Virtuálna & prezenčná konferencia
Riadenie rizík v informatickom a kybernetickom prostredí
virtuálne | www.efocus.eu/risk-manazment
Program
Prečo sa zúčastniť konferencie
Požiadavky na riadenie rizík sa stali štandardnou súčasťou všetkých moderných manažérskych prístupov - je úplne prirodzené, že úspešné riadenie akejkoľvek organizácie vyžaduje profesionálnu identifikáciu hrozieb z interného aj externého prostredia ako aj efektívnu a najmä riadenú elimináciu týchto hrozieb. Rizikám sa jednoducho nedá vyhnúť - o to viac sú riziká dôležité pri riadení bezpečnosti a spoľahlivosti organizácii v dlhodobom horizonte. Vykonať dôkladnú analýzu rizík v organizácii je už nutnou podmienkou aplikácie systémov riadenia - v žiadnom prípade to už nie je možné považovať za módnu, resp. "papierovú" požiadavku či povinnú jazdu vedenia organizácie. Preto je potrebné sledovať aktuálne trendy v tejto oblasti a zvyšovať znalosti a zručnosti v tomto smere. A preto je aj užitočné zúčastňovať sa podujatí ako je toto.
09:00 - 09:10 Úvodné slovo
09:15 - 10:00 Vybrané techniky posudzovania rizík
Podľa normy IEC 31010:2019 pre rizikovú analýzu organizácie v oblasti ISO 37301:2021 „Compliance Management Systems“
Vladimíra Duníková, Risk&Business Process Manager, ACCIA Consulting
- Organizácie, ktoré chcú byť v súčasnom turbulentnom prostredí rýchlych zmien dlhodobo úspešné, musia zaviesť a udržiavať kultúru dodržiavania predpisov so zohľadnením potrieb a očakávaní zainteresovaných strán. Byť „compliance“ je preto nielen slušnosťou, ale aj príležitosťou pre úspešnú a udržateľnú organizáciu. Udržateľnosť zhody s predpismi a inými záväznými požiadavkami je teda podmienené tým, že sa začlení do kultúry organizácie a do správania a prístupu ľudí, ktorí pre ňu pracujú. Efektívny systém manažérstva zhody v rámci celej organizácie umožňuje organizácii preukázať svoj záväzok dodržiavať príslušné zákony, regulačné požiadavky, priemyselné kódexy a organizačné normy, ako aj štandardy dobrej správy, všeobecne uznávané najlepšie postupy, etiku a očakávania komunity. Neoddeliteľnou súčasťou efektívneho systému manažérstva je aj riadenie rizík a príležitostí prierezovo cez všetky procesy v organizácii. Norma IEC 31010:2019 prináša súbor nástrojov a techník, ktoré je možné ľubovoľne kombinovať a využívať za účelom získania spoľahlivých informácií pre rozhodovanie nielen na úrovni vrcholového manažmentu ale vo všetkých úrovniach riadenia. V rámci prezentácie budú predstavené niektoré techniky a nástroje, ktoré uvádza norma IEC 31010:2019 a ich aplikácia v rámci plnenia požiadaviek normy ISO 37301:2021 Compliance management systems.
10:05 - 10:35 Prepojenie IKT risk managementu a operačného riadenia rizík po roku fungovania
Marek Zeman, vedúci oddelenia IS bezpečnosti a nových technológií, Tatra banka
Nové pravidlá z EU uložili pred časom bankám riadiť manažment rizík informačnej bezpečnosti (IB) na vysokej úrovni. Rozsiahlu implementáciu riadenia rizík IB začala vyžadovať NBS a zároveň s riadením rizík IB narába aj ZoKB. Banky, poznajú roky riadenie rizík bankového biznisu a pre niektoré už manažment rizík IB nebol novinkou, pretože je nevyhnutný pri implementácií Software development life cycle a projektovom riadení. Tieto banky mali možnosť pokročiť v rozšírení implementácie manažmantu rizík IB aj na ešte vyššiu úroveň. Práve rozšírenie takéhoto menežmentu rizík IB si ukážeme. V prezentácií si predstavíme aktuálny proces manažmentu rizík vo významnej banke. Následne si vysvetlíme prepojenie riadenia rizík manažmentu IB a štandardného riadenia operačných rizík v banke.
