Bezpečnost ve složitých ekonomických podmínkách - Zdeněk Kaplan
Celosvětová ekonomika prošla jednou recesí jen proto, aby nyní balancovala na pokraji druhé. Globální napětí od Indie a Pakistánu přes Israel a Palestinu až po Irák významně snižuje ochotu podnikových manažerů otevírat nové strategické projekty. Prakticky celosvětově to znamená maximální tlak na snižování nákladů, početních stavů zaměstnanců a ořezávání méně prioritních aktivit. Znám osobně řadu manažerů, kteří v takovém období se automaticky zaměřují na snížení nákladů ve dvou oblastech: marketing a bezpečnost. Je toto rozhodnutí moudré? Přinese letošní Information Security Summit nějaká doporučení jak těmto trendům čelit? Existuje něco jako škálovatelná bezpečnost?
Správa bezpečnosti v rozsáhlém nadnárodním podniku - Pieter van Dijken
Tato přednáška popíše způsob, kterým od začátku 90. let rozsáhlá diverzifikovaná a multikulturní společnost implementovala informační bezpečnost. Popíšeme mj. kulturní rysy společností v Shell Group; hlavní rozhodovací činitele ve společnosti; role a procesy u Shell; první fázi (návrh, piloty a rozšíření) bezpečnostního programu; zpracování poznatků z první fáze; standardizace – od Shell Baseline Controls až po BS 7799; spolupráci s dalšími zainteresovanými činiteli (vlády, obchodní partneři, občané); optimalizaci vstupů pro centrální program Shell; pohyb pohledu na bezpečnost od „zajímavého doplňku“ k faktoru podporujícímu obchod; zahrnutí informační bezpečnosti do strategických iniciativ IT infrastruktury (např. certifikované zpracování dat v sítích přes tzv. Trust Domain; nové výzvy do budoucnosti: naplnění společenských požadavků na typického zástupce tzv. kritické infrastruktury.
PRŮZKUM STAVU INFORMAČNÍ BEZPEČNOSTI V ČR POTŘETÍ - Viktor Seige, Martin Smekal
Průzkum stavu informační bezpečnosti v ČR 2003, který probíhal od března letošního roku, byl zaměřen na vybraný reprezentativní vzorek středních a velkých společností v České republice pokrývající všechny vertikální segmenty. V anonymně prováděném průzkumu odpovídaly společnosti na celkem 56 podrobných otázek z oblasti informační bezpečnosti rozdělených do 14 tematických skupin (např. Bezpečnostní politika a standardy, Bezpečnostní incidenty a hrozby, Elektronický podpis, Internet, Plány obnovy funkčnosti, Ochrana osobních údajů a utajovaných skutečností). Průzkum navazuje na velice úspěšné průzkumy uskutečněné v letech 1999 a 2001, objevují se však nové okruhy otázek týkajících se například bezpečnostních profesionálů a elektronického podpisu. Přednáška bude první prezentací výsledků průzkumu odborné veřejnosti. Kromě nejnovějších poznatků budou také naznačeny trendy vývoje informační bezpečnosti v ČR v následujícím období.
Zkušenosti s SLA ve společnosti ČEZ - Petr Přibyslavský
Změny vnitřního i vnějšího prostředí se promítají i do změn organizace a řízení informačních a telekomunikačních technologií (ICT). Jedním z nezbytných předpokladů realizace těchto změn je i standardizace řízení ICT, standardizace procesů ICT a postupný přechod na řízení informatiky podle úrovně sjednaných služeb (SLA). Prezentace se zaměří na strukturu a sjednávání SLA, jejich monitoring a reportování, kritické faktory úspěchu, problémy implementace a parametry bezpečnosti v SLA.
Katalog služeb – alfa a omega pro SLA - Karol Morár
Ve chvíli, kdy interní zákazník od svého útvaru IT chce SLA (Service Level Agreement), vyvstává přesně položená otázka, co vlastně útvar IT předává. Na první pohled se specifikace SLA může zdát jednoduchou úlohou, ale když je zapotřebí vytvořit katalog služeb, tak vznikají problémy pro nejednoho manažera IT. Příspěvek se zabývá aktivitami spojenými s vytvořením katalogu služeb a ukáže i výsledek jednoho takového úsilí
Právní úprava ochrany soukromi v elektronických komunikacích - Ján Matejka
Příspěvek se zabývá vybranými aspekty právní úpravy ochrany soukromí se zřetelem k zvláštní povaze elektronických komunikací, zejména pak jejichodposlechem a záznamem (monitorováním). Důraz je kladen zejména na podmínky, za kterých lze takový záznam (odposlech) provést či nařídit a na souvisejícíotázky (další osud takto zaznamenaných údajů, jejich užití při dokazování, apod.). Předmětem je rovněž realizace telekomunikačního a listovní tajemství v pracovněprávních vztazích. Dále se příspěvek zabývá úpravou v právu ES a souvisejícími dokumenty Rady Evropy, ze kterých lze předjímat možný budoucí vývoj v ČR.
Bezpečnostní incidenty a jejich management - Marcus Alldrick
Přednáška odpoví na základní otázky: co je management bezpečnostních incidentů a varování, proč je zapotřebí, co znamená, z čeho se skládá a jak může fungovat. Jaké jsou praktické stránky a výhody managementu BI. Po všeobecnějším úvodu se přednáška zaměří na dva základní typy bezpečnostních příhod: bezpečnostní incidenty a bezpečnostní varování; prozkoumá jejich vzájemné vztahy a podá přehled různých možností pro jejich management. Současně bude probrán dopad na organizace spojený s jednotlivými typy bezpečnostních příhod. Průběžně bude přednáška doplněna řadou příkladů získaných ze skutečné praxe.
