Program XVI. konference IT Governance 2019

IT Governance „Preskriptivní a agilní přístupy“

I. den - 22. října 2019

13.00 - 17.00

TUTORIAL: COBIT 2019 a jeho nasazení ve firmě
Ing. Martin Vitouš, MBA; ict-123.com

19.30 - 23.30

Společenská neformální akce s večeří


II. den - 23. října 2019

09.30 - 11.45

WORKSHOP: Table-top cvičení jako příprava na krizovou situaci
Mgr. Pavlína Jedličková, Mgr. Petr Novotný; NÚKIB

11:45 – 12:45 Oběd pro účastníky workshopu
12:30 – 13:00 Registrace
13:00 – 13:10 Slavnostní zahájení konference
Ing. Petr Hujňák, Ph.D., CGEIT, CRISC; prezident ISACA CRC
13.10 - 13.50

Nové myšlenky metodických rámců a využitelnost v praxi
Ing. Petr Hujňák Ph.D., CGEIT, CRISC; Per Partes Consulting

13:50 – 14:00 Přestávka
14.00 - 14.45

Delivery management cloudových řešení
Petr Böhm, MBA, CISA; Oracle Czech

14:45 – 14:55 Přestávka
14.55 - 15.40

Konfigurace jako kód: řízení konfigurace v cloudu
Mgr. Tomáš Honzák, CISM; GoodData

15:40 – 15:50 Přestávka
15.50 - 16.35

Jak poznat co je skutečný bezpečnostní incident?
Ing. Richard Michálek; nezávislý konzultant

16:35 – 16:40 Přestávka
16.40 - 17.25

Vyhodnocení table-top cvičení z workshopu
Mgr. Pavlína Jedličková, Mgr. Petr Novotný; NÚKIB

18:00 – 23:30 Společenský večer


III. den - 24. října 2019

09.00 - 09.45

Dnešní situace: Kyberšpiónem snadno a rychle
MSc. Peter Košinár; ESET

09:45 – 09:50 Přestávka
09.50 - 10.30

Automatizace bezpečnostního testování v DevSecOps
Ing. Josef Krýcha; AEC

10:30 – 10:45 Přestávka
10.45 - 11.20

Zavádění compliance v agilním prostředí Zonky
Ing. David Doležal; Zonky

11:20 – 11:30 Přestávka
11.30 - 13.00

Panelová diskuse: Řízení zpracovatelů v prostředí GDPR
Moderátor Mgr. Jan Krob, CISA; Accenture a jeho hosté

13:00 – 14:00 Oběd
14.00 - 14.45

Agile okem auditora: specifika, rozdíly a rizika
Ing. Milada Závodová, CISA; EY

14:45 – 14:50 Přestávka
14.50 - 15.30

Jak na audit v agilně transformovaných bankách – praxe a mýty
Ing. Jiří Khun; KPMG Česká republika

15:30 Ukončení konference


* Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 10,5 CPE hodin za účast na konferenci, 4,15 CPE za tutoriál a 2,5 CPE za workshop.

** ZMĚNA PROGRAMU VYHRAZENA.


Popis k přednáškám a přednášejícím

TUTORIAL: COBIT 2019 a jeho nasazení ve firmě
Ing. Martin Vitouš, MBA; ict-123.com

Každá firma chce být úspěšná. Úspěšná bude tehdy, když dosáhne svých cílů. Aby svých cílů dosáhla, musí definovat strategii, která ukáže cestu a vymezí mantinely. To, že všichni jdou po vymezené cestě, zajišťuje GOVERNANCE. Governance je systém pravidel a opatření, která nastaví dílčí cíle, sledují jejich plnění a poskytují zpětnou vazbu. To nám umožní buď korigovat naši cestu nebo způsob, jak po ní jdeme. K tomu jsou potřeba informace. A tady se dostáváme ke COBITu. COBIT je rámec, který pomáhá zajistit efektivní řízení firemních informací a technologií (I&T), které je poskytují a spravují. V rámci tohoto tutoriálu se podíváme co to COBIT (ve verzi 2019) je, z čeho se skládá a jakým způsobem je možné na jeho základě vytvořit governance systém ve firmě.

Martin Vitouš
Většinu své profesní dráhy strávil jako zaměstnanec nadnárodních společností na různých pozicích (od technických až po manažerské) v různých zemích všech kontinentů. V současné době působí jako konzultant, lektor a mentor v oblasti strategického, projektového, procesního, osobního a IT řízení. Pomáhá firmám řešit jejich problémy a využívat příležitosti poskytnutím zkušeností získaných za 30 let v IT, znalostí různých rámců a metodik jako například COBIT, ITIL, PRINCE2, Agile, DevOps apod. a nástrojů, které k tomu potřebují.

