09:00 Zahájení konference
09:05 Zahájení hackerské soutěže
09:10 Zahájení konference
09:15 Zahájení hackerské soutěže
Prezentované řešení (InfoSphere Guardium) poskytuje neinvazivní architekturu pro monitorování a audit práce uživatelů s databázemi v reálném čase. Implementace řešení nevyžaduje žádné změny, ani rekonfigurace na straně monitorované databáze, ani na straně aplikace.
Řešení podporuje všechny hlavní databázové platformy. InfoSphere Guardium poskytuje komplexní správu zabezpečení dat, kontrolu přístupu uživatelů k systému a datům a aktivní prostředky pro zabránění zneužití dat jak normálními, tak privilegovanými uživateli. Nezávislost řešení jak na privilegovaných uživatelích, tak na nativním auditu databází zcela brání jakémukoliv neoprávněnému manipulování s auditními záznamy, případně obcházení auditu.
Řešení je v souladu se všemi hlavními standardy, které definují pravidla databázové bezpečnosti (SOX, PCI, NIST, STIG a další).
Pro všechny tyto standardy má řešení předpřipravené testy pro vyhodnocení zranitelnosti systému. Kromě stručného popisu řešení bude prezentována také případová studie typického nasazení řešení.
více »
Jak se kybernetický svět proměnil od dávnověku, kdy hlavní role patřily slávě a uznání do dnešní podoby kdy vládnou peníze a sofistikovaný kyberzločin ? Kdo vlastně stojí na odvrácené straně světa jedniček a nul, proti komu se je třeba bránit? Kdo jsou "oni" a jaké nástroje používají, jakou mají motivaci ? Nejsou to náhodou antivirové společnosti samotné, kdo vytváří a distribuuje malware? více »
Výhody a přínosy SIEM (Security Event a Information Management) pro řízení bezpečnosti jsou nesporné. Sdružuje workflow Problem & Incident managementu, vytváří knowledge base pro rychlé řešení opakovaných situací a významně podporuje reporting a compliance proces. Doposud se zájemci SIEM systémů soustředili jen na sběr a korelace událostí z infrastruktury informačního systému, hlavním předmětem zájmu bezpečnosti byl jen výkon a schopnosti SIEM zpracovat informace z log záznamů. Co ale obnáší skutečný provoz SIEM? Co všechno je nutné řešit před a po implementaci SIEM? Co stojí provoz SIEM a jaká je fragmentace nákladů? Jak řešit Disaster Recovery a nezávislý Log management? Uvedené otázky si odpovíme spolu s Davidem Doležalem, CSO ve společnosti PPF banka, kde provozují SIEM už více než 6 let. více »
Každý informační systém má mnoho zranitelných míst, pomocí kterých jsou možné ohrozit základní požadavky na bezpečnost informačního systému, kterými jsou zajištění důvěrnosti, integrity, nepopiratelnosti a dostupnosti dat a služeb poskytovaných daným informačním systémem. Řízení zranitelnosti je kontinuální proces a musí být tak na něj uvnitř organizace pohlíženo. Příspěvek si klade za cíl, aby pomohl posluchačům zavést nebo zlepšit efektivní řízení zranitelnosti na různých vrstvách informačního systému, podělil se o pozitivní i negativní zkušenosti z praxe a možná odboural některé mýty, které o řízení zranitelnosti mezi správci informačních technologií kolují. více »
Je tradiční antivir a firewall dostatečné zabezpečení ICT? Dokážete odhalit cílený útok? Na základě konkrétního útoku na citlivá data upozorníme na aktuální nedostatky v zabezpečení. Představíme způsoby ochran vůči uvedenému útoku jako jednu z možností požadovaného přístupu k bezpečnosti. více »
We will focus on the needs of the Small to Medium size Enterprise to identify vulnerabilities.
The CISO of such an organisation will require regular information about progress regarding patching and mitigation of vulnerabilities.
The operational teams need to know how to prioritize systems, and how to focus efforts for specialist teams to do their jobs efficiently.
Tracking all of this requires a continual approach to monitoring and testing of the entire Enterprise’s networks.
We’ll mention how this applies to the PCI-DSS requirements, and how it can be extended into other policy frameworks.
