Slovenski odsek ISACA® ISACA® Slovenia Chapter Dunajska cesta 106 SI-1000 Ljubljana, Slovenija [email protected], www.isaca.si Slovenski inštitut za revizijo Dunajska cesta 106 SI-1000 Ljubljana, Slovenija [email protected], www.si-revizija.si Vabimo vas na 23. mednarodno konferenco o revidiranju in kontroli informacijskih sistemov Konferenčni del: torek, 22., in sreda, 23. septembra 2015, hotel Atrij, Zreče Delavnica: Kai Roer, Načela in prakse varnostne kulture četrtek, 24. septembra 2014, Slovenski inštitut za revizijo, Ljubljana Programski in organizacijski odbor Boža Javornik, CISA, CISM, PRIS, predsednica Taja Andrej, članica Peter Grasselli, CISA, PRIS, član Boštjan Kežmah, M.Sc., CISA, PRIS, član Boštjan Delak, Ph.D., CISA, PRIS, član Renato Burazer, CISA, CISM, CGEIT, CRISC, član Vinko Letnar, CISA, CGEIT, PRIS, član Miha Ozimek, M.Sc., CISA, CISM, član Damir Savanović, CISA, CISM, PRIS, član Barbara Bolčina, članica Anja Pirc, članica 1. Komu je konferenca namenjena? Pričakujemo, da se bodo konference in delavnice udeležili člani Slovenskega odseka ISACA in člani Sekcije preizkušenih revizorjev informacijskih sistemov (PRIS) pri Slovenskem inštitutu za revizijo. Glede na teme, ki bodo obravnavane na konferenci, priporočamo udeležbo tudi pooblaščenim revizorjem, revizorjem in preizkušenim notranjim revizorjem. Vprašanja o varnem delovanju informacijskih sistemov, zlasti vprašanja o dobrem nadzoru in obvladovanju razvoja informacijskih rešitev v praksi ter drugih strokovnih izzivih, ki bodo obravnavana na konferenci, pa so zanimiva za vse vodilne delavce organizacijskih enot za računalniško obravnavanje podatkov, katerih skrb je oblikovanje notranjih kontrol, ki zagotavljajo varno in neprekinjeno delovanje IS ter obvladovanje poslovnih in operativnih tveganj na področjih informatike v finančnih storitvah, državni upravi, trgovini in proizvodnji. 2. O konferenci 3. O delavnici Na konferenco se s prijavnico na zadnji strani tega letaka ali na http://sis.si-revizija.si/public/registry/semreg/4127 lahko prijavite do 15. septembra 2015! Udeležnino plačajte najkasneje 5 dni pred začetkom konference na račun SIR SI56 0208 5001 5504 554 pri Novi Ljubljanski banki (LJBASI2X), s sklicem 00 4127-15. Na delavnico se s prijavnico na zadnji strani tega letaka ali na http://sis.si-revizija.si/public/registry/semreg/4128 lahko prijavite do 15. septembra 2015! Udeležnino plačajte najkasneje 5 dni pred začetkom delavnice na račun SIR SI56 0208 5001 5504 554 pri Novi Ljubljanski banki (LJBASI2X), s sklicem 00 4128-15.. Udeležnina z DDV-jem znaša 439,20 €; vanjo so všteti elektronsko gradivo, skupna večerja in okrepčila med odmori. Za člane Slovenskega odseka ISACA, aktivne imetnike strokovnih nazivov, ki jih podeljuje Slovenski inštitut za revizijo, in za osebe, ki imajo ob prijavi na konferenco veljavno dovoljenje za opravljanje nalog pooblaščenega revizorja oziroma pooblaščenega ocenjevalca vrednosti, znaša udeležnina z DDV-jem 373,32 €. Udeležnina za delavnico znaša 347,70 €. Vanjo so vračunani gradivo in okrepčila med odmori. Za člane Slovenskega odseka ISACA, aktivne imetnike strokovnih nazivov, ki jih podeljuje Slovenski inštitut za revizijo, in za osebe, ki imajo ob prijavi na konferenco veljavno dovoljenje za opravljanje nalog pooblaščenega revizorja oziroma pooblaščenega ocenjevalca vrednosti, znaša udeležnina 295,55 €; DDV je že vračunan. Po ISACA® politiki nenehnega strokovnega izobraževanja lahko udeleženci uveljavljajo 16 ur CISA/CISM/CGEIT/CRISC CPE. Po določbah pravilnikov o priznanju dodatnega izobraževanja pa se pooblaščenim revizorjem, pooblaščenim