it governance
Transkript
it governance
X I . r o č n í k o d b o r n é k o n f e r e n c e it governance „Firemní komunik ace v k ybernetickém prostoru“ 7. – 9. října 2014 OREA Hotel Horal, Špindlerův Mlýn partneři konference: Vážené dámy, vážení pánové, předkládám několik důvodů, proč se zúčastnit a těšit na konferenci ISACA „IT Governance“ s podtitulkem jedenáctého ročníku „Firemní komunikace v kybernetickém prostoru“: Letošní konference má dva předskokany. Klasický workshop zaměřený na zkušenosti s implementací COBIT 5 přináší praktické znalosti ze zahraničí. A nově ve spolupráci s univerzitami zařazujeme výukový „tutoriál“ nazvaný „Právní aspekty v IT“. Sociální sítě hýbou firemní komunikací. Sdílení informací je v těchto sítích přirozené a informace lze snáze než v klasické emailové komunikaci prohledávat a odkazovat se na ně. Na konferenci se dozvíme, jak prakticky řešit bezpečnost sociálních sítí a co na monitoring jejich používání říkají právníci. Nejen ze sociálních sítí lze získávat velká množství dat. „Big data“ a ukládání čehokoliv, co se může hodit. K čemu nám tato data jsou či budou prakticky k užitku a jakým způsobem řídit jejich zpracování? Připravovaný nástup zákona o kybernetické bezpečnosti je přede dveřmi. Jak reportovat incidenty podle zákona a prováděcích vyhlášek? Existuje trestně právní odpovědnost za bezpečnostní incidenty a za správný reporting? Nezávislost ISACA postavené celosvětově na jednotlivcích nám umožňuje vytvářet nekonkurenční a otevřenou atmosféru pro sdílení znalostí a praktických zkušeností. Na konferenci bude vedle tradiční panelové diskuze letos i maximum prostoru pro výměnu názorů a pro odborný dialog mezi účastníky. Přijďte letos nově na konferenci o den dříve a setkejte se s komunitou ISACA. V neposlední řadě lze očekávat tradičně velmi pečlivou organizaci konference, vynikající prostředí a lákavou doprovodnou akci. Jménem programového výboru Vás mohu ubezpečit, že jedenáctý ročník konference bude zaměřen na zkušenosti z praxe využitelné v našich podmínkách a rovněž bude nabízet srovnání a znalosti pocházející z celosvětové komunity ISACA a její výzkumně-vývojové základny. S přáním příjemně a užitečně stráveného času na konferenci ISACA, Petr Hujňák Předseda programového výboru a prezident ISACA CRC PROGRAMOVÝ VÝBOR: Ing. David Cón, CISA, CRISC; Wincor Nixdorf, s. r. o. Ing. Jan Fanta, CISA, CRISC; Ernst & Young, s. r. o. Ing. Petr Hujňák, CSc., CGEIT, CRISC, CSPM; Per Partes Consulting, s. r. o. Ing. Luboš Klečka, CISA, CRISC; Česká spořitelna, a. s. Ing. Lukáš Mikeska, CISA, CRISC; Ernst & Young, s. r. o. Ing. Luděk Novák, Ph.D., CISA, CGEIT, CRISC; ISACA Czech Republic Chapter, o. s. Ing. Rodan Svoboda, CIA, CICA, CRMA; Eurodan, s. r. o. Ing. Radka Vaňková, MBA; ISACA Czech Republic Chapter, o. s. I. den – 7. října 2014 Workshop: „IT Governance Framework - do and don't with COBIT 5" Krzysztof Olejniczak; Sysnet Global Solutions 13.00 – 17.00 II. den – 8. října 2014 09.30 – 11.30 Tutorial: Právní odpovědnost na internetu Doc. JUDr. Radim Polčák, Ph.D.; Ústav práva a technologií na Masarykově univerzitě 11.30 – 12.30 Oběd pro účastníky workshopu 12.30 – 13.00 Registrace 13.00 – 13.10 Slavnostní zahájení konference 13.10 – 13.50 Českou spořitelnou hýbou sociální sítě Ondřej Říha, DiS.; Česká spořitelna, a. s. 13.50 – 14.00 Přestávka 14.00 – 14.45 Právní aspekty sociálních sítí se zaměřením na monitoring jejich