it governance

X I .
r o č n í k
o d b o r n é
k o n f e r e n c e
it governance
„Firemní komunik ace
v k ybernetickém prostoru“
7. – 9. října 2014
OREA Hotel Horal, Špindlerův Mlýn
partneři konference:
Vážené dámy, vážení pánové,
předkládám několik důvodů, proč se zúčastnit a těšit na konferenci ISACA „IT Governance“
s podtitulkem jedenáctého ročníku „Firemní komunikace v kybernetickém prostoru“:
Letošní konference má dva předskokany. Klasický workshop zaměřený na zkušenosti s implementací
COBIT 5 přináší praktické znalosti ze zahraničí. A nově ve spolupráci s univerzitami zařazujeme
výukový „tutoriál“ nazvaný „Právní aspekty v IT“.
Sociální sítě hýbou firemní komunikací. Sdílení informací je v těchto sítích přirozené a informace
lze snáze než v klasické emailové komunikaci prohledávat a odkazovat se na ně. Na konferenci se
dozvíme, jak prakticky řešit bezpečnost sociálních sítí a co na monitoring jejich používání říkají právníci.
Nejen ze sociálních sítí lze získávat velká množství dat. „Big data“ a ukládání čehokoliv, co se může
hodit. K čemu nám tato data jsou či budou prakticky k užitku a jakým způsobem řídit jejich zpracování?
Připravovaný nástup zákona o kybernetické bezpečnosti je přede dveřmi. Jak reportovat incidenty
podle zákona a prováděcích vyhlášek? Existuje trestně právní odpovědnost za bezpečnostní incidenty
a za správný reporting?
Nezávislost ISACA postavené celosvětově na jednotlivcích nám umožňuje vytvářet nekonkurenční
a otevřenou atmosféru pro sdílení znalostí a praktických zkušeností. Na konferenci bude vedle tradiční
panelové diskuze letos i maximum prostoru pro výměnu názorů a pro odborný dialog mezi účastníky.
Přijďte letos nově na konferenci o den dříve a setkejte se s komunitou ISACA.
V neposlední řadě lze očekávat tradičně velmi pečlivou organizaci konference, vynikající prostředí
a lákavou doprovodnou akci.
Jménem programového výboru Vás mohu ubezpečit, že jedenáctý ročník konference bude zaměřen
na zkušenosti z praxe využitelné v našich podmínkách a rovněž bude nabízet srovnání a znalosti
pocházející z celosvětové komunity ISACA a její výzkumně-vývojové základny.
S přáním příjemně a užitečně stráveného času na konferenci ISACA,
Petr Hujňák
Předseda programového výboru a prezident ISACA CRC
PROGRAMOVÝ VÝBOR:
Ing. David Cón, CISA, CRISC; Wincor Nixdorf, s. r. o.
Ing. Jan Fanta, CISA, CRISC; Ernst & Young, s. r. o.
Ing. Petr Hujňák, CSc., CGEIT, CRISC, CSPM; Per Partes Consulting, s. r. o.
Ing. Luboš Klečka, CISA, CRISC; Česká spořitelna, a. s.
Ing. Lukáš Mikeska, CISA, CRISC; Ernst & Young, s. r. o.
Ing. Luděk Novák, Ph.D., CISA, CGEIT, CRISC; ISACA Czech Republic Chapter, o. s.
Ing. Rodan Svoboda, CIA, CICA, CRMA; Eurodan, s. r. o.
Ing. Radka Vaňková, MBA; ISACA Czech Republic Chapter, o. s.
I. den – 7. října 2014
Workshop: „IT Governance Framework - do and don't with COBIT 5"
Krzysztof Olejniczak; Sysnet Global Solutions
13.00 – 17.00
II. den – 8. října 2014
09.30 – 11.30 Tutorial: Právní odpovědnost na internetu
Doc. JUDr. Radim Polčák, Ph.D.; Ústav práva a technologií na Masarykově univerzitě
11.30 – 12.30 Oběd pro účastníky workshopu
12.30 – 13.00 Registrace
13.00 – 13.10 Slavnostní zahájení konference
13.10 – 13.50 Českou spořitelnou hýbou sociální sítě
Ondřej Říha, DiS.; Česká spořitelna, a. s.
