16 grudnia 2015

Projekt Rekomendacji Z dotyczącej zasad ładu wewnętrznego w bankach

Jeszcze przez kilka dni - do 23 grudnia mają miejsce publiczne konsultacje Rekomendacji Z KNF dotyczącej zasad ładu wewnętrznego w bankach.

Wysłałem dzisiaj swoje propozycje uzupełnień. Warto by nasze środowisko możliwie szeroko przyjrzało się temu zagadnieniu, gdyż z takimi Rekomendacjami przyjdzie nam przez kolejne lata funkcjonować. Uwagi można przesyłać na adres drb@knf.gov.pl


3 grudnia 2015

Udzielanie pierwszej pomocy z punktu widzenia eksperta od bezpieczeństwa informacji

Pozwolę sobie na przedruk jedynie jednego z artykułów. W wakacje 2013 roku po jednym ze szkoleń prowadzonych w ramach IMMUSEC przygotowałem następujący tekst

W trakcie jednego z tegorocznych szkoleń niejako przypadkiem udało się połączyć szkolenie z zakresu audytowania systemu zarządzania bezpieczeństwem informacji z przeszkoleniem w zakresie pierwszej pomocy przedlekarski. Wiele z zasad, które przekazywane były na tych szkoleniach okazało się być tożsame.
Celem niniejszego tekstu jest pokazanie ekspertom zajmującym się bezpieczeństwem informacji, jak te tematy są tak naprawdę sobie bliskie. Innym osobom uzmysłowi, że zagadnienia stricte informatyczne mogą być, a nawet powinny być zarządzane analogicznie do ogólnie stosowanych zasad.


2 grudnia 2015

Dzień dobry po przerwie

Witam po dość długiej przerwie. Przez ostatnie 3 lata tak bardzo poświęciłem się wspaniałej przygodzie jaką była współpraca z IMMUSEC, że nie miałem już czasu na regularne aktualizowanie niniejszego bloga.

W miedzy czasie oczywiście trochę pisałem i występowałem w różnych miejscach.
By mieć wszystko niejako pod ręką zrobię małą listę niektórych z najciekawszych z aktywności.
  • 13 listopada 2013 w Kazimierzu Wielkim na konferencji Maturity 2013 opublikowałem oraz prezentowałem artykuł pt. Nowoczesne podejście do funkcji audytu
  • W wrześniu i październiku 2014 poprowadziłem szkolenia dla IIA Polska dotyczące Rekomendacji D
  • Przez cały ten okres kontynuowałem pracami w zakresie sponsorowanego przez IMMUSEC tłumaczenia newsletter CRYPTO-GRAM wydawanego przez Bruce’a Schneier’a
  • W 2013 i 2014 r. uczestniczyłem w grupie powołanej przez ISACA Katowice mającej na celu przetłumaczenie na język polski dokumentu COBIT 5.0. Tłumaczenie niestety nie ukazało się wciąż w druku, niemniej z tego co ostatnio usłyszałem ma to się stać najpóźniej na wiosnę 2016
  • 27 stycznia 2014 r. w Pulsie Biznesu ukazał się mój króciutki artykuł pt. Ile norm, tyle korzyści
  • 16 marca 2015 na konferencji SEMAFOR przedstawiłem wykład pt. (nie)ład informatyczny w praktyce
  • 23 kwietnia 2015 na konferencji  „Zarządzanie ryzykiem IT i bezpieczeństwo informacji”  uczestniczyłem w panelu dyskusyjnym oraz przedstawiłem prezentację pt. Zarządzanie ryzykiem wewnątrz organizacji i budowa kultury bezpieczeństwa
  • W czerwcu 2015 w pracy Wiedza i doświadczenie a współczesne koncepcje i narzędzia zarządzania organizacją, praca zbiorowa Toruński J., Chrząścik M. [red], Siedlce 2015, ukazał się mój artykuł pt. Podejmowanie decyzji dotyczących zarządzania bezpieczeństwem informacji w bankach wielonarodowych
  • 16 czerwca na łamach Gazety Finansowej ukazał się mój krótki artykuł pt.Cyber security – bezpieczeństwo polskich banków
  • 18 czerwca 2015 r. w Warszawie podczas śniadania BION zorganizowane przez firmy C&F oraz IMMUSEC  przedstawiłem prezentację pt. Proces zarządzania ryzykiem w organizacji
  • 18 czerwca 2015 r. jako jedna z osób przedkładających uwagi do propozycji dokumentu zostałem zaproszony do uczestnictwa w debacie na temat Dobrych Praktyk Spółek Notowanych na GPW. Mimo, że przedstawione przeze mnie propozycje dotyczące zarządzania ryzykiem IT oraz informowania klientów o wycieku ich danych osobowych wywołały dość burzliwą debatę, ostatecznie nie zostały umieszczone w finalnej wersji dokumentu, niemniej ziarno zostało zasiane. Uwzględniono natomiast uwagi zgłaszane razem z IIA Polska oraz Agnieszka Modras dotyczące bardziej sztywnych zasad utrudniających swobodne rezygnowanie przez spółki giełdowe z wyodrębniania jednostek odpowiedzialnych za realizację funkcji kontrolnych. Ostateczny kształt rekomendacji znajduje się tutaj 
  • 20 i 21 listopada na konferencji Quality&Risk przedstawiłem 2 referaty zamieszczone w publikacjach towarzyszących konferencji: Znaczenie ryzyk teleinformatycznych w działalności międzynarodowych banków (przygotowany z prof. zw. dr hab. inż. Stanisławem Tkaczykiem) oraz Analiza ryzyka jako podstawowa metoda zmniejszania niepewności (przygotowany z dr inż. J. Sytą)
  •  25 listopada 2015 na XI Konferencji PolCAAT’2015 uczestniczyłem w panelu dyskusyjnym oraz przedstawiłem prezentację pt. Idealny system bezpieczeństwa – w poszukiwaniu jednorożca

Wszystkich aktywności raczej nie uda mi się odtworzyć, niemniej cały czas obracam się wokuł zagadnień dotyczących ryzyk IT i wciąż widzę, jak dużo jeszcze pracy trzeba poświęcić by zagadnienie to było nadzorowane adekwatnie na skali zagrożeń.
Teraz wracam do bloga i zapraszam ponownie chętnych do poznania moich przemyśleń na temat zarządzania cyberbezpieczeństwem.