Here we present a solution to this very demanding area of Network Security – Tenable’s SecurityCenter with Nessus, Passive Vulnerability Scanner and Log Correlation Engine.
více »
Cílem prezentace je představit možné způsoby identifikace rizikových oblastí aplikací prostřednictvím modelování hrozeb. V prezentaci budou představeny vybrané metodiky pro modelování hrozeb (Microsoft, OWASP). Výhody a nevýhody modelování budou porovnány s tradičním přístupem k identifikaci rizik, který představuje analýza a hodnocení rizik. více »
Trh s mobilními technologiemi roste závratnou rychlostí a mobilní zařízení se tak stále více integrují do našich osobních a pracovních životů. Vysoký výpočetní výkon, velký display, integrace nejnovějších technologií, Internet, sociální sítě, e-maily a především mobilita a flexibilita. To vše dohromady tvoří univerzální zařízení, které nabízí uživateli široké možnosti využití nejen pro zábavu a relaxaci, ale také například pro zvýšení efektivity práce. Doposud jsme vyjmenovali jen samá pozitiva, která vidí většina uživatelů a díky kterým se trh s mobilními zařízeními tak rychle rozvíjí. Mobilní technologie však přináší řadu bezpečnostních problémů, o kterých uživatelé často neví nebo si je neuvědomují. Cílem naší přednášky je o těchto bezpečnostních zranitelnostech nejen informovat, ale zároveň Vás chceme seznámit s postupy, které vedou k bezpečnému používání mobilních zařízení. více »
Přednáška se věnuje vysvětlení pojmu GRC (Governance, Risk, Compliance) a jeho výhod zejména v oblasti řízení rizik v různých typech organizací a společností. Podíváme se na různé přístupy k řešení GRC, na dostupné GRC nástroje a platformy a nezapomene ani na pohled analytických společností na tuto problematiku. více »
Používání mobilních telefonů a "chytrých" telefonů čili smartphonů je dnes vcelku běžnou záležitostí. Zvlášť popularita smartphonů je stále více na vzestupu. Usnadňují nám komunikaci, ale zároveň se mohou stát i předmětem krádeže či ztráty. Co Vás poté bude bolet více? Cena mobilu nebo informace v něm uložené (kontakty, kalendář apod.)? více »
Na základě informací sebraných z úniků dat držitelů platebních karet identifikovaly karetní asociace rizika ohrožující bezpečnost jejich dat a definovaly přesná pravidla pro jejich ochranu a detailní postupy pro kontrolu plnění těchto pravidel. Cílem přednášky je představit, jak vnímají rizika karetní asociace, jaké nástroje nabízí na jejich řízení a jak tyto nástroje můžeme využít i mimo prostředí platebních systémů. více »
Přednáška prezentuje pohled na moderní malware, se zaměřením zejména na oblast útoků připravených pro konkrétní cíl, se záměrem dlouhodobě získávat informace z napadené organizace. Zaměříme se na analýzu trendů ve vývoji malware, analýzu organizačních struktur útočníků a popis technik útoků, ve většině případů ilustrovaných na konkrétních případech. Přednáška vyústí v analýzu rizika a sadu doporučení pro efektivnější ochranu sítí před dlouhodobým působením moderního malware. více »
V prezentaci budou přiblíženy překážky, se kterými se koncový zákazník potýkal při definování strategie a hledání mantinelů pro nasazení DLP řešení v telekomunikační společnosti. Zejména budou představeny problémové oblasti plynoucí z aktuálních požadavků českého právního prostředí, a jak následně dopadlo interní nastavení cílů DLP, v proporcích přiměřených dopadům na uživatele, na obchodní cíle a na posílení ochrany dat. více »
Hackers' view: motivations and why many of today's most prevalent attacks are targeted at your applications.
Mitigation: understanding popular hacker techniques and how to combat them in a data center solution.