13.50 – 14.00 Přestávka
14.00 – 14.45 Právní aspekty sociálních sítí se zaměřením na monitoring jejich používání
Mgr. Richard Otevřel; AK Havel, Holásek & Partners
14.45 – 15.00Přestávka
15.00 – 15.45 Firemní informační systémy na principu sociálních sítí
– výzva nejen pro bezpečnost
Ing. Radek Bělina, Ph.D.; Devoteam, s. r. o.
15.45 – 16.00Přestávka
16.00 – 16.45 Názor na Big Data
Ing. Martin Matějka; Keboola s. r. o.
16.45 – 16.50Přestávka
16.50 – 17.30
Analýza velkého množství dat
Michal Buzek; Seznam.cz, a. s.
18.00 – 24.00 Společenský večer
* Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 9 CPE hodin za účast na konferenci.
** Změna programu vyhrazena.
PROGRAM KON F ERENCE
III. den - 9. října 2014
Reportování incidentů podle zákona o kybernetické bezpečnosti
a souvisejících vyhlášek
Ing. Pavel Kácha a Ing. Andrea Kropáčová; CESNET
09.00 – 09.50
09.50 – 10.00 Přestávka
10.00 – 10.45 Trestně právní odpovědnost za bezpečnostní incidenty
a procesně právní aspekty zajištění dat
JUDr. Jan Kolouch, Ph.D.; CESNET; Policejní akademie ČR v Praze
10.45 – 11.00Přestávka
11.00 – 12.30
Panelová diskuse: Cvičení národních týmů 2013/2014
Moderátor Ing. Jan Fanta, CISA, CRISC; Ernst & Young, s. r. o. a jeho hosté
12.30 – 13.30 Oběd
13.30 – 14.00 Aplikace zákona o kybernetické bezpečnosti v praxi
Ing. Aleš Špidla; ČIMIB
14.00 – 14.10 Přestávka
14.10 – 14.50 Co nového v rodině produktů COBIT 5?
Ing. Lukáš Mikeska, CISA, CRISC; Ernst & Young, s. r. o., ISACA CRC
14.50 – 15.00 Ukončení konference
M Í S TO KONFERENCE
OREA hotel Horal, Špindlerův Mlýn
Hotel se nachází na úpatí Kozích hřbetů v části Svatý Petr.
Resort je ideálním místem pro odpočinek. V blízkém
okolí naleznete mnoho turistických i cyklistických tras
různé náročnosti. Součástí hotelu je relaxační centrum
(bazén, whirpool, sauna, parní lázeň, floating, masáže,
apod.), fitness, stolní tenis, biliard, minigolf i tenisové
kurty (v zimě hala).
* Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 9 CPE hodin za účast na konferenci.
** Změna programu vyhrazena.
PROGRAM KON F ERENCE
ANOTACE
WORKSHOP:
IT Governance Framework – do and don't with COBIT 5 Krzysztof Olejniczak; Sysnet Global Solutions
ISACA released a new version of framework CobiT 5 in 2013. The goal of this workshop is to help to
run efficient IT Governance program with CobiT 5. Based on examples from real life attenders will
know how to start with Cobit 5, what are the benefits and how to do not reinvent the wheel and and
how to keep existing level of knowledge. The tutorial will have a form of a presentation with open
sessions for questions and discussion on real examples.
Krzysztof Olejniczak
Kris is leading CEE Consultancy Team in Sysnet Global Solutions – one of the world’s leaders in
Information Security Technical and Consultancy Services. His team is responsible for taking care of
the customers in CEE region as well as support of the other customer world-wide. Main area of focus
is PCI DSS (Payment Card Industry Data Security Standard), ISO 27001 and CobiT. Prior joining Sysnet
Kris was managing IT Compliance Team at MIH Allegro BV – Subsidiary company of Naspers Ltd. –
owner of the biggest eCommerce sites in this regions (like aukro.cz, mall.cz, payu.cz and many more).
He was responsible for IT Compliance, Governance processes in all services in this region. In addition
he was leading PCI DSS compliance program at PayU Group companies. He is CISA, CGEIT and PCI
Qualifies Security Assessor.
