Celovito obvladovanje IT-varnostnih tveganj je ob pomanjkanju kadra, virov in znanja zelo zahtevno, zato čudežnih rešitev ni. IT-sistemi in procesi so prepleteni ter kompleksni, preobilje informacij pa vam otežuje razlikovanje poslovno nevarnih ranljivosti, ki vas morajo dejansko skrbeti, od medijsko zanimivih incidentov. Hkrati se dogajajo tudi pomembne spremembe na zakonodajnem področju (GDPR), ki podjetjem nalagajo dodatne obveznosti in tudi kazni za kršenje.

Naša strokovnjaka Jan Bervar in Matevž Mesojednik sta pojasnila, kateri IT-napadi so dejansko poslovno škodljivi, kako jih preprečite ter kako ob vseh omejitvah zagotovite dolgoročno učinkovit sistem obrambe. Mag. Andrej Tomšič z Urada informacijskega pooblaščenca pa je razložil, kaj za IT-oddelke pomeni nova uredba o varovanju osebnih podatkov (GDPR) in katere tehnične prilagoditve boste morali vpeljati, da bodo vaši IT-procesi ter okolje v skladu z novo zakonodajo.

Poslovni zajtrk je bil 5. julija v Hotelu Slon v Ljubljani.

 

Urnik dogodka
Ura Vsebina
8:00-8:30 Registracija in kava z zajtrkom
8:30-8:35 Uvodni pozdrav (mag. Matjaž Kosem, prodajni strokovnjak za varnostne rešitve, NIL)
8:35-9:00 Kako učinkoviteje varovati IT-okolja s premalo kadra? (Jan Bervar, IT arhitekt, NIL)

Ironično je, da se nenadoma na področju IT-varnosti največ pozornosti posveča izsiljevalskim črvom, ki za podjetja (še) niso kritični, povrh vsega pa so zelo enostavno izsledljivi. V času, ko so naša okolja tako kompleksna, da v praksi izjemno težko odpravljamo že samo znane ranljivosti, potrebujemo nove rešitve; te lahko iščemo v prilagoditvi svojih IT-storitev (kar je izjemno težko), ali pa v hitri zaznavi in odzivu na sumljive aktivnosti. V vodeni diskusiji si bomo pogledali pristope k oblikovanju imunskega sistema IT, s katerimi lahko bistveno omejimo poslovno škodo varnostnih incidentov, ter predebatirali različne načine sodelovanja vaše ekipe z zunanjim znanjem.

9:00-9:15 Odmor
9:15-9:45 Odpravljanje očitnih varnostnih lukenj ali kako ostati korak pred hekerji (mag. Matevž Mesojednik, strokovnjak za informacijsko varnost, NIL)

Veliko varnostnih incidentov se zgodi, ker organizacije ne odpravljajo najbolj očitnih (in velikokrat tudi znanih) varnostnih pomanjkljivosti v svojih IT-okoljih. V predavanju bomo zato predstavili nujne tipe varnostnih pregledov in testiranj, ki bi jih za učinkovito obrambo pred napadi morali izvajati periodično. Pojasnili bomo tudi, kako razdeliti vloge in odgovornosti med tiste, ki morajo zaznavati incidente in tiste ki se morajo nanje odzivati, ter kako ocenjevati učinkovitost varnostnih sistemov. Spoznali boste zakaj je varnostni pregled eden izmed ključnih stebrov sodobnega varnostno operativnega centra (SOC).

9:45-10:15 GDPR: Katere nove obveznosti čakajo varnostne inženirje (mag. Andrej Tomšič, namestnik informacijske pooblaščenke, Informacijski pooblaščenec)

Mag. Andrej Tomšič bo predstavil temeljne novosti, ki jih prinaša nova Splošna uredba EU o varstvu osebnih podatkov (GDPR). Poseben poudarek bo predvsem na tem, kaj nova uredba pomeni z vidika IKT in varnosti, torej na vidikih zahtev glede zagotavljanja ustrezne informacijske varnosti, odgovornega ravnanja (»accountability«), poročanja o kršitvah varnosti in ugotavljanja odgovornosti za kršitve.

10:15-10:45 Zaključek