používání Mgr. Richard Otevřel; AK Havel, Holásek & Partners 14.45 – 15.00Přestávka 15.00 – 15.45 Firemní informační systémy na principu sociálních sítí – výzva nejen pro bezpečnost Ing. Radek Bělina, Ph.D.; Devoteam, s. r. o. 15.45 – 16.00Přestávka 16.00 – 16.45 Názor na Big Data Ing. Martin Matějka; Keboola s. r. o. 16.45 – 16.50Přestávka 16.50 – 17.30 Analýza velkého množství dat Michal Buzek; Seznam.cz, a. s. 18.00 – 24.00 Společenský večer * Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 9 CPE hodin za účast na konferenci. ** Změna programu vyhrazena. PROGRAM KON F ERENCE III. den - 9. října 2014 Reportování incidentů podle zákona o kybernetické bezpečnosti a souvisejících vyhlášek Ing. Pavel Kácha a Ing. Andrea Kropáčová; CESNET 09.00 – 09.50 09.50 – 10.00 Přestávka 10.00 – 10.45 Trestně právní odpovědnost za bezpečnostní incidenty a procesně právní aspekty zajištění dat JUDr. Jan Kolouch, Ph.D.; CESNET; Policejní akademie ČR v Praze 10.45 – 11.00Přestávka 11.00 – 12.30 Panelová diskuse: Cvičení národních týmů 2013/2014 Moderátor Ing. Jan Fanta, CISA, CRISC; Ernst & Young, s. r. o. a jeho hosté 12.30 – 13.30 Oběd 13.30 – 14.00 Aplikace zákona o kybernetické bezpečnosti v praxi Ing. Aleš Špidla; ČIMIB 14.00 – 14.10 Přestávka 14.10 – 14.50 Co nového v rodině produktů COBIT 5? Ing. Lukáš Mikeska, CISA, CRISC; Ernst & Young, s. r. o., ISACA CRC 14.50 – 15.00 Ukončení konference M Í S TO KONFERENCE OREA hotel Horal, Špindlerův Mlýn Hotel se nachází na úpatí Kozích hřbetů v části Svatý Petr. Resort je ideálním místem pro odpočinek. V blízkém okolí naleznete mnoho turistických i cyklistických tras různé náročnosti. Součástí hotelu je relaxační centrum (bazén, whirpool, sauna, parní lázeň, floating, masáže, apod.), fitness, stolní tenis, biliard, minigolf i tenisové kurty (v zimě hala). * Držitelé certifikátů CISA, CISM, CGEIT a CRISC získají 9 CPE hodin za účast na konferenci. ** Změna programu vyhrazena. PROGRAM KON F ERENCE ANOTACE WORKSHOP: IT Governance Framework – do and don't with COBIT 5 Krzysztof Olejniczak; Sysnet Global Solutions ISACA released a new version of framework CobiT 5 in 2013. The goal of this workshop is to help to run efficient IT Governance program with CobiT 5. Based on examples from real life attenders will know how to start with Cobit 5, what are the benefits and how to do not reinvent the wheel and and how to keep existing level of knowledge. The tutorial will have a form of a presentation with open sessions for questions and discussion on real examples. Krzysztof Olejniczak Kris is leading CEE Consultancy Team in Sysnet Global Solutions – one of the world’s leaders in Information Security Technical and Consultancy Services. His team is responsible for taking care of the customers in CEE region as well as support of the other customer world-wide. Main area of focus is PCI DSS (Payment Card Industry Data Security Standard), ISO 27001 and CobiT. Prior joining Sysnet Kris was managing IT Compliance Team at MIH Allegro BV – Subsidiary company of Naspers Ltd. – owner of the biggest eCommerce sites in this regions (like aukro.cz, mall.cz, payu.cz and many more). He was responsible for IT Compliance, Governance processes in all services in this region. In addition he was leading PCI DSS compliance program at PayU Group companies. He is CISA, CGEIT and PCI Qualifies Security Assessor. Tutorial: Právní odpovědnost na Internetu