Tutorial:
Právní odpovědnost na Internetu
Doc. JUDr. Radim Polčák, Ph.D.; Ústav práva a technologií na Masarykově univerzitě
Informační výměna v prostředí informačních sítí neprobíhá přímo, ale prostřednictvím služeb
informační společnosti. Poskytovatelé těchto služeb pak fakticky mají nebo mohou mít pod kontrolou
veškeré aktivity uživatelů. Dokonce ani suverénní státy ve většině případů nedisponují technickými
ani právními možnostmi přímo vynucovat své právo v prostředí informačních sítí, ale musí tak činit
rovněž prostřednictví poskytovatelů příslušných služeb.
Tutorial bude zaměřen na různé případy právní odpovědnosti poskytovatelů služeb informační
společnosti se zaměřením na odpovědnost za porušování práv duševního vlastnictví, odpovědnost
za meziuživatelské transakce (typicky např. on-line aukce nebo sociální sítě), odpovědnost za
porušování pravidel při nakládání s osobními údaji a rovněž na aktuálně připravovanou odpovědnost
za zabezpečení informační a komunikační infrastruktury před vznikem a dopady kybernetických
bezpečnostních incidentů. Jednotlivé koncepce právní odpovědnosti budou ilustrovány na příkladech
z aktuální české a evropské judikatury.
Radim Polčák
Je vedoucím Ústavu práva a technologií Právnické fakulty Masarykovy univerzity. Jako host přednáší
na právnických fakultách a justičních vzdělávacích institucích v Evropě a USA. Zabývá se převážně právní
teorií, právem ICT a energetickým právem. V roce 2003 založil mezinárodní sympozium Cyberspace,
založil a vede odborné časopisy Masaryk University Journal of Law and Technology a Revue pro právo
a technologie. Vede pozorovatelské delegace ÚPT PrF MU při UNCITRAL a UNODC. Je rozhodcem
tribunálu pro doménová jména .eu a .cz, zakládajícím členem European Academy of Law and ICT,
členem Rady European Law Institute a příležitostným poradcem českých, evropských a mezinárodních
justičních a vládních institucí.
KONFERENCE:
Českou spořitelnou hýbou sociální sítě
Ondřej Říha, DiS.; Česká spořitelna, a. s.
Českou spořitelnou hýbou hned dvě sociální sítě. Včelín - čistě interní sociální síť, podobná Facebooku,
která je propojená s intranetem a G+ - polootevřená sociální síť od společnosti Google. Jejich přínos
pro firmu je zřejmý - otevřené diskuze umožňují sdílet informace či nápady. Jak ale mohou existovat
vedle sebe? S Jakými problémy se která potýká, jak složitá byla implementace, jaká na nich platí
pravidla a jak která naplňuje očekávání vedení finanční skupiny?
Ondřej Říha
Začínal ve společnosti Telefónica na pozici Technical Support for Corporate Segment. Od roku 2006
pracuje v České spořitelně. Nejprve jako IT Analyst spravoval oficiální web a zodpovídal za plánování
provozních nákladů Servis24 a Bussines24. Působil i jako projektový manažer. Následně zastával
post Intranet Business Development and Editorial Office Leader se zodpovědností za vývoj a obsah
intranetu. Od ledna 2014 pracuje jako Online Communication Manager. Má na starost strategii,
rozvoj a obsah vnitřních a vnějších on-line komunikačních kanálů a sociální sítí. Zajímá se o možnosti
nových médií jako zdrojů pro inovaci.
Právní aspekty sociálních sítí se zaměřením na monitoring
jejich používání
Mgr. Richard Otevřel; AK Havel, Holásek & Partners
Podíváme se na právní aspekty elektronické komunikace jak uvnitř, tak ven z firmy. Zaměříme se na
příklady monitoringu zakázaných aktivit zaměstnanců a pokusíme se nalézt rozumnou míru toho, co
lze zakázat, aniž by nás zaměstnanci mohli žalovat. Odpovíme na otázky jak vynucovat dodržování
pravidel, jak stíhat jejich porušení a jak zaměstnavatel může kontrolovat dodržování povolených
aktivit (fair use).