Nahoru

WORKSHOP: Table-top cvičení jako příprava na krizovou situaci
Mgr. Pavlína Jedličková, Mgr. Petr Novotný; NÚKIB

Table-top cvičení představují vhodný nástroj pro navyšování povědomí v oblasti kybernetické bezpečnosti, a to zejména (ale ne pouze) u pracovníků působících na strategické úrovni. Podobné cvičení již v minulosti pracovníci NÚKIB připravili například pro energetický sektor v ČR, Kurz Generálního štábu ČR, americký Kongres nebo U.S. Cyber Command.

Workshop umožní účastníkům projít krizovou situací, která se odehrává, či má původ, v kyberprostoru, přičemž připravený scénář bude vycházet z reálných útoků a incidentů.

Hlavním cílem je odpoutat pozornost od čistě technického vnímání řešení kybernetických incidentů, a naopak poukázat na nutnost jejich komplexního vnímání a kontextu realizace. Bez znalosti širšího kontextu je velmi těžké chránit kybernetický prostor. Scénář cvičení tak bude kombinovat nejrůznější vektory útoků, které jsou provázané, v čase eskalují a svým dopadem často přesahují do roviny strategické, politické, ekonomické, mediální, právní a dalších.

Mezi další cíle table-top cvičení patří:
• Procvičit rozhodovací procesy během krizové situace, s nedostatkem informací a v časovém
tlaku.
• Poukázat na význam mediální komunikace v kontextu kybernetického bezpečnostního incidentu a koordinaci této komunikace s partnery.
• Zprostředkovat porozumění dopadům kybernetických útoků majících za následek nefunkčnost klíčových informačních a komunikačních systémů.
• Seznámit se s pohledy rozličných subjektů na řešení kybernetického bezpečnostního incidentu a pochopit řešení problému z různých perspektiv.
• Upozornit na dopady v případě ztráty důvěry v informační a komunikační systémy.
• Poukázat na možné důsledky kompromitace dat útočníkem.
• Cílem cvičení primárně není posuzovat odpovědi na základě jejich (ne)správnosti.
K účasti na table-top cvičení nejsou nutné hlubší technické znalosti v oblasti ICT či kybernetické bezpečnosti. Cvičení je koncipováno jako netechnické, s důrazem na rozhodovací procesy.

Pavlína Jedličková
Absolventka Pedagogické fakulty Masarykovy univerzity v Brně. Od roku 2018 pracuje na Národním úřadu pro kybernetickou a informační bezpečnost, kde v roce 2015 začínala jako stážistka. V začátcích svého působení na NÚKIB začínala jako referentka vzdělávání se zaměřením na základní školy. Nyní působí na oddělení cvičení, kde se věnuje přípravě a realizaci kybernetických cvičení.

Petr Novotný
Absolvent Fakulty sociálních studií Masarykovy univerzity v oboru Bezpečnostní a strategická studia. Pracuje na Národním úřadě pro kybernetickou a informační bezpečnost jako člen oddělení cvičení. Hlavní náplní jeho práce je příprava a vedení cvičení v oblasti kybernetické bezpečnosti. Podílí se také na tvorbě jejich scénářů a vyhodnocování. V rámci své agendy se rovněž věnuje vzdělávání zaměstnanců ve veřejném sektoru prostřednictvím workshopů a interaktivních seminářů.

Nahoru


KONFERENCE:

Nové myšlenky metodických rámců a využitelnost v praxi
Ing. Petr Hujňák Ph.D., CGEIT, CRISC; Per Partes Consulting

Příspěvek se zaměří na praktickou využitelnost nových myšlenek objevujících se v inovovaných metodických rámcích s primárním zaměřením na COBIT 2019 a ITIL 4. Bude diskutována preskriptivnost klasických metodických přístupů v kontrastu na agilní přístupy a možnosti jejich rozumné kombinace v praxi.

Petr Hujňák
Dlouhodobě se zabývá metodickými přístupy v informatice a jejich aplikací v praxi. Je soudním znalcem na informatiku ve třech oborech, certifikovaným projektovým ředitelem IPMA (Level A), certifikovaným projektovým manažerem na oblast projektové kvality (ISO 10006), certifikovaným odborníkem ISACA na řízení podnikové informatiky (CGEIT) a řízení rizik a IT kontrol (CRISC). Dlouhou dobu působil jako vedoucí partner divize Consulting ve společnosti Ernst&Young. Dnes působí jako CEO společnosti Per Partes Consulting soustředěné na nezávislé ICT poradenství, je prezidentem ISACA Česká republika a předsedou konference IT Governance.