10:40 - 10:50 Prestávka
10:55 - 11:15 Analýza rizík organizácie pre oblasť „Protikorupčného správania“
Monika Fegyveres Oravská, Senior Consultant, Avris Consulting
V súlade s normou ISO 37001:2016 „Antibribery Management Systems“. Ako organizácia získa realistický a komplexný prehľad o kľúčových oblastiach korupčných rizík, o ich závažnosti a dopadoch na jej obchodné vzťahy a aktivity? Ako korupčné riziká efektívne riadiť a kontrolovať? Ktoré korupčné riziká sú v praxi organizácie najčastejšie? Aké sú bariéry a kde sú limity pri ich zmierňovaní a odstraňovaní? Pozrime sa na to cez praktické návody a príklady z praxe.
11:20 - 11:40 Analýza hrozieb a rizík pre oblasť „Cloud Cyber Security“ v rámci SoA
Monika Jaborníková, Senior consultant and internal auditor, manažér kybernetickej bezpečnosti, Ecta
Skupina noriem ISO 27000 súvisí so systémami riadenia informačnej bezpečnosti organizácie. Tieto medzinárodné normy pomáhajú organizáciám tým, že poskytujú jasný súbor požiadaviek, ktoré je možné použiť na správu informačnej bezpečnosti spoločnosti. Každý poskytovateľ cloudu, ktorému sú zverené citlivé údaje o zákazníkoch, by potenciálne mohol ťažiť z normy ISO 27017. Štandard pomáha organizáciám tým, že poskytuje jedinečné usmernenia pre cloudové prostredie, a rieši riziká mnohých poskytovateľov cloudu, ako napríklad vymedzenie rolí a zodpovedností v rámci cloudového prostredia. Tento štandard môže organizáciám pomôcť zlepšiť ich systém riadenia bezpečnosti informácií podľa konkrétnych potrieb ich prostredia. Využitie normy ISO 27017 navyše organizáciám umožňuje znížiť riziko spojené s cloudovými službami resp. s potenciálnymi nákladmi spojených s prienikom do ich systémov.
11:45 - 12:05 Európska certifikačná schéma pre certifikáciu cloudových služieb
Ivan Makatura, generálny riaditeľ, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti
Certifikácia výrobkov procesov a služieb (súhrnne len „produktov“) v kybernetickej bezpečnosti je postup, ktorým akreditovaný orgán posudzovania zhody poskytuje písomné ubezpečenie, že výrobok, proces, služba, alebo systém sú v zhode so špecifickými požiadavkami. Certifikácia je najformálnejšou, ale zároveň aj najdôveryhodnejšou v rade metód posudzovania súladu. Na základe mandátu daného Nariadením EÚ č. 2019/881 o agentúre ENISA a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií agentúra ENISA zriadila ad-hoc pracovnú skupinu, ktorá pracuje na príprave kandidátskej schémy pre cloudové služby EUCS (European Cybersecurity Certification Scheme for Cloud Services), ako súčasti európskeho rámca certifikácie kybernetickej bezpečnosti. Cieľom prednášky je zhrnúť základy problematiky certifikácie výrobkov procesov a služieb v kybernetickej bezpečnosti a zároveň predstaviť hlavné zásady, ktoré sú zapracované v návrhu EUCS.
12:10 - 12:30 Vybrané aspekty posúdenia kybernetickej bezpečnosti v cloud prostredí
Rudolf Klein, senior consultant, Deloitte Advisory
- Ako rozoznať kľúčové riziká a kontrolné prvky v rámci modelu zdieľanej zodpovednosti
Identifikovať rôzne druhy cloudovych služieb a spôsobov ich nasadenia
Vytvoriť audit program na mieru pre daný druh cloudových služieb tak, aby boli zabezpečené business požiadavky firmy ako aj požiadavky regulátorov.
12:30 - 12:50 Automatizácia odozvy na bezpečnostné incidenty
Zsolt Geczi, Regional Account Manager Slovakia, FORTINET
12:50 - 13:00 Ukončenie konferencie
Záverečné zhrnutie a ukončenie podujatia
Prednášatelia
Ivan Makatura
Vladimíra Duníková
Marek Zeman
Monika Fegyveres Oravská
Rudolf Klein
Zsolt Geczi
Róbert Kormaňák
Zároveň by som sa Vám chcela veľmi pekne poďakovať za organizáciu konferencie so zaujímavou nosnou témou, ktorá je zároveň veľmi potrebná, no i náročná, ale nevyhnutná pre nastavovanie bezpečnostných opatrení. Prezentované témy boli zaujímavé, prínosné a tým konferencia splnila moje očakávania.
Partneri virtuálnej konferencie
Kontakt