Technology Risk Management Forum – to jedyna w Polsce międzynarodowa konferencja poświęcona wyłącznie tematyce ryzyka technologicznego dla profesjonalistów odpowiedzialnych za bezpieczeństwo informacji w przedsiębiorstwach oraz za zarządzanie ryzykiem technologicznym. Głównym jej celem było podzielenie się i przekazanie  profesjonalnej wiedzy dużym organizacjom chcącym świadomie zarządzać ryzykiem technologicznym i wprowadzać innowacyjne rozwiązania, które pozwolą zmierzyć się z wyzwaniem, jakim jest współczesny wymiar bezpieczeństwa technologicznego. IT-filolog.pl był patronem medialnym konferencji.

img_20160907_150546Przez dwa dni (7-8 września 2016 r.) 31 polskich i zagranicznych ekspertów – na co dzień zajmujących się ryzykiem technologicznym w największych firmach w Polsce i na świecie – dzieliło się swoją wiedzą  na temat ryzyka technologicznego, aktualnych zagrożeń w cyberprzestrzeni i skutecznych metod obrony przed nimi, zachęcając do innowacji i automatyzacji przy zapewnianiu bezpieczeństwa. Gościem specjalnym konferencji był Stefan Vogt, CISO i szef zarządzania ryzykiem IT w Credit Suisse, jedna z najważniejszych osób ds. cyberbezpieczeństwa w świecie korporacyjnego IT.

Slajd z prezentacji Cqure

Slajd z prezentacji Cqure

Forum – łącząc tradycję z nowoczesnością – zgromadziło ponad 160 uczestników w zabytkowym budynku Naczelnej Organizacji Technicznej NOT we Wrocławiu. Wśród nich byli  przedstawicieli dużych organizacji, w tym: CISO/CSO, audytorzy bezpieczeństwa IT, eksperci bezpieczeństwa informacji, menedżerowie i specjaliści z działów zarządzania ryzykiem, eksperci odpowiedzialni za zarządzanie kryzysowe i ciągłość działania oraz eksperci IT Governance.

Wyzwania dla polskich CSO. źr. Polrisk

Wyzwania dla polskich CSO. źr. Polrisk

W ramach forum odbyło się kilka debat koncentrujących się na największych wyzwaniach stojących przed osobami odpowiedzialnymi za określanie ryzyka technologicznego oraz bezpieczeństwo informacji w firmach i instytucjach. Panele dyskusyjne zastąpiono wielotematycznymi dyskusjami  przy okrągłych stołach. Uczestnicy mogli wziąć udział w dwóch rundach roundtables (dwa razy po 8 tematów), prowadzonych przez najlepszych fachowców w swoich dziedzinach, które stwarzały okazje do wymian opinii i doświadczeń oraz pomagały w nawiązywaniu bezpośrednich relacji. Liderzy roundtables w drugim dniu konferencji zaprezentowali najważniejsze wnioski i krótkie podsumowania z prowadzonych przez siebie sesji, a także praktyczne zalecenia dla odpowiadających za bezpieczeństwo IT w organizacjach. Efektywność bezpieczeństwa IT można podnieść poprzez dzielenie się wiedzą i wspólne działanie – zgodnie podkreślali prelegenci.

Prezentacje, debaty i dyskusje umożliwiły  szersze spojrzenie na kontekst najważniejszych zagrożeń stojących przed współczesną organizacją oraz na kierunki działań zmierzające do poprawy jej bezpieczeństwa – z punktu widzenia identyfikacji i świadomego zarządzania potencjalnymi ryzykami.

prezentacja-bt

Prezentacja Ramy Houssainiego, Vice President, BT Security Europe

Zawsze mamy deficyt w reagowaniu na zagrożenia. Wszystkie firmy z listy Fortune 500 doświadczyły ataków hakerskich – przypomniał  Ramy Houssaini, wiceprezes BT Security Europe i wyjaśnił dlaczego cyber zabezpieczenia zawodzą:  bo często brakuje wyobraźni, systemy są zbyt złożone i rozproszone globalnie, z powodu pasywnych metod obrony  i niedostatecznej współpracy. Potrzebne jest ofensywne podejście – rozpoznawanie i przewidywanie potencjalnych zagrożeń, co umożliwiają tzw. predyktywne technologie. Przy wypracowywaniu skutecznej ochrony danych i sieci bardzo przydaje się analiza big data (np. przy wykrywaniu anomalii), telemetria i automatyzacja odpowiedzi na atak. –Nie budujcie kolejnych linii Maginota! – przestrzegał ekspert BT ds. bezpieczeństwa. Statyczny model ochrony należy zastępować dynamicznym, stale rekonfigurując swoje systemy obronne. Trzeba stać się ruchomym celem dla napastników stosując aktywną obronę.  My pierwsi musimy dopaść hakera zanim on uderzy w nas! Potrzebna jest innowacyjność i regularna zmiana taktyk ochrony zasobów firmowych.

Najważniejsze wnioski z prelekcji, debat i sesji roundtables: 

  • W erze cyfryzacji nie ma możliwości, żeby biznes i IT były osobno, gdyż dzielą wspólne ryzyka.
  • Skuteczne zarządzanie ryzykiem (zarówno technologicznym, jak i biznesowym) wymaga poprawy komunikacji i lepszego zrozumienia między IT a biznesem.
  • Ryzyko technologiczne ma ogromny wpływ na reputację przedsiębiorstwa.
  • Złożoność (skomplikowanie kodów) jest największym wrogiem bezpieczeństwa.
  • Przestępca jak każdy biznesmen liczy ROI, dlatego atak musi być dla niego ekonomicznie opłacalny.
  • Zgodnie podkreślano potrzebę wprowadzania innowacyjności przy zapewnieniu bezpieczeństwa.
  • Trzeba umieć rozpoznać wroga, jego intencje i zasoby, żeby wiedzieć przed kim i czym sie bronić.
  • Zarządzanie ryzykiem technologicznym to obszar bardzo szybkiego rozwoju w nowoczesnych przedsiębiorstwach.
  • Pojawianie się na rynku ofert ubezpieczeniowych dla firm uwzględniających ryzyko technologiczne pozwala zwrócić uwagę na nowe problemy.
  • Ryzyka nie da się ocenić, można co najwyżej je oszacować.

Więcej opinii i wypowiedzi z konferencji, zdjęcia, wywiady z prelegentami oraz krótkie podsumowania sesji roundtables – na stronie konferencji Technology Risk Management Forum.

Galeria wybranych slajdów z prezentacji

img_20160908_102014

Slajd z prezentacji Cqure

źr. Polrisk

źr. Polrisk

źr. Polrisk

źr. Polrisk

Slajd z prezentacji "Ransomware w firmie" Jarosława Sordyla

Slajd z prezentacji “Ransomware w firmie” Jarosława Sordyla

Napisane przez Stefan Kaczmarek