Doc. JUDr. Radim Polčák, Ph.D.; Ústav práva a technologií na Masarykově univerzitě Informační výměna v prostředí informačních sítí neprobíhá přímo, ale prostřednictvím služeb informační společnosti. Poskytovatelé těchto služeb pak fakticky mají nebo mohou mít pod kontrolou veškeré aktivity uživatelů. Dokonce ani suverénní státy ve většině případů nedisponují technickými ani právními možnostmi přímo vynucovat své právo v prostředí informačních sítí, ale musí tak činit rovněž prostřednictví poskytovatelů příslušných služeb. Tutorial bude zaměřen na různé případy právní odpovědnosti poskytovatelů služeb informační společnosti se zaměřením na odpovědnost za porušování práv duševního vlastnictví, odpovědnost za meziuživatelské transakce (typicky např. on-line aukce nebo sociální sítě), odpovědnost za porušování pravidel při nakládání s osobními údaji a rovněž na aktuálně připravovanou odpovědnost za zabezpečení informační a komunikační infrastruktury před vznikem a dopady kybernetických bezpečnostních incidentů. Jednotlivé koncepce právní odpovědnosti budou ilustrovány na příkladech z aktuální české a evropské judikatury. Radim Polčák Je vedoucím Ústavu práva a technologií Právnické fakulty Masarykovy univerzity. Jako host přednáší na právnických fakultách a justičních vzdělávacích institucích v Evropě a USA. Zabývá se převážně právní teorií, právem ICT a energetickým právem. V roce 2003 založil mezinárodní sympozium Cyberspace, založil a vede odborné časopisy Masaryk University Journal of Law and Technology a Revue pro právo a technologie. Vede pozorovatelské delegace ÚPT PrF MU při UNCITRAL a UNODC. Je rozhodcem tribunálu pro doménová jména .eu a .cz, zakládajícím členem European Academy of Law and ICT, členem Rady European Law Institute a příležitostným poradcem českých, evropských a mezinárodních justičních a vládních institucí. KONFERENCE: Českou spořitelnou hýbou sociální sítě Ondřej Říha, DiS.; Česká spořitelna, a. s. Českou spořitelnou hýbou hned dvě sociální sítě. Včelín - čistě interní sociální síť, podobná Facebooku, která je propojená s intranetem a G+ - polootevřená sociální síť od společnosti Google. Jejich přínos pro firmu je zřejmý - otevřené diskuze umožňují sdílet informace či nápady. Jak ale mohou existovat vedle sebe? S Jakými problémy se která potýká, jak složitá byla implementace, jaká na nich platí pravidla a jak která naplňuje očekávání vedení finanční skupiny? Ondřej Říha Začínal ve společnosti Telefónica na pozici Technical Support for Corporate Segment. Od roku 2006 pracuje v České spořitelně. Nejprve jako IT Analyst spravoval oficiální web a zodpovídal za plánování provozních nákladů Servis24 a Bussines24. Působil i jako projektový manažer. Následně zastával post Intranet Business Development and Editorial Office Leader se zodpovědností za vývoj a obsah intranetu. Od ledna 2014 pracuje jako Online Communication Manager. Má na starost strategii, rozvoj a obsah vnitřních a vnějších on-line komunikačních kanálů a sociální sítí. Zajímá se o možnosti nových médií jako zdrojů pro inovaci. Právní aspekty sociálních sítí se zaměřením na monitoring jejich používání Mgr. Richard Otevřel; AK Havel, Holásek & Partners Podíváme se na právní aspekty elektronické komunikace jak uvnitř, tak ven z firmy. Zaměříme se na příklady monitoringu zakázaných aktivit zaměstnanců a pokusíme se nalézt rozumnou míru toho, co lze zakázat, aniž by nás zaměstnanci