BOŽIDAR SPIROVSKI, NLB TUTUNSKA BANKA
A Big Cloud of Data. Subtitle: Understanding and planning continuity of big data processing in the cloud
Abstract: Companies are amassing and processing more and more data that assists them in their business decisions. But with such data overgrowing the local datacenter and living in the cloud prone to all kinds of incidents, is your business continuity planning appropriately prepared?
Living in the world of Big Data. Subtitle: Understanding the shift of personal privacy in a world where too much information about us is regularly logged and crunched by someone
Abstract: Our every electronic step leaves a footprint. More and more of those footprints are being analyzed, correlated with other footprints and information, with varying end results. It is high time to understand what is out there about us, what can be out there about us and adjust our thought processes, everyday practices and expectations of privacy.
FEDERICO MAGGI, Politecnico di Milano
AndroTotal: A Scalable Framework for Android Antivirus Testing
With the growing popularity of smartphones and apps, cyber criminals have begun infecting mobile devices with malware. The prevalence and complexity of such malicious programs are constantly on the rise. The number of antivirus products tailored for mobile devices is also increasing. Therefore, a natural question arises: how to scientifically compare such tools to measure their effectiveness at fighting back against this wave of mobile malware? Answering this question is challenging, even when facing traditional, desktop-based antivirus products. We created a practical, scalable toolbox to conduct such evaluation with a rigorous, scientific methodology. In this talk we will describe AndroTotal, a scalable framework to automatically test mobile antivirus products for the Android platform, which overcomes the various technical issues posed by such task. In early 2013 we released AndroTotal as a publicly accessible web application (http://andrototal.org) that allows users to submit Android applications to our system and analyze the outcome of commercial mobile antiviruses.
ROSANA LEMUT STRLE, Informacijski pooblaščenec RS
Tehnologija in humanizem
Kot privrženka humanističnih idej o svobodnem, učečem in sočutnem posamezniku kot gradniku boljše družbe, se vse pogosteje znajdem v precepu, ko nisem več prepričana o tem, ali smo ljudje v iskanju "boljšega jutri" instrumentarizirali tehnologijo ali je ta instrumentarizirala nas. Absurdno, po svoje, seveda, saj v prvem in drugem primeru z "orodjem" še vedno upravljajo (samo) človeški možgani. Smo z napredkom tehnologije res napredovali tudi kot ljudje? Bi morali o človeku kot najvišji vrednoti preprič(ev)ati tiste, ki ustvarjajo nove informacijske rešitve ali morda družba v obdobju, v katerem živimo, najvišjo vrednoto vidi drugje?
BORIS OBLAK, Abakus plus d.o.o.
Varovanje osebnih podatkov v oblaku
Oblačne storitve so zadnji čas vedno bolj popularne. Vedno več poslovanja se zaradi zmanjševanja stroškov seli v oblak. S poslovanjem pa se v oblak selijo tudi podatki, med njimi tudi tisti najbolj občutljivi, osebni podatki.
Na predstavitvi si bomo ogledali, kako lahko v oblaku poskrbimo za varovanje osebnih podatkov in ali se ustrezno varovanje sploh da zagotoviti.
SERGEJ ROŽMAN, ABAKUS plus d.o.o.
Varnostno kopiranje (backup) podatkovnih zbirk in virtualnih sistemov
Varnostno kopiranje je ena od glavnih nalog vsakega administratorja. Idealno varnostno kopiranje naj bi imelo naslednje lastnosti:
• za shranjevanje ne porabi nič časa, nič sistemskih virov in nič prostora;
• vračanje prav tako ne porabi nič časa in nič sistemskih virov;
• varnostne kopije so brez napak in konsistentne;
• vsebina varnostnih kopij nam je ves čas na voljo in »vedno na očeh«.
Kako to zagotoviti? Večina tradicionalnih prijemov varnostnega kopiranja ne ustreza niti enemu od naštetih pogojev, oziroma, če je izvajano s pravilnimi postopki, zadosti le tretjemu pogoju o pravilnosti in konsistenci.
V podjetju Abakus plus smo z namenskimi backup sistemi razvili metode varnostnega kopiranja, ki nič ne obremenjujejo produkcijskih sistemov. Ko se pojavi potreba po restavriranju dela podatkov, na primer datoteke podatkovne zbirke, je to izvršeno v nekaj sekundah tudi pri terabajtnih zbirkah. Na backup sistem z 10 TB diskovnimi kapacitetami pa lahko shranimo 100 in več TB varnostnih kopij, ki so vedno na voljo.
