Pokazywanie postów oznaczonych etykietą konferencja. Pokaż wszystkie posty
Pokazywanie postów oznaczonych etykietą konferencja. Pokaż wszystkie posty
24 listopada 2016
Podsumowanie panelu "Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji"
7 listopada 2016
Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji
22 listopada, podczas XXI konferencji PolCAAT będę mieć przyjemność prowadzić panel dyskusyjny pt. "Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji".
W sytuacji, gdy coraz szerzej wymieniamy dane z zewnętrznymi podmiotami, czy polegamy na ich usługach jako kluczowych dla działania naszego biznesu, zagadnienie to staje się nie trywialne.
28 września 2016
Kilka wniosków z panelu dyskusyjnego w Katowicach
Kilka wniosków z panelu dyskusyjnego w Katowicach
W ubiegłym tygodniu miałem okazję moderować panel dyskusyjny
podczas XIV Samorządowego Forum Kapitału i Finansów. Moimi rozmówcami byli:
- Artur Cieślik - redaktor naczelny IT professional oraz audytor i doradca w zakresie SZBI
- generał Marek Bieńkowski - Dyrektor Departamentu Porządku i Bezpieczeństwa w NIK, były komendant Straży Granicznej
- Kamil Pszczółkowski - prezes StillSec, ekspert w zakresie SZBI
8 września 2016
XIV Samorządowe Forum Kapitału i Finansów
XIV Samorządowe Forum Kapitału i Finansów
W dniach 22 i 23 września w Katowicach odbędzie się jedna z
największych imprez nakierowanych na samorządowców, a mianowicie Samorządowe Forum Kapitału i Finansów.
Zostałem przez organizatorów poproszony o poprowadzenie panelu
"Audyt bezpieczeństwa informacji". Razem z moimi rozmówcami postaramy
się zidentyfikować źródła największych problemów podczas budowania systemów
ochrony informacji, jak również podamy szereg wskazówek jak poradzić sobie z
takim wyzwaniem.
Postaramy odpowiedzieć na pytania "czy", "na
ile" oraz "w jakich obszarach", profil ryzyka dla bezpieczeństwa
informacji w samorządach różni się od tego w firmach komercyjnych i jakie
wnioski stąd płyną.
Sesja z założenia będzie obfitować w praktyczne i sprawdzone
wskazówki, dlatego też serdecznie zapraszam do aktywnego udziału
14 marca 2016
Zaproszenie na mój wykład na konferencji SEMAFOR
W najbliższy piątek będę mieć przyjemność wystąpić na SEMAFORZE
Przedstawię prezentację pt.: Błędy typu "information-in-transit", czyli jak NIE należy ustalać procesu wymiany danych
Zabezpieczając systemy wciąż bardzo często kładzie się nacisk na warstwę techniczną angażowanych systemów. Błędy mogą być jednak również wynikiem niewłaściwej logiki funkcjonowania całego procesu. Informacje, które chcemy chronić w jakiś sposób pojawiają się w naszej infrastrukturze, jakoś są przechowywane, przetwarzane i wymieniane w ramach organizacji, wreszcie w jakiś sposób ją opuszczają. Będąc "w ruchu" narażone są na szereg niebezpieczeństw. Prezentacja koncentrować się będzie na omówieniu wybranych przykładów tego typu błędów jakie miałem okazję zaobserwować w ubiegłym roku. Opowiem też jak można je łatwo wykryć.
W dużej części prezentacja będzie opierać się o przedstawienie uogólnionego cyklu życia informacji w organizacjach. Omówię najbardziej istotne kwestie dotyczące bezpieczeństwa w takich perspektywach jak:
- Wejścia do procesu
- Przetwarzanie w ramach organizacji
- Przetwarzanie poza organizacją
- Dostęp administracyjny
- Logika biznesowa w aplikacjach
- Operacje na danych źródłowych
- Wyjścia z procesu
- Przechowywanie i ponowne wykorzystanie informacji
Szczegółową agendę konferencji znajdziecie na tej stronie
Gorąco zapraszam na mój wykład
2 grudnia 2015
Dzień dobry po przerwie
Witam po dość długiej przerwie. Przez ostatnie 3 lata tak
bardzo poświęciłem się wspaniałej przygodzie jaką była współpraca z IMMUSEC, że
nie miałem już czasu na regularne aktualizowanie niniejszego bloga.