Richard Otevřel
Je senior advokátem v AK Havel, Holásek & Partners. Specializuje se na právo duševního a průmyslového
vlastnictví, IT, ochrany osobních údajů a také na obecnější otázky práva EU a veřejnoprávní regulace.
V oblasti IT se věnuje zejména obchodněprávním aspektům licenčních a implementačních smluv
a veřejnoprávní regulaci v oblasti služeb elektronických komunikací. V kanceláři vede pracovní skupinu
poskytující komplexní právní služby v oblasti ochrany osobních údajů a ochrany osobnosti.
Firemní informační systémy na principu sociálních sítí
– výzva nejen pro bezpečnost
Ing. Radek Bělina, Ph.D.; Devoteam, s. r. o.
Sdílení informací a znalostí v co nejkratším čase se stává výzvou dnešní společnosti. Lidé komunikují
prostřednictvím sociálních sítí. Tomuto trendu se přizpůsobuje i firemní prostředí a snaží se získat výhody
z této formy komunikace. Dozvíte se čemu čelila společnost Devoteam, která zaváděla systém sdílení
informací pro téměř 5.000 pracovníků ve 23 zemích navíc kombinovaný s technologiemi od Google.
Radek Bělina
Dokončil Ph.D. na FD ČVUT v Praze, obor Inženýrská informatika. Od roku 1999 se věnuje oblasti IT, od
dodávek IT technologií, přes operativní a taktické řízení IT až po strategické rozvojové aktivity. Působí
jako manažer v nadnárodní společnosti Devoteam pro oblast IT Service Excellence v České republice
a na Slovensku. V ČR se již mnoho let aktivně zapojuje do dění okolo řízení IT a aktivně působí v ITSMF
(IT Service Management Forum).
Názor na Big Data
Ing. Martin Matějka; Keboola s. r. o.
Rád bych ve svém příspěvku zjistil obecný názor na pojem Big Data a podělil se o ten svůj. Co jsou Big
Data? Setkal se vůbec někdo z nás, obyčejných smrtleníků, s daty, která bychom mohli takto nazvat nebo
o ně zakopáváme na každém rohu? Také otevřeme téma současnosti a podíváme se na Cloud. Je čeho
se bát? Nebo jsme tam již dávno měli být? A nebo tam už dokonce jsme, aniž bychom si to připustili?
Martin Matějka
K Business Intelligence přičichl v roce 2008 ve třetím ročníku studia oboru Manažerská Informatika
na TU Liberec, kdy v rámci roční praxe působil v BI oddělení firmy Asseco Czech Republic. Během
následujícího studia absolvoval stáž ve firmě IBM CZ v oddělení Information Management. Po dokončení
studia nastoupil jako konzultant do společnosti Teradata Czech Republic s.r.o., kde se věnoval analytické
činnosti a reportingu. V současné době působí ve společnosti Keboola s.r.o opět v roli BI konzultanta.
Analýza velkého množství dat
Michal Buzek; Seznam.cz, a. s.
V příspěvku se zaměříme na to, jakým způsobem naše společnost přistupuje ke zpracování různých
typů dat (data o uživatelském chování, z reklamních a obchodních systémů, produktových statistik,
dotazníkových šetření atp.), jaké technologie a nástroje používáme a ukážeme si několik příkladů,
kdy jsme z dat vytěžili důležité znalosti pro zkvalitnění našich služeb, zvýšení výnosů nebo lepší
poznání potřeb našich uživatelů (případně vše najednou). Zastavíme se také u dalších zajímavých
příkladů organizací, kterým analýza dat přinesla zásadní konkurenční výhodu.
Michal Buzek
V oblasti internetu se pohybuje od roku 2007, kdy ukončil studium ekonomie a nastoupil jako
analytik obchodu do společnosti Seznam.cz. V roce 2010 se stal vedoucím analytického oddělení,
které zajišťuje obchodní analýzy, výzkum trhu, měření služeb Seznamu v NetMonitoru a nástrojích
webové analytiky. Předsedá kategorizační komisi Sdružení pro internetovou reklamu.