TADEJ KOSMAÄŒIN, CISA, PRIS, Pošta Slovenije d.o.o.
Informacijska varnost in revizija na shujševalni dieti
Varnostni inženirji in revizorji delujemo v podjetjih ali za podjetja, ki se srečujejo z oteženimi gospodarskimi razmerami. Na naši strani so standardi, dobre prakse, kontrolni okvirji in drugo, ki se ne ozirajo po trenutnih zmožnostih podjetja. Kako lahko mi pripomoremo k manjšemu prepadu med željami in realnostjo na našem področju?
NADA ÄŒIBEJ, Pokrajinski arhiv Koper
Dostop do informacij v arhivskem gradivu in njihova zaščita
Upravljanje z informacijami, dostop do informacij, informacijska varnost so le nekatere od delovnih področjih v arhivih, ki so postale bolj popularne ali bolje izpostavljene z uveljavljanjem in širitvijo informacijske tehnologije. Arhivi se s tovrstnimi zadevami ukvarjamo skoraj toliko časa koliko obstajamo. V tej luči bo predstavljen dostop do informacij v arhivskem gradivu in njihova zaščita, ki se je razvijala z razvojem arhivistike ter dejstvo, da današnji dostop do informacij meji na razgaljenje človeka do atomov.
TATJANA HAJTNIK, ARHIV RS
Ključne zahteve za informacijsko varnost pri e-hrambi
Pri poslovanju vsake organizacije nastaja ogromno gradiva, tako v papirni kot elektronski obliki in slednjega je vedno več. Veljavni predpisi (krovni je Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih /ZVDAGA/) pri nas omogočajo, da se tudi elektronsko gradivo lahko hrani v svoji izvirni obliki. Vzpostavljajo se elektronski arhivi, tako dokumentarnega kot tudi arhivskega gradiva, v katerih pa je treba zagotavljati dostopnost, uporabnost, celovitost in avtentičnost tega gradiva skozi več čas trajanja njegove hrambe (zagotavljanje načel varne elektronske hrambe). To pa v današnjih časih predstavlja kar velik organizacijski in tehnološki izziv. Predpisi zahtevajo od organizacij, da za potrebe zajema in hrambe gradiva v digitalni obliki pripravijo in sprejmejo notranja pravila. Poleg same organizacije, usposobljenosti zaposlenih, ki delajo s poslovno dokumentacijo in postopkov njenega upravljanja skozi celoten življenjski cikel je zelo velik poudarek tudi na zagotavljanju njegove varnosti s ciljem dosege načel varne elektronske hrambe. V prispevku bodo izpostavljene zahteve za zagotovitev varnost hranjenega gradiva v elektronski obliki, tako z organizacijskega kot tehnološkega vidika, ki bo hkrati skladna z določili ZVDAGA.
JAKUB SUMPICH, F5 networks
F5 Solutions to protect your web services against latest attacks
Security Architect from F5 Networks will present a solution that is able to significantly decrease a business risks that are coming from latest hacker attacks. F5 is able on one platform to offer solutions of Traffic management and Optimization, Web Application Firewall, L2-7 DoS/DDoS and DNS attacks mitigation.
MAREK SKALICKY, QUALYS
QualysGuard Security & Compliance Suite - supporting SANS TOP-20 Critical Controls
ICT Vulnerability Management and Configuration Audit has been known for a while as one of the most recommended security best practices but still seems to be overlooked and missing in daily IT security routines. During past years SANS Institute introduced TOP 20 The Critical Security Controls focusing on the most powerful security functions that are most effective against the latest Cyber-threats Advanced Targeted & Persistent Threats, with a strong emphasis on "What Really Works". How QualysGuard Continuous Security Suite supports functionality of SANS TOP 20 most Critical Controls using advanced approaches like automated Asset Discovery & Tagging, Continuous Security Monitoring, Vulnerability Prediction Engine, Zero-Day Analyzer, new Web Application Security and Compliance Monitoring services will be presented and demonstrated during live demo session afterwards.
MIKULECKÝ JAN
Security Reporting for Managers
Methodology + case study how to aggregate billions numbers from logs, SIEM and other sources to simple chart understandable for top management. Security managers needs to present the currents status of security and this presentation could help them to prepare intelligible reporting, completely clear for other managers with no sense of security.