ocenjevalcem vrednosti, preizkušenim računovodjem, preizkušenim notranjim revizorjem, preizkušenim revizorjem informacijskih sistemov, preizkušenim davčnikom in revizorjem za udeležbo prizna 16 ur. Oznaka konference: za pooblaščene revizorje: A za pooblaščene ocenjevalce vrednosti: B Po ISACA® politiki nenehnega strokovnega izobraževanja lahko udeleženci uveljavljajo 7 ur CISA/CISM/CGEIT/CRISC CPE. Po določbah pravilnikov o priznanju dodatnega izobraževanja pa se pooblaščenim revizorjem, pooblaščenim ocenjevalcem vrednosti, preizkušenim računovodjem, preizkušenim notranjim revizorjem, preizkušenim revizorjem informacijskih sistemov, preizkušenim davčnikom in revizorjem za udeležbo prizna 7 ur. Oznaka delavnice: za pooblaščene revizorje: A za pooblaščene ocenjevalce vrednosti: B Prvi dan konference bodo vsa predavanja v angleščini! Delavnica bo v angleščini! Vabilo na konferenco | junij 2015 stran 1 | 9 23. mednarodna konferenca o revidiranju in kontroli IS, september 2015 Program konference Torek, 22. septembra 2015 (torkov program bo v celoti v angleščini!) Otvoritev/Opening 9.009.30 Otvoritveni nagovor/Opening welcome Peter Grasselli, predsednik Slovenskega odsaka ISACA, Boštjan Kežmah, predsednik sekcije PRIS 9.3011.00 Mitigating cybersecurity persistent threats through monitoring and securing within untrusted 11.0011.30 Odmor/Coffee Break 11.3013.00 The psychology of security: Personality challenges & hacking your mind 13.0014.30 Kosilo/Lunch 14.3016.00 The state of secure software development in Slovenia Milan Gabor, Boštjan Kežmah, M.Sc. Information security management in Slovenian insurance sector Igor Bernik, Ph.D. Cybersecurity Aleš Črnivec Kai Roer State of Information Security 16.0016.30 Odmor/Coffee Break 16.3018.00 Is our management board doing a good job with IT governance and IT management of the organisation? Renato Burazer How to calculate internal cost of IT in case of IT services outsourcing – preparing the business case Boža Javornik Addressing barriers to procurement of cloud services? Damir Savanović IT governance & management 20.00 Družabno srečanje/Dinner reception Sreda, 23. septembra 2015 Preverjanje varnosti 9.0010.30 Kako prepoznati in preprečiti tveganja prevare pri razvoju programske opreme mag. Janko Uratnik Tehnično in organizacijsko preverjanje varnosti informacijskih sistemov dr. Andrej Rakar, mag. Miha Ozimek Prepoznavanje znanja in tveganja pri upravljanju znanja dr. Boštjan Delak 10.3011.00 Odmor 11.0012.30 Revizija računovodskih izkazov in revizor informacijskih sistemov 12.3014.00 Kosilo Revizija Manuela Šribar Orodja za procese IT 14.0015.30 15.3016.00 Uvedba upravljanja uporabniških pravic – izkušnje iz prakse mag. Andrej Zimšek Vrednotenje kakovosti informacijskih rešitev s konceptom tehničnega dolga Robert Malačič Ocena tveganja v procesu certificiranja po ISO/IEC 27001 Jernej Potočnik Odmor Strokovni izzivi 16.0017.30 Revizija rešitve za BYOD mag. Matjaž Štiglic, Matjaž Pušnik Revizijske sledi v oblaku Matjaž Pušnik Odtekanje podatkov – ali so tehnične rešitve sploh pravo zdravilo? mag. Igor Karnet Zaključek 2 | 9 stran junij 2015 | Vabilo na konferenco 23. mednarodna konferenca o revidiranju in kontroli IS, september 2015 4. Iz vsebine konference Varnost in zasebnost postajata vedno pomembnejša za vsakega posameznika na delu in doma. Strokovnjaki smo odgovorni, da pred zlorabami zaščitimo zlasti tiste, ki v ta svet vstopajo, torej mlade in starejše, zato moramo poskrbeti, da bodo storitve varne in ne bodo ogrožale posameznikovega premoženja ali njegove integritete. Odgovornost strokovnih združenj, kot sta ISACA in