W miedzy czasie oczywiście trochę pisałem i występowałem w
różnych miejscach.
By mieć wszystko niejako pod ręką zrobię małą listę niektórych
z najciekawszych z aktywności.
- 13 listopada 2013 w Kazimierzu Wielkim na konferencji Maturity 2013 opublikowałem oraz prezentowałem artykuł pt. Nowoczesne podejście do funkcji audytu
- W wrześniu i październiku 2014 poprowadziłem szkolenia dla IIA Polska dotyczące Rekomendacji D
- Przez cały ten okres kontynuowałem pracami w zakresie sponsorowanego przez IMMUSEC tłumaczenia newsletter CRYPTO-GRAM wydawanego przez Bruce’a Schneier’a
- W 2013 i 2014 r. uczestniczyłem w grupie powołanej przez ISACA Katowice mającej na celu przetłumaczenie na język polski dokumentu COBIT 5.0. Tłumaczenie niestety nie ukazało się wciąż w druku, niemniej z tego co ostatnio usłyszałem ma to się stać najpóźniej na wiosnę 2016
- 27 stycznia 2014 r. w Pulsie Biznesu ukazał się mój króciutki artykuł pt. Ile norm, tyle korzyści
- 16 marca 2015 na konferencji SEMAFOR przedstawiłem wykład pt. (nie)ład informatyczny w praktyce
- 23 kwietnia 2015 na konferencji „Zarządzanie ryzykiem IT i bezpieczeństwo informacji” uczestniczyłem w panelu dyskusyjnym oraz przedstawiłem prezentację pt. Zarządzanie ryzykiem wewnątrz organizacji i budowa kultury bezpieczeństwa
- W czerwcu 2015 w pracy Wiedza i doświadczenie a współczesne koncepcje i narzędzia zarządzania organizacją, praca zbiorowa Toruński J., Chrząścik M. [red], Siedlce 2015, ukazał się mój artykuł pt. Podejmowanie decyzji dotyczących zarządzania bezpieczeństwem informacji w bankach wielonarodowych
- 16 czerwca na łamach Gazety Finansowej ukazał się mój krótki artykuł pt.Cyber security – bezpieczeństwo polskich banków
- 18 czerwca 2015 r. w Warszawie podczas śniadania BION zorganizowane przez firmy C&F oraz IMMUSEC przedstawiłem prezentację pt. Proces zarządzania ryzykiem w organizacji
- 18 czerwca 2015 r. jako jedna z osób przedkładających uwagi do propozycji dokumentu zostałem zaproszony do uczestnictwa w debacie na temat Dobrych Praktyk Spółek Notowanych na GPW. Mimo, że przedstawione przeze mnie propozycje dotyczące zarządzania ryzykiem IT oraz informowania klientów o wycieku ich danych osobowych wywołały dość burzliwą debatę, ostatecznie nie zostały umieszczone w finalnej wersji dokumentu, niemniej ziarno zostało zasiane. Uwzględniono natomiast uwagi zgłaszane razem z IIA Polska oraz Agnieszka Modras dotyczące bardziej sztywnych zasad utrudniających swobodne rezygnowanie przez spółki giełdowe z wyodrębniania jednostek odpowiedzialnych za realizację funkcji kontrolnych. Ostateczny kształt rekomendacji znajduje się tutaj
- 20 i 21 listopada na konferencji Quality&Risk przedstawiłem 2 referaty zamieszczone w publikacjach towarzyszących konferencji: Znaczenie ryzyk teleinformatycznych w działalności międzynarodowych banków (przygotowany z prof. zw. dr hab. inż. Stanisławem Tkaczykiem) oraz Analiza ryzyka jako podstawowa metoda zmniejszania niepewności (przygotowany z dr inż. J. Sytą)
- 25 listopada 2015 na XI Konferencji PolCAAT’2015 uczestniczyłem w panelu dyskusyjnym oraz przedstawiłem prezentację pt. Idealny system bezpieczeństwa – w poszukiwaniu jednorożca
Wszystkich aktywności raczej nie uda mi się odtworzyć, niemniej cały czas obracam się wokuł zagadnień dotyczących ryzyk IT i wciąż widzę, jak dużo jeszcze pracy trzeba poświęcić by zagadnienie to było nadzorowane adekwatnie na skali zagrożeń.