How to track security requirements
each project of developing new software, implementing new system or changing anything in information technology needs to start with definition of security requirements. Responsible manager should set the requirements in advance and track their design, implementation and testing. Each requirement has its life cycle and has to be monitored from identification to the final. This presentation will show how simple the tracking is. Everything you need is just list of requirements and a methodology for easy tracking.
TONI KASTELIC, vodja centra za računalniško raziskovanje pri kriminalistični policiji in BORUT ŠTOK, Sektor kriminalistične policije Maribor, vodja Oddelka za računalniško preiskovanje
"Mednarodna preiskava zlonamerne kode Butterfly bot"
Predstavljena bo mednarodna preiskava v zvezi z izdelavo, prodajo in uporabo zlonamerne kode Butterfly za botnet omrežja. Slovenska policija je pri preiskavi sodelovala z ameriškim zveznim preiskovalnim uradom (FBI), špansko policijo, policijo BiH in še nekaterimi drugimi policijami. Pri tem so bili uspešno odkriti storilci, tako izdelovalci, prodajalci kot tudi uporabniki zloramerne kode, s tem pa je bilo onemogočeno nadaljnje delovanje večjega števila takrat aktivnih botnet omrežij.
BOJAN PIRC, Agito d.o.o.
Upravljanje digitalnih identitet
V času velikih potreb po hitrem in učinkovitem pretoku informacij je zelo pomemben nadzor nad viri informacij v podjetju. ÄŒe bi pogledali v marsikatero podjetje bi ugotovili da ni celovitega nadzora nad pravicami, dostopi se dodeljujejo in ukinjajo prepočasi, samo upravljanje pravic pa je porazdeljeno med mnoge skrbnike sistemov, kjer marsikateri ne upravljajo skladno z varnostno politiko podjetja. Opisane težave rešujemo z uvedba sistema za upravljanje z identitetami. Na predavanju bo predstavljen pristop k uvedbi sistema, kako s sistemom rešujemo težave in kaj so ključne pridobitve same uvedbe.
MATEJ KOVAÄŒIÄŒ, GAŠPER ŽEJN IN FERDINAND ŠTEHARNIK
Varnost mobilnih komunikacij
V strokovni javnosti je že dlje časa znano, da je GSM telefonija ranljiva, da nekatera podjetja (npr. BlackBerry, Skype, itd.) nekaterim državam omogočajo dostop do nešifriranih komunikacij, ter da ameriška NSA prestreza velik del svetovnih komunikacij. Marsikdo se zato sprašuje ali in kako svoje mobilne komunikacije zaščititi pred prisluškovanjem?
Odgovor na to vprašanje boste izvedeli na predavanju o varnosti mobilnih komunikacij.
IGOR KARNET, Nova KBM d.d.
Certifikati: ali njihova vrednost odtehta njihove stroške?
ÄŒeprav se organizacije zavedajo koristi certifikatov, se vse pogosteje dogaja, da za njihovo podaljševanje oz. ohranjanje ne namenijo finančnih sredstev. Tako je posameznik v precepu ali izpolnjevati zahtevane pogoje v lastni režiji, ali se odreči težko pridobljenemu certifikatu.
V prispevku bodo v uvodu predstavljene neposredne in posredne koristi tako za organizacijo, kot tudi za posameznika – imetnika certifikata.
Osrednji del prispevka bo posvečen predstavitvi različnih možnosti kako učinkovito izpolniti pogoje in ohraniti veljavnost certifikatov. ÄŒe delodajalec (tako organizacija kot direktno predpostavljeni) vidi večjo neposredno dodano vrednost kot so stroški certificiranja in ohranjanja certifikata, bo kljub strogim varčevalnim ukrepom pridobitev in ohranjanje certifikatov podpiral, sicer ne.
V slednjem primeru imetniku certifikata še zmeraj ostane veliko možnosti in priložnosti kako s malo finančnega vložka v lastni režiji izpolniti pogoje. V prispevku bodo predstavljene konkretne možnosti pridobitve potrebnih CPE točk/ur, kar je pogoj za podaljšanje certifikata.
MARJAN ANTONČIČ, Ainigma d.o.o.