mohli žalovat. Odpovíme na otázky jak vynucovat dodržování pravidel, jak stíhat jejich porušení a jak zaměstnavatel může kontrolovat dodržování povolených aktivit (fair use). Richard Otevřel Je senior advokátem v AK Havel, Holásek & Partners. Specializuje se na právo duševního a průmyslového vlastnictví, IT, ochrany osobních údajů a také na obecnější otázky práva EU a veřejnoprávní regulace. V oblasti IT se věnuje zejména obchodněprávním aspektům licenčních a implementačních smluv a veřejnoprávní regulaci v oblasti služeb elektronických komunikací. V kanceláři vede pracovní skupinu poskytující komplexní právní služby v oblasti ochrany osobních údajů a ochrany osobnosti. Firemní informační systémy na principu sociálních sítí – výzva nejen pro bezpečnost Ing. Radek Bělina, Ph.D.; Devoteam, s. r. o. Sdílení informací a znalostí v co nejkratším čase se stává výzvou dnešní společnosti. Lidé komunikují prostřednictvím sociálních sítí. Tomuto trendu se přizpůsobuje i firemní prostředí a snaží se získat výhody z této formy komunikace. Dozvíte se čemu čelila společnost Devoteam, která zaváděla systém sdílení informací pro téměř 5.000 pracovníků ve 23 zemích navíc kombinovaný s technologiemi od Google. Radek Bělina Dokončil Ph.D. na FD ČVUT v Praze, obor Inženýrská informatika. Od roku 1999 se věnuje oblasti IT, od dodávek IT technologií, přes operativní a taktické řízení IT až po strategické rozvojové aktivity. Působí jako manažer v nadnárodní společnosti Devoteam pro oblast IT Service Excellence v České republice a na Slovensku. V ČR se již mnoho let aktivně zapojuje do dění okolo řízení IT a aktivně působí v ITSMF (IT Service Management Forum). Názor na Big Data Ing. Martin Matějka; Keboola s. r. o. Rád bych ve svém příspěvku zjistil obecný názor na pojem Big Data a podělil se o ten svůj. Co jsou Big Data? Setkal se vůbec někdo z nás, obyčejných smrtleníků, s daty, která bychom mohli takto nazvat nebo o ně zakopáváme na každém rohu? Také otevřeme téma současnosti a podíváme se na Cloud. Je čeho se bát? Nebo jsme tam již dávno měli být? A nebo tam už dokonce jsme, aniž bychom si to připustili? Martin Matějka K Business Intelligence přičichl v roce 2008 ve třetím ročníku studia oboru Manažerská Informatika na TU Liberec, kdy v rámci roční praxe působil v BI oddělení firmy Asseco Czech Republic. Během následujícího studia absolvoval stáž ve firmě IBM CZ v oddělení Information Management. Po dokončení studia nastoupil jako konzultant do společnosti Teradata Czech Republic s.r.o., kde se věnoval analytické činnosti a reportingu. V současné době působí ve společnosti Keboola s.r.o opět v roli BI konzultanta. Analýza velkého množství dat Michal Buzek; Seznam.cz, a. s. V příspěvku se zaměříme na to, jakým způsobem naše společnost přistupuje ke zpracování různých typů dat (data o uživatelském chování, z reklamních a obchodních systémů, produktových statistik, dotazníkových šetření atp.), jaké technologie a nástroje používáme a ukážeme si několik příkladů, kdy jsme z dat vytěžili důležité znalosti pro zkvalitnění našich služeb, zvýšení výnosů nebo lepší poznání potřeb našich uživatelů (případně vše najednou). Zastavíme se také u dalších zajímavých příkladů organizací, kterým analýza dat přinesla zásadní konkurenční výhodu. Michal Buzek V oblasti internetu se pohybuje od roku 2007, kdy ukončil studium ekonomie a nastoupil jako analytik obchodu do společnosti Seznam.cz. V