Teraz wracam do bloga i zapraszam ponownie chętnych do poznania moich przemyśleń na temat zarządzania cyberbezpieczeństwem.
20 listopada 2012
XV Międzynarodowa Konferencja Naukowa INTEGRATION 2012
W dniach 23-25 listopada w Kazimierzu nad Wisłą odbędzie się XV Międzynarodowa Konferencja Naukowa INTEGRATION 2012
W drugim dniu będę miał przyjemność przedstawić wykład pt. "Zintegrowane zarządzanie jakością i bezpieczeństwem – kluczowymi wyznacznikami nowoczesnego przedsiębiorstwa", w którym postaram się scharakteryzować wybrane technologie i style zarządzania występujące w nowoczesnych przedsiębiorstwach. Pokrótce scharakteryzuję też ryzyka związane z tymi zjawiskami.
Serdecznie zapraszam na konferencję, jak i na wykład. Pełen program znajduje się tutaj
.
W drugim dniu będę miał przyjemność przedstawić wykład pt. "Zintegrowane zarządzanie jakością i bezpieczeństwem – kluczowymi wyznacznikami nowoczesnego przedsiębiorstwa", w którym postaram się scharakteryzować wybrane technologie i style zarządzania występujące w nowoczesnych przedsiębiorstwach. Pokrótce scharakteryzuję też ryzyka związane z tymi zjawiskami.
Serdecznie zapraszam na konferencję, jak i na wykład. Pełen program znajduje się tutaj
.
17 stycznia 2012
Warsztaty Zarządzanie bezpieczeństwem informacji w nowoczesnej firmie
21 lutego będę miał przyjemność prowadzić jedną z sesji podczas warsztatów Zarządzanie bezpieczeństwem informacji w nowoczesnej firmie organizowanych przez Puls Biznesu.
W trakcie sesji wraz z uczestnikami wspólnie przedyskutujemy kilka z prawdziwych, urzeczywistnionych zagrożeń oraz zastanowimy sie jak można było uniknąć strat, jakie proste zabezpieczenia wystarczyłyby by uniknąć kłopotów. Przedstawię przykłady sytuacji gdy wydawało się, że jest dobrze, lecz wcale tak nie było.
Porozmawiamy o realnych zagrożeniach i banalnych rozwiązaniach... Może być fajnie, może być wesoło.
Zapraszam w imieniu organizatorów (no i proszę się ujawnić na przerwie jako czytelnie to zaproszę na kawkę :-)
.
W trakcie sesji wraz z uczestnikami wspólnie przedyskutujemy kilka z prawdziwych, urzeczywistnionych zagrożeń oraz zastanowimy sie jak można było uniknąć strat, jakie proste zabezpieczenia wystarczyłyby by uniknąć kłopotów. Przedstawię przykłady sytuacji gdy wydawało się, że jest dobrze, lecz wcale tak nie było.
Porozmawiamy o realnych zagrożeniach i banalnych rozwiązaniach... Może być fajnie, może być wesoło.
Zapraszam w imieniu organizatorów (no i proszę się ujawnić na przerwie jako czytelnie to zaproszę na kawkę :-)
.
15 grudnia 2011
Prezentacja na OWASP
29 listopada 2011
Mechanizmy ciągłego doskonalenia
Dziś PolCAAT'2011. Będę miał zaszczyt przedstawić wykład pt. "Mechanizmy ciągłego doskonalenia na przykładzie systemów zarządzania bezpieczeństwem informacji".