Nahoru

Delivery management cloudových řešení
Petr Böhm, MBA, CISA; Oracle

Prezentace se bude věnovat srovnání typických implementačních přístupů pro implementaci tzv. „On Premise“ informačních systémů a tzv. „Cloud“ resp. „SaaS - Software as service“. Zaměříme se na klíčové faktory úspěchu jak v rámci přípravy zadání projektu a přípravy organizace před samotným projektem přechodu na „Cloud“, tak i kritické faktory úspěchu a rizika samotné realizace.

Petr Böhm
Studoval na ČVUT a na B.I.B.S. v Brně - program MBA for Senior Executives. Získal mnoho
profesních certifikací CISA, PRINCE2, PRINCE2 Agile, PMI-PMP, AgilePM apod. Nyní zastává roli Senior Project managera ve společnosti ORACLE Czech. Během své kariéry pracoval mimo jiné také jako Change manager a vedoucí týmu IS Security a podílel se na tvorbě metodiky analýzy rizik pro Národní bezpečnostní úřad. Má více jak 20 let zkušeností v oblasti implementací ERP (SAP, Oracle) včetně Cloud HCM, dále s poradenstvím v oblasti procesního řízení, řízením organizačních změn, definici strategie IT atd. Je členem komory projektových manažerů a ISACA.

Nahoru

Konfigurace jako kód: řízení konfigurace v cloudu
Mgr. Tomáš Honzák, CISM; GoodData

Správné a efektivní řízení konfigurací významně snižuje rizika spojená se správou IT. Dynamické prostředí cloudových služeb, které umožňují pružné škálování, tedy nasazování nových aktiv i jejich vyřazování bez zásahu operátora, s sebou přineslo nutnost fundamentální změny implementace řízení konfigurací. Společně se zaváděním agilních metodik, především DevOps přístupu, se ujalo jako standardní přístup řízení infrastruktury jako zdrojového kódu. V přednášce si vysvětlíme, jak tento přístup naplňuje požadavky konfiguračního managementu, v čem spočívají jeho hlavní výhody a rizika a představíme si některé další oblasti, kde se konfigurace jako kód dá úspěšně využít.

Tomáš Honzák
Dlouholeté zkušenosti v oblasti metodologie vývoje software, procesního řízení a řízení informační bezpečnosti získal v globálních společnostech. V současné době působí jako Chief Information Security Officer v česko-americkém startupu GoodData, kde vybudoval systém řízení informační bezpečnosti v souladu s požadavky ISO 27002:2013, certifikovaný SOC 2 a naplňující požadavky HIPAA a GDPR. Zaměřuje se na hledání synergií mezi agilními metodikami vývoje a provozu IT a požadavky standardů řízení bezpečnosti a kvality. Je členem výboru české pobočky ISACA a držitelem certifikace CISM.

Nahoru

Jak poznat co je skutečný bezpečnostní incident?
Ing. Richard Michálek; nezávislý konzultant

Mnoho organizací staví CERTy a CSIRTy nebo využívaá služeb SOCu, ipmplementuje technologii, detekuje, vyhodnocuje a řídí kybernetické bezpečnostní incidenty. Brání organizaci a honí hackery. Kdo však řekl, že právě to co řeší jsou bezpečnostní incidenty skutečně ohrožující organizaci? Byla ohrožena informační bezpečnost, IT nebo dodavatel SIEMu? Vskutku se organizace brání před incidenty, které ji ohrožují anebo se jen honí za fantomy? Z praxe mé vlastní i z praxe mnoha SOC poskytujících služby zákazníkům vyplývá, že určit co je skutečným bezpečnostním incidentem není snadné. Tato přednáška Vám pomůže přehodnotit přístup k bezpečnostním incidentům, definovat skutečné bezpečnostní incidenty a připravit zadání jak tyto incidenty poznat, vyhodnotit a jak je zvládat.

Richard Michálek
Vystudoval VVTŠ v Liptovském Mikuláši, je členem výboru ISACA CRC. Zaměřuje se na praktické výstupy systémů řízení bezpečnosti informací a zajištění kontinuity činností organizace a na použití bezpečnostních technologií. V současné době využívá své více než dvacetileté zkušenosti z vedoucích a technických pozic jako nezávislý konzultant pro kybernetickou bezpečnost a oblast zajištění kontinuity činností organizace.

