PREDAVATELJI in POVZETKI

Droni – kakšna so odprta vprašanja in tveganja z vidika zasebnosti in varnosti z novimi letečimi pametnimi napravami, Andrej Tomšič, Informacijski pooblaščenec RS

V zadnjem času se zaradi cenovne dostopnosti čedalje bolj širi uporaba brezpilotnih letalnikov (dronov) -  uporabljajo jih posamezniki, medijske hiše, podjetja, ki nudijo geodetske storitve. Brezpilotni letalniki omogočajo številne koristne možnosti uporabe za hitro in varno ukrepanje pri naravnih nesrečah (požari, poplave, plazovi ipd.), nadzor nad infrastrukturnimi objekti (rafinerije, daljnovodi, plinovodi, jezovi in podobno), medijsko poročanje, umetniško ustvarjanje, naloge s področja policije, obrambe in obveščevalne dejavnosti in številne druge uporabe.
Trenutno še neregulirana uporaba takšnih letalnikov pa po drugi strani predstavlja grožnjo varnosti, enakopravnemu nastopanju na trgu, možne pa so tudi posledice na pravice do varstva osebnih podatkov in zasebnosti. Brezpilotni letalniki so lahko opremljeni z različnimi senzorji, ki zajemajo podatke (od slike, videa, lokacije itd.), med katerimi se lahko za različne namene zbirajo tudi osebni podatki velikega števila posameznikov brez njihovega vedenja in ustrezne pravne podlage. Določene uporabe brezpilotnikov imajo lahko neznatne vplive na pravico zasebnosti (npr. nadzor plinovodov), pri drugih pa so lahko posegi v človekove pravice grobi in obsežni (zlasti pri uporabi v gosto naseljenih področjih, zbiranje podatkov o posamezniku s strani medijskih hiš ali pa nadzor množičnih zborovanj s strani organov pregona in uporaba s strani obveščevalnih agencij). Kako torej ustrezno regulirati uporabo dronov, da bi lahko izkoristili njihove prednosti, a obenem ohranili pravico do zasebnosti – pravico, da nas pustijo na miru?

How to manage evolving threats on evolving ICT assets across Enterprise, Marek Skalicky, AdriaData d.o.o.

Company's todays ICT infrastructure goes beyond physical data centers and classical LAN/DMZ/WAN model towards virtualization, mobility and cloud infrastructure. Therefor key-success factor in efficient ICT management and ICT security management is global and continuous view into all ICT assets and their software components no matter if on premise, virtualized, in remote offices or in Amazon/Azure clouds. Continuos correlation of all ICT assets with up to date threats, vulnerabilities, patches and critical controls via automated vulnerability assessment and configuration audits are 2 more critical-factors to secure your computer networks and to defend it from new evolving threats. Qualys Cloud Platform is addressing all those key and critical factors of global and continues ICT Asset and ICT Security Management.

Dev/Ops - Lessons on Implementing Dev/Ops, Daniel Blander, Techtonica

The Dev/Ops movement has created considerable interest and has been used by IT organizations to justify the use of Agile, Continuous Deployment, automation and a host of of other efforts.  Yet many organizations find that these efforts do not bring the change they expected - their IT organization is still segregated by Development and Operations, speed of deployment is not achieved, and Audit fights the efforts along the way.  This talk will give a brief introduction to what Dev/Ops is, what failures have occurred, and how organizations have addressed those failures through cultural changes, training on fundamental work styles, and created new controls to satisfy Audit departments.

Dev/Ops/Sec - Changing Security for the benefit of collaboration and speed, Daniel Blander, Techtonica

The Dev/Ops movement has created considerable interest and has been used by IT organizations to justify the use of Continuous Deployment, Agile and a host of fast-paced development and deployment models.  These efforts often run into considerable resistance from Audit and Security teams - especially when they challenge traditional models of Change Control, testing, review and control.  This talk will present a brief foundation of the Dev/Ops model, and discuss how to design controls to address Audit and compliance (PCI, and ISO 27001) concerns.  Specific examples will include Change Control, System and Development testing, Configuration Standards, and Incident Response.