Reportování incidentů podle zákona o kybernetické
bezpečnosti a souvisejících vyhlášek
Ing. Pavel Kácha a Ing. Andrea Kropáčová; CESNET
Reakce na zjištěné nebo nahlášené bezpečnostní incidenty a události je základní činností týmů
typu CERT/CSIRT. Přednáška se bude zabývat základními aspekty této oblasti a to jak z pohledu
reportujícího, tak z pohledu příjemce reportů. Zaměří se také na to, jaké změny v této oblasti přinese
v ČR zákon o kybernetické bezpečnosti.
Pavel Kácha
Věnuje se počítačové bezpečnosti, softwarovému vývoji a administraci síťových služeb. Je členem
CSIRT týmu sdružení CESNET (česká národní síť pro výzkum a vzdělávání), kde spolupracuje na několika
projektech, týkajících se včasné výměny bezpečnostních událostí a jejich analýzy. Spolupracoval také
na vzniku českého národního týmu CSIRT.CZ. Zaměřuje se na včasnou detekci, zpracování a šíření
bezpečnostních událostí a na zlepšování povědomí o počítačové bezpečnosti.
Andrea Kropáčová
Je jedním ze zakládajících členů prvního oficiálně konstituovaného bezpečnostního týmu typu
CSIRT v České republice (tým CESNET-CERTS), který od roku 2003 působí v síti národního výzkumu
a vzdělávání provozované sdružením CESNET. Zkušenosti z vybudování tohoto akademického
týmu uplatnila při budování týmu CSIRT.CZ, který od ledna 2011 plní roli Národního CSIRT České
republiky. V oblasti bezpečnosti za zaměřuje na oblast spolupráce, sběr, hodnocení a sdílení
informací o bezpečnostních hrozbách a vzdělávání uživatelů.
Trestně právní odpovědnost za bezpečnostní incidenty
a procesně právní aspekty zajištění dat
JUDr. Jan Kolouch, Ph.D.; CESNET; Policejní akademie ČR v Praze
Přednáška nastíní možnou právní odpovědnost uživatele za vlastní prostředky ICT, které se, byť
bez vědomí majitele, mohou stát zdrojem útoku nebo problému. Počet, intenzita a závažnost
kybernetických útoků a trestné činnosti v kyberprostoru poslední době značně vzrostla. Přednáška
definuje digitální stopu a dále se zabývá jednotlivými důkazními prostředky sloužícími k zajištění
dat. Ve článku jsou předloženy návrhy de lege ferenda, které mohou umožnit efektivnější zajištění
dat důležitých pro trestní řízení.
Jan Kolouch
Vystudoval Policejní akademii ČR v Praze, kde také obhájil doktorskou práci na téma Kyberkriminalita
(trestně právní a kriminalistické aspekty). Dlouhodobě působí na Policejní akademii ČR v pozici
odborného asistenta na katedře trestního práva a zároveň je vedoucím oddělení informačních
technologií. Současně je angažován ve sdružení CESNET. Těžištěm jeho odborného zájmu je
problematika aplikovatelnosti práva a odpovědnosti za protiprávní jednání v kyberprostoru.
PanelovÁ diskuse:
Cvičení národních týmů 2013/2014
Moderátor Ing. Jan Fanta, CISA, CRISC; Ernst & Young, s. r. o. a jeho hosté
Aplikace zákona o kybernetické bezpečnosti v praxi
Ing. Aleš Špidla; ČIMIB
Zákon o kybernetické bezpečnosti prošel všemi fázemi legislativního procesu a začne platit
1.1.2015. Jeho uvedení do praxe v institucích, kterých se zákon o kybernetické bezpečnosti bude
týkat, vyvolává celou řadu otázek. Na některé z nich se pokusíme v průběhu přednášky odpovědět.
Zaměříme se na vyhlášky a další dokumenty pro praktické použití, které zákon doprovázejí nebo
doprovázet budou.
Ing. Aleš Špidla
Vystudoval technickou kybernetiku. Od roku 2005 pracuje ve státní správě. V roce 2011
spolukoncipoval strategii kybernetické bezpečnosti České republiky a spolupracoval na věcném
záměru zákona o kybernetické bezpečnosti. Je spoluzakladatelem Akademie forenzních věd,
viceprezidentem rady Českého institutu manažerů informační bezpečnosti (ČIMIB) a zastupuje
Českou republiku v Cyber Security Coordination Group.