Załączam prezentację. Miłej lektury.
.
Załączam prezentację. Miłej lektury.
.
28 listopada 2011
Rola aspektów bezpieczeństwa w doskonaleniu zintegrowanych systemów zarządzania
Jakiś czas temu pisałem o konferencji Quality and Management 2011 w Kazimierzu.
Jakiś paskudny bakcyl uniemożliwił mi wzięcie udziału w niej osobiście, ale zarządzanie ciągłością zadziałało - Jacek spisał się doskonale prezentując naszą pracę.
Załączam prezentację streszczającą nasz referat.
.
Jakiś paskudny bakcyl uniemożliwił mi wzięcie udziału w niej osobiście, ale zarządzanie ciągłością zadziałało - Jacek spisał się doskonale prezentując naszą pracę.
Załączam prezentację streszczającą nasz referat.
.
17 listopada 2011
Konferencja Quality and Management 2011
W dniach 25-27.11 w Kazimierzu nad Wisłą odbędzie się XIV Międzynarodowa Konferencja Naukowa Quality and Management 2011 organizowana przez prof. dr hab. Elżbietę Skrzypek.
Tematem przewodnim tegorocznych rozważań jest "Wpływ jakości na doskonalenie zarządzania zasobami niematerialnymi w turbulentnym otoczeniu".
W drugim dniu konferencji będę miał przyjemność zaprezentować referat, który przygotowałem wraz z bratem Jackiem pt. "Rola aspektów bezpieczeństwa w doskonaleniu zintegrowanych systemów zarządzania". Pełny program konferencji znajduje się tutaj.
.
Tematem przewodnim tegorocznych rozważań jest "Wpływ jakości na doskonalenie zarządzania zasobami niematerialnymi w turbulentnym otoczeniu".
W drugim dniu konferencji będę miał przyjemność zaprezentować referat, który przygotowałem wraz z bratem Jackiem pt. "Rola aspektów bezpieczeństwa w doskonaleniu zintegrowanych systemów zarządzania". Pełny program konferencji znajduje się tutaj.
.
7 listopada 2011
Opowieść o Stuxnet
Temat Stuxnet'a jest już raczej powszechnie znany, ale warto posłuchać również i tej opowieści. Ralpg Langner opowiada na TED jak postępowały prace nad zrozumieniem idei jak funkcjonuje Stuxnet. O wbudowanych w kod funkcjach mających na celu oszukanie operatorów odnośnie swojej obecności w systemie, odnośnie własnego szkodliwego działania
11 października 2011
PolCAAT'2011
Już niedługo - 29 listopada VII Jesienne Seminarium Skuteczny Audyt PolCAAT’2011 organizowane przez polskie IIA.
Będę miał zaszczyt i przyjemność przedstawić w tak doborowym towarzystwie (pełna lista prelegentów jest tutaj) wykład pt. "Mechanizmy ciągłego doskonalenia na przykładzie systemów zarządzania bezpieczeństwem informacji".
Serdecznie zapraszam czytelników bloga na wspólną kawkę - jeśli będziecie to ujawnijcie :)
Będę miał zaszczyt i przyjemność przedstawić w tak doborowym towarzystwie (pełna lista prelegentów jest tutaj) wykład pt. "Mechanizmy ciągłego doskonalenia na przykładzie systemów zarządzania bezpieczeństwem informacji".
Serdecznie zapraszam czytelników bloga na wspólną kawkę - jeśli będziecie to ujawnijcie :)
13 lipca 2011
Zarządzenie ryzykiem jako kluczowa składowa zarządzania ryzykiem w organizacjach
W trakcie tegorocznej konferencji Management 2011 w Mościbrodach przedstawiłem referat pod tytułem "Zarządzenie ryzykiem jako kluczowa składowa zarządzania ryzykiem w organizacjach".
