09:00 Zahájení konference
Stanovení priorit pro řízení informační bezpečnosti a vyvážení organizačních, technických a procesních opatření je nikdy nekončící práce. V situaci měnících se firemních cílů, rozhoupaných (a většinou nižších) rozpočtů, tlaků na efektivitu, zeštíhlení a optimalizaci provozu IT může být složitější než dříve obhájit důležitost informační bezpečnosti a případné investice do jejího zlepšování. Srovnání se se snažením ostatních je dobrým způsobem ověřit si, zda naše instinkty neochably a že nám neuniká některý z aktuálních trendů a přístupů. Příspěvek představí hlavní závěry dvou nedávných průzkumů - Průzkum stavu informační bezpečnosti v ČR 2009 (Ernst & Young, NBÚ, DSM - data security management) a Ernst & Young Global Information Security Survey. Ukážeme hlavní podobnosti a rozdíly problémech, které řeší společnosti v Čechách a ve světě.
Prezentace ukáže na zjištěních celosvětového a českého průzkumů v oblasti informační bezpečnosti co v současné době představuje pro firmy hlavní oblasti k řešení a jejich priority.
více »
Převážná většina současných IS využívá běžně dostupné produkty, jejichž skutečná bezpečnost nemůže být vlastníkům, architektům, provozovatelům a uživatelům IS detailně známa. Ti se musí spolehnout na výrobce, že do svých produktů zabudují potřebné bezpečnostní funkce, zajistí požadovanou kvalitu a zajistí dostatečně rychlé vydání a distribuování opravených verzí v případech, kdy jsou v produktech odhaleny zranitelnosti a bezpečnostní nedostatky. Odpovědní vlastníci IS musí řídit rizika spojená s využíváním jejich IS a proto hledají ekonomicky únosné metody, jak rizika ocenit a rozhodnout o nákladech na jejich zvládnutí. Klíčovými informacemi potřebnými pro identifikaci a ocenění rizik jsou informace o zranitelnostech produktů, které jsou v IS použity. Pracovníci odpovědní za řízení informační bezpečnosti jsou povinni tyto informace shromažďovat a využívat. Při tom jim může pomoci několik ověřených informačních služeb a všeobecná orientace v současných trendech. Tento příspěvek poskytuje základní informace o zdrojích informací o zranitelnostech a odhalených bezpečnostních nedostatcích v současných IS a trendech, které mohou být podkladem pro předpovědi, jaké bezpečnostní problémy můžeme očekávat. více »
Uběhly dva roky od zahájení realizace elektronizace veřejné správy. Leccos se podařilo, ne všechno však běží tak, jak bychom si přáli. Přílišná horlivost a uspěchanost nejen z technického, ale zejména z legislativně-procesního pohledu při přípravě nového pojetí e-governmentu, se bohužel v tuto chvíli promítá do mnoha problémů. Některé z nich jsou zásadní, ostatní lze vyřešit poměrně snadno. Řada z nich přímo souvisí s bezpečností, ale ne vždy v tom obvyklém pojetí, jak ji chápou "ajťáci". Máme datové schránky, posíláme si elektronické dokumenty. Ale umíme s nimi pracovat? Umíme je považovat za bezpečný nosič informací? Umíme je správně uložit a nebo naopak vytvořit? A co se stane, když nad bezpečností těchto informací začneme skutečně hloubat...? více »
Adaptivni autentizace je založena na tzv. "risk-based authentication" technologii, která provádí rizikovou analýzu každého právě se autentikujícího uživatele. Pro každou autentizaci je v reálném čase spočítán faktor rizikovosti (risk score) a v případě vyššího rizika je uživatel požádán o sekundární autentizaci. Tím lze výrazně zvýšit bezpečnost a současně uživatelský komfort. více »
Současná doba se jednoznačně prezentuje prudce narůstajícím počtem vnějších i vnitřních útoků na počítače, počítačové sítě a různé aplikace s cílem získání citlivých dat a jejich zneužití. Většina útoků je cílených a zaměřuje se především na státní správu a samosprávu, bezpečnostní složky, finanční sektor, zdravotnictví, průmyslové podniky a radiotelekomunikace. Vzhledem k této situaci je už prostě nezbytně nutné urychleně ochránit počítače, počítačové sítě a především data v nich uložená proti různým typům útoků a hlavně proti neoprávněnému přístupu. V Informačním systému Datových schránek se jedná především o přenos velice citlivých dat z nichž velkou část je potřeba ochránit dle Zákona o ochraně osobních údajů a tudíž je vysoce pravděpodobné, že tento systém bude jedním z cílů podobných útoků. Technologie zabezpečení autentizace musí splnit kromě vysoké bezpečnosti i další požadavky včetně provozní odolnosti a možnosti řešení krizových situací, které mohou nastat. Existují už moderní technologie a produkty, které splňují tyto vysoké požadavky včetně požadavků Ministerstva vnitra ČR. V základu se jedná o kombinaci implementace řešení na bázi hardwaru a softwaru a je prověřeno u různých zákazníků - např. Česká národní banka nebo v projektu Czech POINT. více »