Nahoru

Vyhodnocení table-top cvičení z workshopu
Mgr. Pavlína Jedličková, Mgr. Petr Novotný; NÚKIB

Během vyhodnocení budou odhaleny reálné incidenty a útoky, kterými se scénář cvičení inspiroval. Rovněž dojde k vyhodnocení odpovědí cvičících ve světle jak pozitivních, tak také negativních historických příkladů a zkušeností pracovníků NÚKIB. Odpovědi přitom nebudou primárně hodnoceny na ose dobré/špatné, ale právě například ve světle historických událostí či jejich časové a vnitřní konzistentnosti. Součástí vyhodnocení bude nakonec i sdílení doporučení, dobré praxe a tzv. „lessons learned“ ze strany NÚKIB.

Pavlína Jedličková
Absolventka Pedagogické fakulty Masarykovy univerzity v Brně. Od roku 2018 pracuje na Národním úřadu pro kybernetickou a informační bezpečnost, kde v roce 2015 začínala jako stážistka. V začátcích svého působení na NÚKIB začínala jako referentka vzdělávání se zaměřením na základní školy. Nyní působí na oddělení cvičení, kde se věnuje přípravě a realizaci kybernetických cvičení.

Petr Novotný
Absolvent Fakulty sociálních studií Masarykovy univerzity v oboru Bezpečnostní a strategická studia. Pracuje na Národním úřadě pro kybernetickou a informační bezpečnost jako člen oddělení cvičení. Hlavní náplní jeho práce je příprava a vedení cvičení v oblasti kybernetické bezpečnosti. Podílí se také na tvorbě jejich scénářů a vyhodnocování. V rámci své agendy se rovněž věnuje vzdělávání zaměstnanců ve veřejném sektoru prostřednictvím workshopů a interaktivních seminářů.

Nahoru

Dnešní situace: Kyberšpiónem snadno a rychle
MSc. Peter Košinár; ESET

Pozrieme sa na pokročilých útočníkov, ich nástroje, techniky a metódy, ktoré používajú pri cielených útokoch. Medzi ich obete patria rovnako vládne inštitúcie a významné spoločnosti, ako aj zaujímaví jednotlivci. Keďže útočník si môže vybrať formu útoku podľa vlastného uváženia a schopností, uvidíme ich celé spektrum -- od jednoduchého phishingu až po komplikovné supply-chain útoky a zero-day zraniteľnosti.

Peter Košinár
Pracuje v spoločnosti ESET viac ako desaťročie, je kľúčovým developerom v tíme zastrešujúcom technológiu detekcie a taktiež popredným výskumníkom. V súčasnosti sa zaoberá predovšetkým investigatívou kybernetických útokov – vrátane kryptoanalýzy, neštandardnými vektormi útokmi či cielenými útokmi. Taktiež pomáha pri odhaľovaní páchateľov kybernetických zločinov, na čom spolupracuje aj s vyšetrovacími orgánmi. O IT bezpečnosti a analýze malvéru často prednáša vysokoškolským aj stredoškolským študentom. Pred ESETom pôsobil niekoľko rokov ako nezávislý výskumník v oblasti počítačovej bezpečnosti.

Nahoru

Automatizace bezpečnostního testování v DevSecOps
Ing. Josef Krýcha; AEC

Z pohledu řízení bezpečnosti ve vývoji software představuje rychlost a agilita DevOps týmů značnou výzvu. Integrace automatizovaných nástrojů do vývoje zkrátila vývojový cyklus a manuální procesy již nedokáží udržet krok s frekvencí změn. Odpovědí na tuto výzvu je automatizace bezpečnostního testování do vývojové pipeline a přenesení části odpovědnosti na vývojové týmy. Zaměříme se na výběr vhodných automatizovaných nástrojů, způsoby jejich použití a přínosy pro organizaci. Také se podíváme na procesy, které je potřeba vytvořit, aby automatizace byla efektivní.

Josef Krýcha
Je specialista bezpečnosti ve společnosti AEC a zaměřuje se na řízení bezpečnosti ve vývoji aplikací. V posledních pěti letech spolupracoval s řadou vývojových týmů adaptujících DevOps a DevSecOps a nasbíral cenné zkušenosti z jejich úspěchů i nevyhnutelných nezdarů. V současné době se věnuje zejména vývoji metodiky pro bezpečný vývoj aplikací a školením vývojových týmů.