Panelová diskuse - Management a bezpečnost ve složitých ekonomických podmínkách
Management mnoha společností sice uznává potřebu informační bezpečnost řešit, ale když přijde řeč na přidělení určitého množství peněz, tak se vedou dlouhé diskuze a rozhodování se odkládá na později s odůvodněním “jiné priority”. Na informační bezpečnost se navíc nahlíží jako na relativně izolovaný problem a k otázkám řešení bezpečnosti se přistupuje spíše nárazově.
Dílčí témata:
- problémy při získávání finančních prostředků;
- otázky priorit (v bezpečnosti);
- na co se soustředit při přesvědčování vyššího managementu;
- jak dosáhnout zájmu zúčastněných osob a oddělení – přístupy a „triky“.
"Bezpečnost" Multimédií - Fabien Petitcolas
Pirátství multimediálních dat za poslední desetiletí dramaticky vzrostlo a tak motivovalo vývoj technologií použitelných k ochraně intelektuálního vlastnictví. Přednáška se bude věnovat dvěma technologiím: ta první je často nazývána jako digitální správa práv (DRM – Digital Rights Management) a tou druhou je digitální vodoznak (Digital Watermarking).
ssh a síťové IDS systémy: problémy a návrhy řešení - Eugene Schultz
Příspěvek je věnován problémům síťových systémů detekce průniku v relacích šifrovaných protokolem ssh. Nejprve jsou popsány typy problémů, které protokol ssh přináší a později je navrženo několik možných řešení. Protokol ssh poskytuje šifrovaná vzdálená spojení, čímž brání útočníkům v získání hesel posílaných po sítí v čitelné podobě. Protokol ssh však zdaleka není všelék. Spojení přes ssh zejména brání síťovým IDS systémům v získání a analýze obsahu sezení.
Nezbytné podmínky pro m-commerce - Berthold Ruf
Z pohledu operátora existuje několik určitých předpokladů pro úspěšnou m-commerce. Zaprvé musí existovat infrastruktura a dobře navržený software, které zaručí bezpečné a snadné provedení plateb. Zadruhé musí být vyvinut technický a obchodní model dovolující spojení s mnoha obchody. Zatřetí je důležité vyvinout standard umožňující obchodům používat minimální počet rozdílných metod m-placení. Přednáška podá přehled o tom jak ONE, jeden z největších rakouských provozovatelů mobilních sítí, přistoupil k těmto důležitým otázkám a současně popíše rakouský m-commerce standard MIA, který tento standard uplatňuje.
PKI, skutečně selhalo? - Hans-Peter Frei
Využití infrastruktur veřejných klíčů (PKI - Public Key Infrastructure) dosud nebylo tak úspěšné, jak se dříve očekávalo. Je snad něco špatného na technologii, nebyly snad dostatečně přesvědčivé dané obchodní modely, nebo jsou neočekávané problémy na právní a organizační úrovni? Představíme několik zajímavých – ale překonatelných – technických problémů i obchodních komplikací a nejasností ohledně důvěry. Pozornost bude také věnována některým nesprávným názorům, které zpomalily zavádění PKI.
Použití ISO 15408 při návrhu a vývoji aplikace REP - Vlasta Jošková, Vítězslav Šídlo
Norma „ISO/IEC 15408 Kritéria pro hodnocení bezpečnosti IT“ - jak už její název napovídá - bývá nejčastěji uváděna ve spojitosti s hodnocením bezpečnosti produktů. Přednáška odpovídá na otázku, zda je užitečné tuto normu použít i při vývoji aplikací majících vyšší nároky na bezpečnost, u nichž však hodnocení podle ISO 15408 není bezprostředním cílem. Výhody i úskalí, se kterými jsme se při použití této normy setkali, jsou demonstrovány na aplikaci Registrovaná elektronická pošta.
ISO 15408 při vývoji aplikací - Eduard Formánek, Miroslav Šedivý
V oblasti jak podnikových informačních systémů, tak i aplikací fungujících v prostředí Internetu (a nejen v Internetu), je kladen stále větší důraz na bezpečnost, především pak v souvislosti s přesunem dalších aktivit, zejména pak ve sféře obchodu či státní správy do elektronické oblasti. Vytvořit skutečně bezpečnou aplikaci, odolnou proti útokům jak z vnitřní sítě, tak i nebezpečného Internetu , však není zcela jednoduché. Stejně tak není triviální posoudit, která aplikace je „bezpečnější“. Pokud se ovšem držíme určitých standardů, je situace přehlednější. Standardem, který je přímo určen pro vývoj bezpečných aplikací, je ISO 15408 – kritéria pro hodnocení bezpečnosti IT.
Managed Security Services – To dobré i to špatné - Jorre Belpaire
Jorre Belpaire analyzuje úspěšné zavedení Managed Security Services v jedné z předních evropských bank. Jeho příspěvek projde rozhodovací i implementační process a také prodiskutuje některé z probémů, úskalí a předsudků o Managed Security Services. Jorre také prodiskutuje způsoby jejich minimalizace a řízení. Příspěvek je založen na publikaci nezávislých analytiků.