Evaluating Vulnerabilities - Doing it Better, Daniel Blander, Techtonica

The Information Security field has long relied on independent entities to define “Risk” associated with vulnerabilities.  We use CVSS scores, or terms like High, Medium and Low.  These models however fall short in being able to communicate “Risk” to an executive who needs to make financial decisions on where to spend money.  This talk will discuss a model for evaluating vulnerabilities using the FAIR model that allows Information Security professionals to communicate the threats in terms that any executive can understand, and makes the information quantifiable.  We will also discuss the element of probability, and impact and how that information is critical to any discussion of vulnerabilities and the Risk associated with them.

So You Want to be the CSO, Daniel Blander, Techtonica

Daniel Blander has spent the last 15 years acting as CSO in one form or another for numerous organizations around the globe.  He has interviewed dozens of CSOs on their experiences, the lessons they learned, and the ways to work that have been successful.  In this talk Daniel will bring those lessons into a single talk on what it means to be a Chief Security Officer, and how you can build a successful security program.  Key topics will include: What is the role of a CSO?  Who should the CSO report to?  How do you successfully get people at your company to collaborate on Security? How do you communicate as a CSO?  What is the difference between Risk Management and Security?  What technical skills should a CSO have?  What management skills should a CSO have?

A Typical Approach for Pentesting a Vehicle (Part 1), Sebastian Biehler, ERNW

Sebastian BiehlerThis presentation is about general IT-Security requirements for Electronic Control Units (ECUs), buses and the design within a vehicle.
Problems we are confronted within normal IT-Infrastructures for years started appearing in the automotive field.
Additional content basically refers to the common first two steps of a pentest, which are the planning and the discovery phase.
It also covers challenges for further implementations.

A Typical Approach for Pentesting a Vehicle (Part 2), Sebastian Biehler, ERNW

This presentation is the sequel of Part 1 and covers information why car testing lab environments are needed due to its increasing complexity.
Furthermore the third step of a pentest is described in detail. The focus lies on the third step the so called attack phase with real world examples.
The fourth step represents the reporting phase which is not the focus of this talk.
It also contains further information about existing car exploration tools to understand and analyze or even to attack "modern" vehicles.

Recept za boljšo varnost pri internetnih plačilih: priporočila EBA s ščepcem PCI DSS, Janko Šavnik, Hypo Alpe-Adria-Bank d.d. 

V decembru 2014 je EBA (European Bank Authority) izdala Smernice za varnost internetnih plačil, ki so za banke zavezujoče. Enako kot tudi zahteve standarda PCI DSS, ki se v primerjavi s smernicami precej bolj nanaša na tehnično plat zaščite podatkov plačilnih kartic, in se v tem delu prekriva z navedenimi smernicami oziroma jih nadgrajuje. Oboje skupaj bankam prinaša veliko obveznosti, uporabnikom pa precej novosti, ki se jih še najbolj opazi pri uporabi e-banke in spletnih nakupov. Na predavanju bodo predstavljene bistvene zahteve EBA smernic in njihovo prepletanje s standardom PCI DSS s poudarkom na tistih, ki jih bo uporabnik najbolj opazil pri izvajanju internetnih plačil. S temi ukrepi se bo namreč bistveno povečala varnost povprečno ozaveščenega uporabnika internetnih plačil, pa tudi ostali bi morali biti kljub nekaterim dodatnim postopkom zadovoljni, saj se bo na tak način močno zmanjšala možnost zlorab

Closed-loop automation for preventing threats in IT environments: Jakub Jiricek, S4E CHS d.o.o.

Jakub JiricekTo discover and effectively eliminate modern 0-day malware is a difficult task. Attackers are skilled and their attack techniques are on a very high level of technology. Let’s see what Palo Alto Networks developed in recent months to stay ahead of the bad guys and how these new next-generation security technologies in the network, on the endpoint and within the cloud can share relevant information to automatically prevent attacks from being successful.

 

Obvladovanje osnovne informacijske infrastrukture – ko tehnika ni dovolj: Boštjan Lavuger, NTR inženiring d.o.o. 