roce 2010 se stal vedoucím analytického oddělení, které zajišťuje obchodní analýzy, výzkum trhu, měření služeb Seznamu v NetMonitoru a nástrojích webové analytiky. Předsedá kategorizační komisi Sdružení pro internetovou reklamu. Reportování incidentů podle zákona o kybernetické bezpečnosti a souvisejících vyhlášek Ing. Pavel Kácha a Ing. Andrea Kropáčová; CESNET Reakce na zjištěné nebo nahlášené bezpečnostní incidenty a události je základní činností týmů typu CERT/CSIRT. Přednáška se bude zabývat základními aspekty této oblasti a to jak z pohledu reportujícího, tak z pohledu příjemce reportů. Zaměří se také na to, jaké změny v této oblasti přinese v ČR zákon o kybernetické bezpečnosti. Pavel Kácha Věnuje se počítačové bezpečnosti, softwarovému vývoji a administraci síťových služeb. Je členem CSIRT týmu sdružení CESNET (česká národní síť pro výzkum a vzdělávání), kde spolupracuje na několika projektech, týkajících se včasné výměny bezpečnostních událostí a jejich analýzy. Spolupracoval také na vzniku českého národního týmu CSIRT.CZ. Zaměřuje se na včasnou detekci, zpracování a šíření bezpečnostních událostí a na zlepšování povědomí o počítačové bezpečnosti. Andrea Kropáčová Je jedním ze zakládajících členů prvního oficiálně konstituovaného bezpečnostního týmu typu CSIRT v České republice (tým CESNET-CERTS), který od roku 2003 působí v síti národního výzkumu a vzdělávání provozované sdružením CESNET. Zkušenosti z vybudování tohoto akademického týmu uplatnila při budování týmu CSIRT.CZ, který od ledna 2011 plní roli Národního CSIRT České republiky. V oblasti bezpečnosti za zaměřuje na oblast spolupráce, sběr, hodnocení a sdílení informací o bezpečnostních hrozbách a vzdělávání uživatelů. Trestně právní odpovědnost za bezpečnostní incidenty a procesně právní aspekty zajištění dat JUDr. Jan Kolouch, Ph.D.; CESNET; Policejní akademie ČR v Praze Přednáška nastíní možnou právní odpovědnost uživatele za vlastní prostředky ICT, které se, byť bez vědomí majitele, mohou stát zdrojem útoku nebo problému. Počet, intenzita a závažnost kybernetických útoků a trestné činnosti v kyberprostoru poslední době značně vzrostla. Přednáška definuje digitální stopu a dále se zabývá jednotlivými důkazními prostředky sloužícími k zajištění dat. Ve článku jsou předloženy návrhy de lege ferenda, které mohou umožnit efektivnější zajištění dat důležitých pro trestní řízení. Jan Kolouch Vystudoval Policejní akademii ČR v Praze, kde také obhájil doktorskou práci na téma Kyberkriminalita (trestně právní a kriminalistické aspekty). Dlouhodobě působí na Policejní akademii ČR v pozici odborného asistenta na katedře trestního práva a zároveň je vedoucím oddělení informačních technologií. Současně je angažován ve sdružení CESNET. Těžištěm jeho odborného zájmu je problematika aplikovatelnosti práva a odpovědnosti za protiprávní jednání v kyberprostoru. PanelovÁ diskuse: Cvičení národních týmů 2013/2014 Moderátor Ing. Jan Fanta, CISA, CRISC; Ernst & Young, s. r. o. a jeho hosté Aplikace zákona o kybernetické bezpečnosti v praxi Ing. Aleš Špidla; ČIMIB Zákon o kybernetické bezpečnosti prošel všemi fázemi legislativního procesu a začne platit 1.1.2015. Jeho uvedení do praxe v institucích, kterých se zákon o kybernetické bezpečnosti bude týkat, vyvolává celou řadu otázek. Na některé z nich se pokusíme v průběhu přednášky odpovědět. Zaměříme se na vyhlášky a další dokumenty pro praktické použití, které