Na ftp zamieściłem slajdy, które towarzyszyły mojemu wystąpieniu
Na ftp zamieściłem slajdy, które towarzyszyły mojemu wystąpieniu
6 kwietnia 2011
Spotkanie klubu CIO ws. cloud computingu
Jutro odbędzie się kolejne spotkanie klubu CIO. Tematem spotkania będzie "Chmura obliczeniowa w mojej firmie: pro i kontra". Zostałem zaproszony przez organizatorów by podzielić się przemyśleniami z zakresu audytu i nadzoru przetwarzania w chmurze. Czytasz tego bloga? Będziesz na spotkaniu?
Daj znać :-)
Daj znać :-)
30 marca 2011
Zabezpieczenie danych osobowych – aktualny stan prawny a rzeczywiste potrzeby
W poniedziałek uczestniczyłem w konferencji „Zabezpieczenie danych osobowych – aktualny stan prawny a rzeczywiste potrzeby” organizowanej przez GIODO, Wydział Zarządzania Politechniki Warszawskiej oraz Stowarzyszenie Administratorów Bezpieczeństwa Informacji.
Trzeba przyznać, że tematyka (być może ze względu na nowe uprawnienia GIODO do nakładania kar finansowych) wzbudziła bardzo duże zainteresowanie - uczestniczyło w niej ponad 300 osób, a od organizatorów dowiedziałem się, że i tak trzeba było zamknąć rejestrację. Podczas konferencji usłyszałem m.in dwie ciekawe myśli warte zapamiętania.
Pierwsza to dłuższy wywód dr. Wojciecha Wiewiórowskiego dotyczący "niekonstytucyjności" ustaw. Otóż jak wiemy rozporządzenia Ustawy o Informatyzacji odsyłają do RFC jako modelowego standardu konfiguracji. W tym wypadku okazuje się, że na polskie organizacje nakładany jest obowiązek zgodności z ustaleniami prywatno-prawnej organizacji, która publikuje dokumenty z "własnymi" przemyśleniami, w internecie i po angielsku. Nigdy o tym nie myślałem w ten sposób (zawsze bardziej interesowała mnie łatwość praktycznego wdrożenia), niemniej faktycznie z prawnego punktu widzenia sytuacja jest interesująca.
Druga myśl to głos w dyskusji o rzeczywistej roli ABI w firmie . Brzmiało to mniej więcej tak: "ABI często nie ma ani funkcji nadzorczych, ani kontrolnych, ani wykonawczych. Główną rolą ABI'ego jest funkcja usprawiedliwiania obecnej rzeczywistości przed ewentualnymi kontrolami". Interesujące spostrzeżenia i...prawdę mówiąc dość prawdziwe :)
A swoją drogą, skoro przywołuję tę dyskusję. Warto wiedzieć, że SABI proponuje by ABI był połączeniem nadzorcy i audytora. Tym samym jednym z jego obowiązków będzie audyt jakości swojej własnej pracy w charakterze "nadzorcy". Naprawdę fajny pomysł, cofający nas co prawda o 20 lat wstecz w zarządzaniu bezpieczeństwom informacji, ale przynajmniej ekonomicznie poprawny.
Trzeba przyznać, że tematyka (być może ze względu na nowe uprawnienia GIODO do nakładania kar finansowych) wzbudziła bardzo duże zainteresowanie - uczestniczyło w niej ponad 300 osób, a od organizatorów dowiedziałem się, że i tak trzeba było zamknąć rejestrację. Podczas konferencji usłyszałem m.in dwie ciekawe myśli warte zapamiętania.
Pierwsza to dłuższy wywód dr. Wojciecha Wiewiórowskiego dotyczący "niekonstytucyjności" ustaw. Otóż jak wiemy rozporządzenia Ustawy o Informatyzacji odsyłają do RFC jako modelowego standardu konfiguracji. W tym wypadku okazuje się, że na polskie organizacje nakładany jest obowiązek zgodności z ustaleniami prywatno-prawnej organizacji, która publikuje dokumenty z "własnymi" przemyśleniami, w internecie i po angielsku. Nigdy o tym nie myślałem w ten sposób (zawsze bardziej interesowała mnie łatwość praktycznego wdrożenia), niemniej faktycznie z prawnego punktu widzenia sytuacja jest interesująca.