Vsak sistem in tehnologija skozi čas prehaja čez različne faze zrelosti. Strokovnjaki IT tehnologije in varnostni inženirji se zavedamo pomena delovanja informacijske tehnologije za celotno organizacijo. Zaradi tega snujemo vedno kompleksnejše informacijske sisteme, pa tudi podporne sisteme, ki zagotavljajo delovanje informacijske tehnologije. Vendar se z urejenostjo in kompleksnostjo tehnologij vedno bolj pojavlja vprašanje, ali vse nameščene sisteme in opremo tudi v resnici obvladujemo? To je toliko bolj pomembno pri osnovni podporni infrastrukturi, kamor sodijo tudi sistemski prostori in računalniški centri. Pa je pri tem popolnoma nepomembno, ali gre za storitve v oblaku, ali pa imamo lastno infrastrukturo. Po temeljitem premisleku lahko ugotovimo, da je za obvladovanjem naše infrastrukture, potrebno še kaj več, kot samo nameščena tehnologija. Pomembno je poznavanje sistemov, spremljanje njihovega delovanja v ključnih točkah in predvsem obvladovanje s tem povezanih poslovnih procesov. In to je tema našega pogovora, kjer si bomo ogledali potrebe, zahteve in primere iz prakse.

Varnostni pregled nove generacije (V ŽIVO): Grega Prešeren, S&T Svetovanje d.o.o. in Matjaž Kosem, S&T Slovenija d.d.   

Grega PrešerenNa predavanju bomo v živo predstavili tehnike izogibanja tradicionalnim varnostnim rešitvam s posledicami izrabe. Takšne tehnike se lahko dandanes izvajajo že z odprto-kodnimi rešitvami, ki so prosto dostopne na internetu, kar pomeni, da jih lahko uspešno zlorablja praktično vsak malo bolj zainteresiran »heker« brez posebnega tehničnega znanja (npr. script kiddies). Da se ubranimo novejših vrst napadov moramo nadgraditi obstoječe varnostne rešitve z naprednimi koncepti, ki delujejo na način t.i. sandboxinga.

 

Matjaž Kosem

 

 

 

 

 

Odkrivanje groženj v notranjem omrežju - APT: Janko Kersnik, Smart Com d.o.o.

Janko KersnikKadar govorimo o notranjem omrežju, ga večinoma naslavljamo, da je to varno omrežje in da ga imamo pod kontrolo. Pa je res temu tako? Kaj, če smo se okužili z zlonamerno kodo že pred nekaj meseci, pa tega nismo zaznali? Ali nam morda »odtekajo« zaupni podatki? Na kakšen način lahko to odkrijemo in kako se lahko tega ubranimo, boste lahko izvedeli na predavanju.

 

 

 

 

Perfect fit: GRC and SOC: Mehrina Ahmed, Augmen Consulting and Jan Anisimowicz, C&F Sp. z o.o.

Mehrina AhmedNowadays, security management in each company is becoming more and more complex. Security should be delivered not only on the technical level but also at the level of the entire organization. It is crucial to ensure the effectiveness of security processes and smooth access to all security related reliable information. In this approach GRC tools could be perceived as a kee success factor.. In first part of the presentation, Mehrina Ahmed from Augmen Consulting  (Germany) will explain the general concept of GRC and in the second part of the presentation Jan Anisimowicz from AdaptiveGRC (Poland) will highlight the most important items related to SOC (Security Operations Center) implementation using GRC tool. 

 

Dobre varnostne prakse v Windows okolju in kako jih lahko uporabite v Vašem okolju – zapiski iz velikih športnih dogodkov II. del: Miha Pihler, Mikeji d.o.o.

Miha PihlerVas zanima, kako je poskrbljeno za varnost v Windows okolju na velikih dogodkih? Vas zanima, kaj bi lahko prenesli v svoje okolje in s tem izboljšali njegovo varnost? Potem je to predavanje kot nalašč za vas.
Predavanje se osredotoča na varovanje Microsoft okolja z »out of the box« rešitvami, ki so vključene v Windows okolje in temeljijo na izkušnjah iz prvih evropskih iger v Bakuju, kjer je poslovno okolje temeljilo izključno na Microsoft tehnologijah.