Informacijska varnost v funkciji zagotavljanja verodostojnosti e-dokumentov
Novela ZDDV-1 je zagotavljanje pristnosti izvora, celovitosti vsebine in čitljivosti vsebine e-računa vezala na zanesljivo revizijsko sled med računom in dobavo blaga ali opravljeno storitvijo. S to določbo je aktualizirala uporabo ukrepov in postopkov informacijske varnosti pri zagotavljanju verodostojnosti in pravne veljavnosti e-dokumentov.
mag. MARUŠKA DAMJAN, sekretarka
Ministrstvo za izobraževanje, znanost in šport, Direktorat za informacijsko družbo
Nov evropski pravni okvir za e-identifikacijo in skrbniške storitve za elektronske transakcije na notranjem trgu
Predlog uredbe Evropskega parlamenta in Sveta o elektronski identifikaciji in skrbniških storitvah za elektronske transakcije na notranjem trgu (eIDAS)
je eden ključnih ukrepov Evropske digitalne agende za povečanje zaupanja v spletno okolje in pospešitev čezmejnega e-poslovanja. Uredba krepi in razširja
področje uporabe Direktive o elektronskem podpisu in se bo neposredno uporabljala v vseh državah članicah. Nov evropski zakonski okvir bo vplival
predvsem na razvoj in uporabo e-storitev javnega sektorja, rešitve pa naj bi bile na voljo tudi privatnemu sektorju, torej bomo posledice njegove
uvedbe čutili vsi. MIZŠ želi kot nosilec dosjeja s predlaganimi rešitvami in ključnimi odprtimi vprašanji seznaniti čim širši krog deležnikov.
Biljana Cerin, Ostendo Consulting Group
New ISO 27001 is on stage! Are you ready for the transition?
After listening to this presentation, you will understand the key differences between the previous (2005) and current (2013) version of the ISO 27001 standard. Presentation will focus on the easiest and most cost effective way to prepare for the transition to the new standard, and the key steps for the successful ISMS implementation in accordance with the new requirements.
MATJAŽ KATARINÄŒIÄŒ, Smart Com d.o.o.
Zagotavljanje varnosti na aplikacijskem nivoju
Današnji sistemi komunikacijske varnosti niso več samo izziv s stališča zmogljivosti in razširljivosti, potrebno je zagotavljati vidljivost ter mehanizme upravljanja vse do ravni aplikacij, ki se širijo znotraj omrežij različnih organizacij.
Mehanizmi morajo zajemati prepoznavanje aplikacijskih tokov, izvajanje varnostnih politik na njih, s tem pa bistveno povečamo varnost v komunikacijskih sistemih, kjer spekter aplikativnih potreb bodisi znotraj podatkovnega centra, bodisi med končnimi lokacijami in centrom postaja izredno širok, s seboj pa nosi potencialne varnostne grožnje.
Ključni gradniki t.i. požarnih pregrad nove generacije so razpoznavanje in vidljivost aplikacijskega prometa, uveljavljanje varnostnih politik po aplikacijah in uporabnikih, QoS za prioritizacijo in metriko na aplikacijski ravni ter zaščita pred DoS napadi v aplikacijski ravni, ki so z varnostnimi grožnjami prerasli do sedaj poznane DoS napade na nižjih ravneh OSI sklada.
Danica Šaponja, Ministrstvo za notranje zadeve
NIO - Odpiranje podatkov javnega sektorja
Portal NIO je enotna nacionalna točka kjer lahko javna uprava objavlja tudi strojno berljive podatke, ki so dostopni preko obstojnih URI-jev v RDF formatih, katere se lahko poveže v omrežje sorodnih podatkov ter dostop do aplikacij, ki te podatke na kakršnekoli načine obdelujejo. Z odpiranjem kakovostnih podatkov, ki so pravočasni, celoviti in točni, lahko javni sektor prispeva k razvoju novih spoznanj in novosti, lahko izboljšajo življenje drugih, kot tudi izboljša pretok informacij znotraj javnih uprav.
Odpiranje podatkov javnega sektorja je dinamičen proces. Koristi od ponovne uporabe podatkov imajo lahko različne zainteresirane javnosti, podjetja, znanstvene in izobraževalne institucije, mediji, študenti kot tudi sami lastniki podatkov, torej javna uprava. Pred nami je iskanje odgovorov na različna vprašanja, dileme in strahove, ki spremljajo postopno odpiranje podatkov javnega sektorja, predvsem glede skladnosti z zakonodajo na področju varstva osebnih podatkov, odpirajo pa se tudi vprašanja glede licenc in avtorskih pravic ter komercializacije podatkov. Koliko odgovorov dobimo na vprašanje "Kako bo zgledal svet čez pet, deset, dvajset let?", "Bomo tudi mi aktivni košček sodobnega sveta?"