Nahoru

Zavádění compliance v agilním prostředí Zonky
Ing. David Doležal; Zonky

Agilní prostředí s filosofií “selhávej často, ale brzy” a s důrazem na interakci, fungující software, spolupráci s klienty a reakci na změny (namísto procesů, dokumentace, vyjednávání a plánování) zvyšuje efektivitu práce a zapojení vývojářů do celého životního cyklu software, ale co když na agilně fungující společnost dopadne povinnost prokazovat shodu s přísnými regulacemi finančního světa? V případové studii popíše Ing. David Doležal, Security Officer ve společnosti Zonky, cestu, kterou se Zonky dostalo od “neřízeného” agile do firmy, která prochází všemi audity, a přitom si uchovala maximum flexibility, inovací a efektivity, které agilní metodiky přináší.

David Doležal
Zkušenosti s bezpečností začal sbírat již na Vojenské Akademii, tehdy schováno pod názvy předmětů "spolehlivost systémů, přenos informací" a podobně. Po získání ostruh jako Ředitel bezpečnosti PPF Banky okusil agile prostředí startupu GoodData jako security architekt. Po malé zastávce ve zdravotnictví (Novartis, security manager) nyní zkušenosti z obou pólů světa (striktně regulovaná banka VS startup) zužitkovává v Zonky jako security manager.

Nahoru

Panelová diskuse: Řízení zpracovatelů v prostředí GDPR
Moderátor Mgr. Jan Krob, CISA; Accenture

Žijeme již druhý rok ve světe s GDPR a stále některé oblasti zůstávají nevyjasněné, resp. různě interpretované. Právě vztahy a spolupráce mezi Správci, Zpracovateli a Příjemci jsou jednou z těchto oblastí. V panelu zasednou reprezentanti businessu, práva, bezpečnosti i IT.

Agile okem auditora: specifika, rozdíly a rizika
Ing. Milada Závodová, CISA; EY Česká republika

Agilní prostředí s důrazem na interakce, spolupráci a fungující software nejen že často zanedbává či zcela opomíjí dokumentační a procesní stránku věci, ale též klade důraz na jednoduchost provádění změn a posunuje rozhodovací pravomoci co nejblíže zdrojovému kódu i provozu. Aplikace standardních auditorských postupů, které jsou ověřené a efektivní v "tradičním" waterfall vývojovém cyklu, by nejen vyžadovala podstatně vyšší úsilí, ale v konečné fázi by ani nepřenesla požadovanou kvalitu auditní zprávy. V přednášce si popíšeme specifika auditu agilního prostředí, jaká rizika musí auditor zohlednit a které kontroly je vhodné pro agilní vývoj aplikovat tak, aby audit proběhl efektivně a bez požadavku na zbytečnou dokumentaci sloužící jen pro potřeby auditu.

Milada Závodová
Manažerka v oddělení Advisory v EY Česká republika s více než 10 letou praxí. Věnuje se řízení projektů zaměřených na Service Organization Controls Reporting (ověřování kontrol v servisních organizacích – SOC 1 a SOC 2 audity) v EMEA regionu a pro globální klienty. Vedle toho byla zapojena v IT části finančních auditů, zejména ve finančním sektoru a utilitách, kde hodnotila procesy změnového řízení, správy uživatelů a IT provozu. Milada je držitelkou certifikace CISA, ITIL Intermediate a ACCA.

Nahoru

Jak na audit v agilně transformovaných bankách – praxe a mýty
Ing. Jiří Khun; KPMG Česká republika

Agilní frameworky jako SAFe či tzv. Spotify model vedou firmy k efektivizaci komunikace, snižování administrativy a dokumentace a posilování role tzv. samořiditelných univerzálních týmů. Regulatorní požadavky definované ČNB v rámci tzv. Corporate Governance definují však řadu omezení, které jsou s agilním způsobem fungování částečně či zcela neslučitelné. Jak zajistit agilní fungování banky společně s možností auditovatelnosti a transparentnosti vůči regulátorovi?

Jiří Khun
Již více než 15 let se pohybuje v oblasti návrhu a implementace komplexních informačních systémů a řízení komplexních programů rozvoje IS. V posledních 8 letech se úzce zaměřuje na agilní způsoby rozvoje produktů a s tím spojenou digitální transformaci. Jako lídr KPMG Agile CoE se účastní řady implementačních projektů zavádění agilních transformací v různých odvětvích v ČR i v zahraničí a školení v oblasti agile. V neziskové organizaci zastřešující projektové manažery IPMA je zodpovědný za rozvoj a certifikaci Agile Leadership v České republice.

Nahoru