Druga myśl to głos w dyskusji o rzeczywistej roli ABI w firmie . Brzmiało to mniej więcej tak: "ABI często nie ma ani funkcji nadzorczych, ani kontrolnych, ani wykonawczych. Główną rolą ABI'ego jest funkcja usprawiedliwiania obecnej rzeczywistości przed ewentualnymi kontrolami". Interesujące spostrzeżenia i...prawdę mówiąc dość prawdziwe :)
A swoją drogą, skoro przywołuję tę dyskusję. Warto wiedzieć, że SABI proponuje by ABI był połączeniem nadzorcy i audytora. Tym samym jednym z jego obowiązków będzie audyt jakości swojej własnej pracy w charakterze "nadzorcy". Naprawdę fajny pomysł, cofający nas co prawda o 20 lat wstecz w zarządzaniu bezpieczeństwom informacji, ale przynajmniej ekonomicznie poprawny.
22 marca 2011
TEDxWarsaw już w czwartek
już za 2 dni odbędzie się kolejny TEDxWarsaw
Jeśli, któryś z czytelników też na nim będzie to dajcie proszę znać, a chętnie się spotkam, zaproszę na kawę...
do zobaczenia
Jeśli, któryś z czytelników też na nim będzie to dajcie proszę znać, a chętnie się spotkam, zaproszę na kawę...
do zobaczenia
2 marca 2011
Rozganianie czarnych chmur - bezpieczeństwo cloud computing z perspektywy audytora
Na stronie IMMUSEC umieściłem już prezentację "Rozganianie czarnych chmur - bezpieczeństwo cloud computing z perspektywy audytora" z poniedziałkowej konferencji.
Zapraszam do zapoznania się.
Zapraszam do zapoznania się.
22 lutego 2011
7 Kongres Bezpieczeństwa Sieci
28 lutego w Warszawie odbędzie się 7 Kongres Bezpieczeństwa Sieci. Zostałem zaproszony by wygłosić jedną z prezentacji.
W trakcie prezentacji „Rozganianie czarnych chmur – bezpieczeństwo cloud computing z perspektywy audytora” przedstawione zostaną rodzaje zagrożeń utożsamiane z przetwarzaniem danych w chmurach. Odniosę się do najnowszych materiałów przygotowanych m.in. przez Cloud Security Alliance i zaprezentuje najważniejsze z zagadnień, jakie należy wziąć pod uwagę podczas zabezpieczania takich środowisk, zaznaczając niektóre z niezbędnych mechanizmów kontrolnych.
Główną tezą mojego wystąpienia jest pokazanie, że z punktu widzenia bezpieczeństwa model cloud computing nie jest niczym nadzwyczajnym. Nie dość, że nie należy się bać tego typu rozwiązań, to na dodatek do jego zabezpieczania można wykorzystać znane już podejścia i rozwiązania.
Czytelników bloga zapraszam do kontaktu w trakcie którejś z przerw i wspólnej kawy :)
W trakcie prezentacji „Rozganianie czarnych chmur – bezpieczeństwo cloud computing z perspektywy audytora” przedstawione zostaną rodzaje zagrożeń utożsamiane z przetwarzaniem danych w chmurach. Odniosę się do najnowszych materiałów przygotowanych m.in. przez Cloud Security Alliance i zaprezentuje najważniejsze z zagadnień, jakie należy wziąć pod uwagę podczas zabezpieczania takich środowisk, zaznaczając niektóre z niezbędnych mechanizmów kontrolnych.
Główną tezą mojego wystąpienia jest pokazanie, że z punktu widzenia bezpieczeństwa model cloud computing nie jest niczym nadzwyczajnym. Nie dość, że nie należy się bać tego typu rozwiązań, to na dodatek do jego zabezpieczania można wykorzystać znane już podejścia i rozwiązania.
Czytelników bloga zapraszam do kontaktu w trakcie którejś z przerw i wspólnej kawy :)
Subskrybuj:
Posty (Atom)