více »
DLP systémy a zpracování osobních údajů. Informační povinnost při jejich zavádění. více »
Nejen z titulních článků novin je patrné, že vynalézavost hackerských útoků neustále roste. Tato odvrácená strana IT se stala velmi výnosným obchodem po celém světě. S narůstající efektivitou škodlivého software, jako jsou trojské koně, sítové červy, nebo zero-day exploity si doposud běžné technologie jako antivirové programy nebo IDPS již neví rady. Dle mnoha uznávaných odborníků se s těmito útoky setkává téměř každý správce sítě, problémem však je, že pouze hrstka z nich s nimi dokáže efektivně bojovat. Přednáška poodhalí trendy efektivních útoků a zaměří se na možnosti a mechanizmy jejich odhalení. bohužel i kriminálníků. více »
V souvislosti se snahou zaměstnavatelů, chránit svá obchodní tajemství, případně obecně svá data, dnes již většinově ukládaná v elektronické podobě, se občas diskutuje i o právu zaměstnance na soukromí ve vztahu k jeho e-mailové korespondenci. Případně k užívání počítače, který mu byl zaměstnavatelem svěřen k vyřizování takové korespondence. Anebo zda v tomto počítači může mít zaměstnanec své soukromé písemnosti, do kterých mu zaměstnavatel nesmí strkat nos. Nic proti tomu, pokud to zaměstnavatel povolí. Pokud ne, je každá diskuse zbytečná, protože zaměstnanec žádné takové právo nemá! A o tom všem bude můj příspěvek. více »
Stále více firem dává přednost veřejným cloudovým platformám před vlastní serverovou infrastrukturou. Nespornou výhodou takového řešení je orientace pouze na provozování dané aplikace a odpadají tak starosti se správou infrastruktury. Poskytovatelé veřejných cloudových řešení nabízí služby pro běh aplikací nebo ukládání velkých objemů dat. Cílem přednášky je poukázat na světlé i temné stránky konkrétních služeb konkrétních poskytovatelů z hlediska bezpečnosti očima vývojáře cloudových aplikací. Přednáška se týká využití veřejných cloudů z pohledu zákazníka i z pohledu útočníka. V prvním případě se jedná o bezpečnost samotných služeb a zmírnění rizika při migraci aplikace a dat do cloudu, v druhém pak možnosti zneužití cloudových služeb k rozesílání spamu nebo útokům DoS. více »
Operátor trhu s elektřinou není právě typickou českou společností. OTE, a. s. je relativně malá společnost co do počtu zaměstnanců avšak významný hráč na poli energetiky. Přednášející se s Vámi podělí o zkušenosti s implementací bezpečnosti v této organizaci, seznámí Vás s největšími riziky ohrožujícími bezpečnost dat apod. více »
Je potrebné myslieť na bezpečnosť už pri vývoji aplikácie? Dnes, keď väčšina aplikácií komunikuje s užívateľmi cez web, je bezpečnosť neoddeliteľnou súčasťou vývoja. Musíme na ňu myslieť pri zadávaní funkčných požiadaviek, pri navrhovaní architektúry riešenia, pri dizajnovaní aplikácie, jej testovaní atď. Analýzy a štatistiky ukazujú, že je lacnejšie myslieť na bezpečnosť počas vývoja aplikácie ako až po jej prvých penetračných testoch. V prípadovej štúdii Vám ukážeme, ako je možné implementovať bezpečnosť do vývoja aplikácie. více »
Cílem příspěvku je seznámení se zkušeností s implementací měření a metrik v oblasti ISMS na České poště. Na Case study budou objasněny požadavky a důvody pro zahájení měření ISMS v České poště; požadavky a důvody pro zahájení měření ISMS objasní ředitel odboru bezpečnost ICT. Následně bude konzultantem AEC vysvětlen přístup a způsoby měření ISMS na České poště. Samozřejmě z důvodu citlivosti dat nemůžeme ukázat reálná data, ale taková data, která názorně demonstrují přínos měření ISMS. Cílem prezentace je ukázat, že i pomocí nenákladných prostředků lze efektivně jednak sbírat data a jednak data prezentovat a tato měření jednoduše periodicky opakovat. Závěr prezentace bude opět patřit Řediteli odboru bezpečnost ICT, který shrne výstupy projektu a jeho přínos pro manažerské rozhodování v oblasti investic do zlepšování úrovně bezpečnosti na České poště. více »
Když se řekne “přijde audit”, řadě bezpečnostních manažerů naskočí husí kůže, mnoho jich zvolá “Jen to ne!” a začne rychle přemýšlet, co by mohli udělat, aby se setkání s auditorem mohli jakýmkoliv způsobem vyhnout. Pokud to jde, hledají se důvody, proč právě teď není ta vhodná doba. V opačném případě probíhá urychlená aktualizace bezpečnostních směrnic, hledá se, kde všude je třeba “natřít trávu” a současně se tiše doufá, že ty papíry budou auditorovi stačit a reálnou situaci bude posuzovat pouze velmi povrchně. A přitom nemá bezpečnostní manažer většího spojence při prosazování bezpečnosti ve společnosti, než je kvalitní auditor silné váhy. Myslíte, že ne? Přijďte o tom podiskutovat. Budu se těšit. více »
Softwarový vývoj se stává stále složitějším. V rekordně krátkém čase vytváříme komplexní aplikace, které se integrují mezi sebou a jsou dostupné přes webová rozhraní na veřejných či firemních sítích. Zákazníci kladou důraz na kvalitu a jednoduchost nasazení. Zabezpečení aplikací je považováno za automatickou věc. Jak je to ale doopravdy? Jak vývojáři skutečně řeší zabezpečení svých produktů? A kolik bezpečnostních defektů vyplývá ze špatného kódu? Pojďme se podívat na trendy a možnosti v zabezpečení vývoje aplikací a jakým způsobem lze předcházet potenciálním hrozbám. více »
Používáte zastaralý prohlížeč, stránky se nebudou korektně zobrazovat. Aktualizovat