Kako se Slovenija pripravlja na začetek uporabe Uredbe eIDAS: Maruška Damjan, Ministrstvo za izobraževanje, znanost in šport

Dobro leto dni po uveljavitvi Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in razveljavitvi Direktive 1993/93/ES (Uredba eIDAS) se v Sloveniji in na ravni EU intenzivno izvajajo aktivnosti za začetek njene uporabe julija 2016. V prispevku bi predstavila aktualno stanje pri sprejemanju izvedbenih aktov, ki jih Uredba eIDAS predvideva, aktivnosti, ki jih izvaja Evropska komisija za pomoč državam članicam pri pripravah na uporabo Uredbe eIDAS ter rezultatie dela Medresorske delovne skupine za pripravo nacionalnega okolja za začetek uporabe Uredbe eIDAS.

 

Podatkovni center - dilema CIO: Branko Jovanović, Advant d.o.o.

Branko JovanovićPredavanje se bo dotaknilo vloge, ki jo ima CIO pri sprejemanju odločitev, povezanih s podatkovnim centrom. Predstavljeni bodo kriteriji pri odločanju ali naj ima organizacija lasten podatkovni center. Pogosto se postavlja tudi vprašanje ali so področje odločanja CIO tehnične rešitve, energijska učinkovitost, merjenje izkoriščenosti, doseganje želene razpoložljivosti in stroški podatkovnega centra ali zgolj zagotavljanje ustreznega nivoja storitev. Dotaknili se bomo vpliva, ki ga ima lahko podatkovni center na to, v kolikšni meri je lahko CIO inovator v svojem podjetju ali organizaciji. 

The Rise of Cyber Crimes: Per Sundbye, PwC Partner

Per SundbyeHow technology is used for the (second) oldest profession: financial fraud.
We will look at the threat landscape, recent developments and actual cases and tools to prevent, detect and investigate cyber crimes.  

 

 

 

Zakaj hekanje in varnostni pregledi niso (več) dovolj učinkoviti?: Igor Hostnik, Astec d.o.o.

Igor HostnikTehnične IT varnostne rešitve, hekanje, varnostne in ostale politike, ne morejo zagotavljati dovolj nizkega poslovnega tveganja družb. Kibernetska varnost je del vsakdana, saj so medicinske naprave, transportna sredstva in druga oprema polna IT-ja. Zato je ključen uporabnik, njegova usposobljenost za rokovanje in osveščenost. Ne le ključen, ampak tudi odgovoren. V priporočilih oziroma smernicah za določene branže je to tudi zapisano.
Na nekaj primerih bodo predstavljeni izzivi in zakaj naši strokovnjaki izvajajo storitve, ki presegajo varnostne preglede ter varnostne politike.

CA PPM, od načrtovanja strategije in poslovnih ciljev do uspešne izvedbe: Leo Lušičić, AD Consulting d.o.o.

Leo LušičićNajbolj pogosto se strateški plani pripravljajo in usklajujejo samo občasno. Na osnovi njih nato organizacije določajo proračunske okvire, strateške investicije, portfelje programov in projektov in tudi metriko, s katero  bodo spremljale uspešnost izvedbe. Pri tem pogosto ne uspejo zagotoviti ključnega pogoja za uspešnost  - ustreznega nadzora izvedbe in tekočega spremljanja uspešnosti doseganja ciljev. Prav to pa je tema predavanja: kako zagotoviti sprotno spremljanje ključnih indikatorjev uspešnosti izvedbe strateških investicij tudi v najbolj kompleksnih organizacijskih okoljih in kako sproti usklajevati in optimizirati strateške odločitve glede na dejansko stanje in dejansko uspešnost realizacije tekočih projektov.