Postupně se mění způsoby útoků na Internetbankingu a ochrana proti nim. Pod zabezpečením si uživatelé představí způsob přihlášení k aplikaci a ověření transakcí. Požadavky na zabezpečení jsou často protichůdné a nelze najít ideál, který by vyhověl všem. více »
Chtěli bychom posluchačům ukázat jak je snadné získat přihlašovací údaje k jejich datové schránce a to i v případě, že postupují podle návodů zveřejněných MVČR. Na tomto projektu bychom rádi demonstrovali jak dopadá situace, kdy se místo využití osvědčených a lety prozkoušených technologií „vynalézá kolo“. Samozřejmě bychom rádi vysvětlili a názorně demonstrovali, kde přesně je tento hlavní problém. Kromě tohoto bychom rádi vysvětlili další velká nebezpečí datových schránek,která jsme doposud neviděli nikde publikována. více »
Webová autentizace se s rozmachem Internetu stává stále více oblíbenou a nutnou součástí mnoha portálů a webových aplikací. Cílem semináře bude seznámení posluchačů se základními nejběžněji používanými autentizačními mechanizmy a to především z pohledu jejich fungování a tím vlivu na bezpečnost. U každé autentizace budou zmíněny možnosti obrany proti automatizovaným útokům, proti DoS útokům, enumeraci účtů a dalším bezpečnostním či konfiguračním chybám. Přednáška vychází z několikaletých zkušeností penetračních testerů a jsou zahrnuty především ty nejčastější a nejkritičtější problémy se kterými se v praxi setkáváme. více »
V dobách nemalých finančních částek tekoucích do bezpečnostních politik, organizačních a provozních příruček, všelijakých testů a prověrek elektronických médií, je naší povinností ochránit tyto klientské investice a vyřešit s nimi problematiku propojení s právním světem tak, aby práce s datovými schránkami a elektronickými podáními zajišťovala a podporovala bezpečnostní standardy a zvyklosti jejich informačního systému.
Pojďme se proto podrobněji podívat především na bezpečnost produktů typu elektronická podatelna, bezpečnost procesů při práci s touto dnes již takřka nezbytnou součástí systémů pro správu oběhu dokumentů uvnitř organizace, na zabezpečení nakládání s datovými zprávami prostřednictvím rolí a jejich oprávnění v rámci ISMS a v neposlední řadě na jejich důvěryhodné uložení vnitřními prostředky subjektů. Poznatky a jejich řešení však nevycházejí pouze z legislativních norem, ale především z reálného života DS, nároků a potřeb jejich uživatelů a progresivního a inovativního přístupu vývojářů těchto sofistikovaných řešení k dané problematice.
více »
ISACA - organizace, která vykrystalizovala za dlouhá desetiletí od svého vzniku v organizaci, která pomáhá profesionálům v oblastech procesního řízení, řízení rizik, řízení kvality, bezpečnosti IT i auditu. Poslední dvě jmenované oblasti jsou velmi úzce provázány a na sobě velice závislé. Vzájemná provázanost jejich činnosti umožní organizacím nastavit efektivní řízení IT rizik a reagovat na případné rizika a hrozby. V rámci příspěvku budou představeny i poslední výzkumy a jejich výstupy, vytvořené standardy a postupy v oblastech IT bezpečnosti a IT auditu. více »
Příspěvek přináší pohled na aktuální stav frontendů internetových aplikací určených pro finanční služby. Statistiky vycházejí z velké řady výsledků penetračních testů a auditů bankovních a finančních aplikací realizovaných v roce 2009. Prezentace obsahuje nejen hodnocení aktuálního stavu, ale i popis nejzávažnějších bezpečnostních nedostatků a zranitelností aplikací z pohledu architektury vývoje dle metodik OWASP. více »
Praxe manažera informační bezpečnosti je velmi pestrá. Zmapuje rizika a vytipuje si oblasti, které nejvíce ohrožují podnikání jeho společnosti. Sestaví bezpečnostní strategii a začne ji konzultovat a hájit vůči argumentům dotčených. Po této fázi nastupuje neméně napínavá část čili boj o kapacity a finanční prostředky na realizaci vytčených cílů. Když má vše pohromadě, pustí se do realizace, když v tom... "Dobrý den, my jsme auditoři a chtěli bychom Vám položit několik otázek." Příspěvek se pokusí najít odpověď na otázku, zda stojí CISO a auditoři na jedné lodi, zda se mohou doplňovat, či je mezi nimi nepřekonatelná propast. více »
V tomto příspěvku bychom se chtěli podívat na problematiku bezpečnostních rizik více pohledu business/ projektového managementu. A to pak hlavně bezpečnostní riziko vs. náklad na jeho odstranění a nebo vs. dopad jeho řešení na klienta. Další oblastí je vývoj přistupu k bezpečnostním rizikům v minulosti, přítomnosti a trendy do budoucnosti. Součástí je i několik příkladů z praxe. více »
Složitost současných informačních systémů klade neúměrné nároky na auditní procesy. Většinou se tyto proto omezují pouze na top-level-audit základních procesů informační bezpečnosti. Navíc na úrovni technické bezpečnosti se setkáváme s velkým množstvím různých bezpečnostních technologií a systémů, komplexní technický audit kterých je mnohdy za hranicemi možností i většiny specializovaných externích subjektů.
