provádění změn a posunuje rozhodovací pravomoci co nejblíže zdrojovému kódu i provozu. Aplikace standardních auditorských postupů, které jsou ověřené a efektivní v "tradičním" waterfall vývojovém cyklu, by nejen vyžadovala podstatně vyšší úsilí, ale v konečné fázi by ani nepřenesla požadovanou kvalitu auditní zprávy. V přednášce si popíšeme specifika auditu agilního prostředí, jaká rizika musí auditor zohlednit a které kontroly je vhodné pro agilní vývoj aplikovat tak, aby audit proběhl efektivně a bez požadavku na zbytečnou dokumentaci sloužící jen pro potřeby auditu.
Milada Závodová
Manažerka v oddělení Advisory v EY Česká republika s více než 10 letou praxí. Věnuje se řízení projektů zaměřených na Service Organization Controls Reporting (ověřování kontrol v servisních organizacích – SOC 1 a SOC 2 audity) v EMEA regionu a pro globální klienty. Vedle toho byla zapojena v IT části finančních auditů, zejména ve finančním sektoru a utilitách, kde hodnotila procesy změnového řízení, správy uživatelů a IT provozu. Milada je držitelkou certifikace CISA, ITIL Intermediate a ACCA.
Nahoru
Agilní frameworky jako SAFe či tzv. Spotify model vedou firmy k efektivizaci komunikace, snižování administrativy a dokumentace a posilování role tzv. samořiditelných univerzálních týmů. Regulatorní požadavky definované ČNB v rámci tzv. Corporate Governance definují však řadu omezení, které jsou s agilním způsobem fungování částečně či zcela neslučitelné. Jak zajistit agilní fungování banky společně s možností auditovatelnosti a transparentnosti vůči regulátorovi?
Jiří Khun
Již více než 15 let se pohybuje v oblasti návrhu a implementace komplexních informačních systémů a řízení komplexních programů rozvoje IS. V posledních 8 letech se úzce zaměřuje na agilní způsoby rozvoje produktů a s tím spojenou digitální transformaci. Jako lídr KPMG Agile CoE se účastní řady implementačních projektů zavádění agilních transformací v různých odvětvích v ČR i v zahraničí a školení v oblasti agile. V neziskové organizaci zastřešující projektové manažery IPMA je zodpovědný za rozvoj a certifikaci Agile Leadership v České republice.
Nahoru