Napredni videonadzorni sistemi in njihov vpliv na varnost in zasebnost: Marko Potokar, IVK Inštitut za varnostno kulturo

marko potokarUporaba video nadzornih sistemov in njena problematika je večplastna. Po eni strani je to tehnologija, ki pozitivno vpliva na stopnjo varnosti v okolju, v katerem je nameščena oziroma uporabljana in pripomore k uspešnejšemu preiskovanju kriminalnih dejanj. Seveda pa se uporaba teh sistemov ni ustavila na področju varovanja ljudi in premoženja, ampak sega tudi v marketinške vode, od sistemov za štetje kupcev in njihovega gibanja v prodajalnah, do sistemov za prepoznavo starosti in spola kupcev. Video nadzor sam po sebi ni nekaj negativnega, tako kot orodje še ni orožje. Lahko pa to hitro postane. Enako velja za (informacijsko) tehnologijo, ki nam je prinesla veliko dobrega in polno koristi. Prav tako nobena tehnologija ni posebej nevarna, če se uporablja sama zase, se pa nevarnost zlorabe lahko poveča, če pride do njihovih združevanj.

Uprave ne zaupajo direktorjem informatike: Aljoša Domijan, EnaA

Informatika že dolgo ni več le tehnologija. S spletom, spletno prodajo in družabnimi omrežji je postala vse večji del vsakdanjih nalog vodilnih direktorjev. Gartnerjevi analitiki so pred nekaj leti napovedali, da bodo direktorji prodaje leta 2017 za informacijske tehnologije namenili več denarja kot direktorji informatike. Svetovalni hiši Avanade in CEB tako poročata, da vodje informatike zaradi preveč tehnološke usmerjenosti v podjetjih uživajo vse manjše zaupanje. Direktorji jim ne verjamejo več, da znajo sami s tehnološkimi rešitvami pomagati pri reševanju problemov in dovolj hitro uvajati inovacije. Med vodji oddelkov jih je 69 odstotkov prepričanih, da lahko brez informatikov dosežejo boljše in hitrejše tehnološke rešitve, ki jih potrebujejo. V anketi sodelujoča podjetja tako mimo IT-jevcev porabijo že skoraj 40 odstotkov denarja za informacijske rešitve in tehnologijo. Namesto direktorjev informatike na sceno prihajajo direktorji za podatke. Novi globalni trend. Ali je že kakšen pri nas?

IBM Security Intelligence Platform for Big Data: Rok Kosem in Sebastjan Štucl, IBM Slovenija d.o.o. 

IBM Security Intelligence Platform for Big Data zagotavlja napredno zaznavanje groženj in tveganj z združevanjem obsežnega poznavanja varnosti in uporabe analitike na velikem obsegu strukturiranih in nestrukturiranih podatkov. IBM QRadar Security Intelligence in IBM Big Data okolje omogoca organizacijam napreden vpogled v varnostna tveganja in celovit ter integriran pristop z združevanjem korelacij v realnem casu. V kombinaciji s forenzicnimi funkcionalnostmi tako lahko zaznate in ustrezno reagirate na napredne notranje in zunanje grožnje ter najrazlicnejše goljufije.

App Ray - Balancing privacy with data connection: Zsolt Nemeth, Camphora Consulting

Zsolt NemethApp Ray scans smartphone applications and searches for problems and potential threats for your personal or corporate data stored on the device. It is a fully automated process,  can scan apps without accessing the source code, and it is able to highlight vulnerabilities, data leaks and privacy breaches. On Android, supplier quality control is mostly insufficient. The IT Security staff is burdened with manual checking. Existing security scanners focus only on malicious code, signatures etc. – and cannot go deep enough to identify loopholes or weak mechanisms in security of carelessly programmed apps. App Ray puts apps through a static and dynamic Sandbox Check Procedure, looking for privacy violations, data leaks or circumventions of the company’s security standards.

Zsolt Nemeth is a serial entrepreneur who set up and run businesses in cyber security. His main interests are cryptography and network security. He founded MDS Ltd in the UK. He has consulted for financial institutions and built up bespoke solutions for them. After selling the company he has founded MDS Holding that has scouted, bought and licenced technologies. Now he runs a startup based on Fraunhofer's technology. He has 11 years of experience in startups. Zsolt holds a Master of Science degree in Economics from Szechenyi Istvan University and a Master of Science degree in Applied Mathematics from Ecole National Superieure. Zsolt also obtained a business degree at Brookes University, Oxford.

Around the world in 7 business advices: Julien Coustaury, Fil Rouge Capital

Zsolt NemethThroughout 20 years of doing business in 83 countries, Julien Coustaury drew 7 conclusions on how to put the maximum chances on your side in order to have successful businesses. 