Příspěvek se bude zabývat možnými přístupy k řešení komplexního informačního a bezpečnostního auditu.
více »
Vzhledem k neustálému rozvoji aplikačních zranitelností, rostoucím rizikům spojeným s přesunem funkcionalit do frontendových aplikací
i snaze o finanční efektivitu projektů dochází ke stále intenzivnějšímu zapojení bezpečnosti do (nejen) aplikačního vývoje. V příspěvku bude tato problematika rozebrána a budou diskutovány konkrétní přístupy s cílem navrhnout cestu vedoucí k optimalizaci ekonomiky projektu.
více »
Podnikové aplikace se stávají stále více předmětem bezpečnostní ochrany před útoky z webového prostředí. Zajištění této ochrany vyžaduje nasazení bezpečnostních opatření, která na druhou stranu mohou omezit do jisté míry komfort či funkčnost podnikové aplikace, kterou ochraňují. Reakcí na ně je technologický nástroj typu webový aplikační firewall od společnosti F5 Networks, jejímž nasazením lze předejít především
- Úspěšně realizovaným útokům zvenčí
- Zásahům do aplikačního kódu z důvodu odstranění problému s bezpečností
- Zpoždění při zavádění aplikace do provozu kvůli náročným bezpečnostním testům
- Snížení výkonu aplikací
více »
Eliminace internetových rizik na vstupním bodu představuje efektivní řešení bezpečnosti sítě. Největší podíl na zavirování podnikových pracovních stanic má dnes prohlížení webových stránek. Jedná se jak o legitimní stránky, zavirované třetí osobou, tak o podvodné stránky, vystavené přímo za účelem šíření viru. V této přednášce se budeme věnovat metodám, kterými lze blokovat a předcházet virovou nákazu, a to mimo vlastní počítačovou síť, mimo vlastní koncové počítače. Podíváme se takzvaně pod kapotu bezpečnostního řešení, jež má na starosti kontrolu webového provozu. Cílem přednášky je mimo jiné ukázat výhody takového řešení oproti individuálnímu řešení bezpečnosti na pracovních stanicích. více »
Moderní smartphony se staly standardní výbavou manažerů, obchodníků a dalších uživatelů. Kombinace telefonu s minipočítačem, navigací, hudebním přehrávačem z takového přístroje činí nejen nepostradatelného pomocníka, ale mnohdy doslova horkou databanku citlivých informací, které mají pro vlastníka mnohdy zásadní hodnotu těžko finančně vyčíslitelnou. Většinou si rizika zneužití dat majitel uvědomí teprve ve chvíli ztráty zařízení nebo jeho odcizení. I zdánlivě nevinné fotografie dětí uložené v přístroji spolu s elektronickým výpisem z banky, s emaily od obchodních partnerů a smlouvou na koupi vily či dovolenou v Tichomoří náhle získávají kontext kriminálního dramatu. Přednáška posluchače seznámí s řešením, které eliminuje většinu rizik vyplývajících z používání chytrých mobilních zařízení prostřednictvím funkcí pro blokování přístupu neoprávněného uživatele k datům a vzdálené smazání obsahu všech obsažených pamětí přístroje. více »
Používáte zastaralý prohlížeč, stránky se nebudou korektně zobrazovat. Aktualizovat