Co nového v rodině produktů COBIT 5?
Lukáš Mikeska, Ernst & Young, s. r. o., ISACA CRC
COBIT 5 je s námi od roku 2012. Od té doby naplňuje svou vizi celé rodiny podpůrných materiálů,
které dále rozpracovávají jeho rámec na třech základních úrovních: ve formě tzv. „Enabler guides“,
„Professional guides a nově take přepracovaného COBIT Online. V tomto příspěvku si shrneme
zaměření jednotlivých podpůrných materiálů, pro koho jsou určeny a jak je efektivně využívat při
budování a zlepšování “Governance and management of enterprise IT”.
Lukáš Mikeska
Vystudoval Vysokou školu ekonomickou v Praze, je členem výboru ISACA CRC. V současné době
pracuje jako senior manažer ve společnosti EY v Praze a věnuje se IT poradenství pro finanční
instituce. Je také členem redakční rady časopisu DSM – Data Security Management.
úd a j e k e k o n f e r e n c i
REGISTRACE
Registrace účastníků na workshop je 7. 10. 2014 od 13.30 – 14.00 hod.
Registrace účastníků na konferenci je 8. 10. 2014 od 12.30 – 13.00 hod.
KONFERENČNÍ POPLATEK
Podání přihlášky do 14. 9. 2014 Podání přihlášky po 14. 9. 2014 Pro členy ISACA a spolupracujících organizací Workshop Tutorial
Účast na obou programech – workshop i tutorial
(pro účastníky workshopu je v ceně zahrnut také oběd)
9.500 Kč* (11.495 Kč vč. DPH)
10.500 Kč* (12.705 Kč vč. DPH)
7.900 Kč* (9.559 Kč vč. DPH)
2.500 Kč* (3.025 Kč vč. DPH)
1.400 Kč* (1.694 Kč vč. DPH)
3.000 Kč (3.630 Kč vč. DPH)
Konferenční poplatek zahrnuje vstup na oba dny odborné konference a na společenský večer
s rautem a dále konferenční materiály a občerstvení včetně čtvrtečního oběda. Ubytování není
zahrnuto v ceně.
PARKOVÁNÍ
Parkování v prostorách hotelového komplexu je zajištěno zdarma.
OBLEČENÍ
V průběhu konference business casual, v průběhu společenského večera casual.
UBYTOVÁNÍ
OREA Hotel Horal **** Svatopetrská 280, 543 51 Špindlerův Mlýn, www.horal.cz
Cena pokoje pro účastníky konference je:
jednolůžkový pokoj 1.100 Kč */ osoba / noc (1.331 vč. DPH)
dvoulůžkový pokoj 900 Kč */ osoba / noc (1.089 vč. DPH)
V ceně ubytování je zahrnuta snídaně a parkování.
* Uvedené ceny jsou bez DPH.
Rezervaci ubytování zajišťuje kancelář ISACA Czech Republic Chapter. Rezervujte si pokoj
prostřednictvím registračního formuláře zároveň při registraci na konferenci na www.isaca.cz.
Objednané ubytování se hradí společně s konferenčním poplatkem (fakturu vám vystavíme).
Více informací o konferenci a registraci on-line naleznete na adrese www.isaca.cz
nebo prostřednictvím kanceláře:
ISACA Czech Republic Chapter
Španělská 2, 120 00 Praha 2
Tel.: (+420) 221 628 400
Fax: (+420) 221 628 401
e-mail: [email protected]
ve spolupráci s:
mediální partneR:
kontakt:
ISACA Czech Republic Chapter, o. s.
Radka Vaňková
Španělská 2
120 00 Praha 2
Tel.: (+420) 221 628 400
Fax: (+420) 221 628 401
E-mail:[email protected]
Web:
WWW.ISACA.CZ
organizační zajištění:
Personal Image Design s. r. o., Konviktská 291/24, 110 00 Praha 1, www.pidesign.cz