Julien Coustaury is the founder and managing partner of Fil Rouge Capital, an industrial holding with growth capital and turnaround focus in the Balkan region.
In his spare time, Julien runs his private early stage investment arm: Kronk Investment with about 40 investments mainly focusing on B2C software with some HW exception like H20Pal, the first hydration tracker on the market.
As part of the founding team of Double Recall, Julien attended YCombinator S11 class.
Before that, Julien built and ran Mobile Telecom networks in 83 countries in the world and was elected business personality of the year in Haiti.
Julien currently serves on the board of Symvaro, H20pal and Europronet.
He holds a master’s Degree in Telecom engineering from EFREI, Paris.
Julien is an avid wakeboarder and never says no to a good glass of Bordeaux wine. 

 

 

 

 

 

7.-9.9.2022
Nova Gorica

Izkoristite 25% popust, ki velja samo še do 30.6.2022

1 dan
565€
424€
2 dni
800€
600€
3 dni
1200€
900€
PRIJAVI SE

Cena velja za konference INFOSEK, GDPR (ZVOP-2) in CIO FORUM. Za NLP konferenco in delavnice so cene fiksne.

Izkoristite 25% popust, ki velja samo še do 30.6.2022

1 konferenčni dan
565€
424€

Cena velja za konference INFOSEK, GDPR (ZVOP-2) in CIO FORUM. Za NLP konferenco in delavnice so cene fiksne.

2 konferenčna dneva
800€
600€

Cena velja za konference INFOSEK, GDPR (ZVOP-2) in CIO FORUM. Za NLP konferenco in delavnice so cene fiksne.

3 konferenčni dnevi
1200€
900€

Cena velja za konference INFOSEK, GDPR (ZVOP-2) in CIO FORUM. Za NLP konferenco in delavnice so cene fiksne.

Platinasti sponzorji

Zlati partnerji

Zlati sponzorji

Bronasti sponzorji

Sponzorji tehnologije

Medijski sponzorji

Obveščamo vas, da so bili naši pogoji poslovanja posodobljeni.
Sprememba se nanaša na člen »Odpoved ali sprememba dogodka s strani organizatorja«. Zaradi nepredvidenih dogodkov, kot je tudi trenutna epidemija koronavirusa, si pridržujemo pravico, da posamezna izobraževanja odpovemo ali spremenimo termin oz. način izvedbe (online izvedba).

Odpoved ali sprememba dogodka s strani organizatorja
Organizator si pridržuje pravico do odpovedi posameznega izobraževanja, delavnice, dogodka, seminarja ali spremembe terminov oz. načina izvedbe (namesto osebne izvedbe dogodka, izvedba dogodka preko spleta ali na drug način, pri čemer se ključna vsebina in obseg dogodka ne spreminjata oziroma se prilagodita glede na spremembo, npr. zamenjava predavatelja, prilagoditev urnika ipd., vendar se ohrani enakovredna kakovost izvedenega dogodka). Zavezuje se k obvestilu prijavljenim najkasneje en delovni dan pred predvidenim pričetkom izobraževanja oz. takoj, ko prejme novico o morebitnih izrednih dogodkih, ki so razlog za spremembo/odpoved. V primeru odpovedi izobraževanja s strani organizatorja, organizator, morebitno že vplačano kotizacijo, brezobrestno povrne v roku štirinajstih dni od obvestila o odpovedi ali pa omogoči stranki, da kotizacijo porabi za druge izdelke ali storitve. V primeru spremembe načina izvedbe ostanejo plačila v veljavi, v primeru spremembe termina pa ima udeleženec možnost odpovedati udeležbo iz utemeljenih razlogov po določbi Odpoved s strani udeleženca ali pa se odjaviti na način v rokih, ki jih predvideva določba Odjava udeleženca. 

Celotni pogoji poslovanja so dostopni tukaj: https://poslovanje.pogoji.si/tos/29xyi0o

Ta spletna stran uporablja piškotke. Z obiskom in uporabo spletne strani soglašate s piškotki.  DOVOLIM Več informacij o piškotkih najdete in nastavitve tukaj.