zákon doprovázejí nebo doprovázet budou. Ing. Aleš Špidla Vystudoval technickou kybernetiku. Od roku 2005 pracuje ve státní správě. V roce 2011 spolukoncipoval strategii kybernetické bezpečnosti České republiky a spolupracoval na věcném záměru zákona o kybernetické bezpečnosti. Je spoluzakladatelem Akademie forenzních věd, viceprezidentem rady Českého institutu manažerů informační bezpečnosti (ČIMIB) a zastupuje Českou republiku v Cyber Security Coordination Group. Co nového v rodině produktů COBIT 5? Lukáš Mikeska, Ernst & Young, s. r. o., ISACA CRC COBIT 5 je s námi od roku 2012. Od té doby naplňuje svou vizi celé rodiny podpůrných materiálů, které dále rozpracovávají jeho rámec na třech základních úrovních: ve formě tzv. „Enabler guides“, „Professional guides a nově take přepracovaného COBIT Online. V tomto příspěvku si shrneme zaměření jednotlivých podpůrných materiálů, pro koho jsou určeny a jak je efektivně využívat při budování a zlepšování “Governance and management of enterprise IT”. Lukáš Mikeska Vystudoval Vysokou školu ekonomickou v Praze, je členem výboru ISACA CRC. V současné době pracuje jako senior manažer ve společnosti EY v Praze a věnuje se IT poradenství pro finanční instituce. Je také členem redakční rady časopisu DSM – Data Security Management. úd a j e k e k o n f e r e n c i REGISTRACE Registrace účastníků na workshop je 7. 10. 2014 od 13.30 – 14.00 hod. Registrace účastníků na konferenci je 8. 10. 2014 od 12.30 – 13.00 hod. KONFERENČNÍ POPLATEK Podání přihlášky do 14. 9. 2014 Podání přihlášky po 14. 9. 2014 Pro členy ISACA a spolupracujících organizací Workshop Tutorial Účast na obou programech – workshop i tutorial (pro účastníky workshopu je v ceně zahrnut také oběd) 9.500 Kč* (11.495 Kč vč. DPH) 10.500 Kč* (12.705 Kč vč. DPH) 7.900 Kč* (9.559 Kč vč. DPH) 2.500 Kč* (3.025 Kč vč. DPH) 1.400 Kč* (1.694 Kč vč. DPH) 3.000 Kč (3.630 Kč vč. DPH) Konferenční poplatek zahrnuje vstup na oba dny odborné konference a na společenský večer s rautem a dále konferenční materiály a občerstvení včetně čtvrtečního oběda. Ubytování není zahrnuto v ceně. PARKOVÁNÍ Parkování v prostorách hotelového komplexu je zajištěno zdarma. OBLEČENÍ V průběhu konference business casual, v průběhu společenského večera casual. UBYTOVÁNÍ OREA Hotel Horal **** Svatopetrská 280, 543 51 Špindlerův Mlýn, www.horal.cz Cena pokoje pro účastníky konference je: jednolůžkový pokoj 1.100 Kč */ osoba / noc (1.331 vč. DPH) dvoulůžkový pokoj 900 Kč */ osoba / noc (1.089 vč. DPH) V ceně ubytování je zahrnuta snídaně a parkování. * Uvedené ceny jsou bez DPH. Rezervaci ubytování zajišťuje kancelář ISACA Czech Republic Chapter. Rezervujte si pokoj prostřednictvím registračního formuláře zároveň při registraci na konferenci na www.isaca.cz. Objednané ubytování se hradí společně s konferenčním poplatkem (fakturu vám vystavíme). Více informací o konferenci a registraci on-line naleznete na adrese www.isaca.cz nebo prostřednictvím kanceláře: ISACA Czech Republic Chapter Španělská 2, 120 00 Praha 2 Tel.: (+420) 221 628 400 Fax: (+420) 221 628 401 e-mail: [email protected] ve spolupráci s: mediální partneR: kontakt: ISACA Czech Republic Chapter, o. s. Radka Vaňková Španělská 2 120 00 Praha 2 Tel.: (+420) 221 628 400 Fax: (+420) 221 628 401 E-mail:[email protected] Web: WWW.ISACA.CZ organizační zajištění: Personal Image Design s. r. o., Konviktská 291/24, 110 00 Praha 1, www.pidesign.cz