Slovenski inšt itut za revizijo, je, da je razumevanje groženj pri uporabi informacijske tehnologije in storitev široko, da so metode in dobre prakse prepoznavne širokemu krogu strokovnjakov in sporočane tudi širše, da povečajo zavedanje vsakega posameznika o njegovi odgovornosti in možnostih, da se zavaruje. Možnosti tehnologije, še tako rigorozne, zahteve predpisov in pogostnost nadzora samo po sebi ne morejo doseči cilja, potrebno je široko poznavanje in razumevanje. Slovenki odsek ISACA in Slovenski inštitut za revizijo se z že 23. konferenco o revidiranju in kontroli informacijskih sistemov in delavnico vključujeta v doseganje cilja, da najboljše prakse in metodologije spoznajo strokovnjaki, ki imajo največji vpliv na spreminjanje in izboljševanje stvari: vodje IT in arhitekti rešitev, varnostni inženirji, revizorji, razvijalci rešitev na spletu in v mobilnih tehnologijah. Letošnja konferenca bo tako obravnavala zadnje pobude na področjih urejanja zasebnosti in varnega poslovanja pri najemanju storitev v oblakih, predstavljeni bodo načini omejevanja priložnosti za lumpe in preprečevanja izvajanja njihovih namer in kaj je tisto pri uporabnikih, kar lumpom omogoča uspešnost, kakšna so zares tveganja in kateri najboljši mehanizmi za preprečevanje škodljivih posledic. V zvezi s tem bomo predstavili nekatere pristope in rešitve, in sicer s pogledi strategov, ki pripravljajo smernice, in s pogledi revizorjev, ki preverjajo, kaj zares deluje v praksi. Da se boste laže odločili za udeležbo na 23. konferenci, vam predstavljamo povzetke prispevkov. Zaščita pred napadi v kibernetskem prostoru z uporabo nadzora in dodatnimi varnostnimi mehanizmi Mitigating cybersecurity persistent threats through monitoring and securing within untrusted Aleš Černivec Predstavljeni bodo trije raziskovalni evropski projekti s področja kibernetske varnosti. Projekt Advanced Cyber Defence Centre (ACDC) je evropski projekt, ki traja dve leti in pol, vanj je vključenih 28 partnerjev iz 14 držav članic. Predstavljeni bodo ideja pilotnega projekta, trenutno stanje, rezultati in težave pri realizaciji. V projektu Aleš sodeluje kot idejni vodja pri razvoju mobilne aplikacije za zaznavanje in izogibanje nevarnosti na mobilnih napravah (Device Monitor). Drugi projekt, Empowering privacy and security in non-trusted environments (WITDOM), konzorcija devetih partnerjev iz petih držav EU se je začel v letošnjem letu in bo trajal 3 leta. Cilj projekta je vzpostaviti ogrodje za varovanje podatkov v okoljih, ki niso pod nadzorom lastnikov podatkov (npr. računalniški oblak). XLAB tu sodeluje kot glavni integrator rešitev v projektu. Rezultati projekta bodo podprti z dvema primeroma uporabe: prikaz uporabe zdravstvenih podatkov zaupnega značaja (genetski podatki) in primer uporabe finančnih podatkov. Tretji projekt, Wide-Impact cyber SEcurity Risk framework (WISER), je s področja upravljanja informacij tveganja v kibernetskem prostoru. Projekt se bo začel junija 2015, konzorcij pa sestavljajo partnerji iz 6 držav (tudi nečlanic EU). Cilj projekta je validacija obstoječih rešitev za upravljanje tveganj na področju računalniške varnosti in razvoj novih rešitev, ki bodo dopolnile obstoječe. XLAB bo v okviru projekta izvedel rešitev za nadzor infrastrukture in hrambo znanih ranljivosti opazovane infrastrukture. S predstavitvijo bo izpostavljena problematika izmenjave sporočil med članicami EU o potencialnih in zaznanih nevarnostih v kibernetskem prostoru. Omenjena problematika je namreč sorodna v vseh navedenih raziskovalnih projektih in bo predstavljena z vidika posameznega projekta. Results and current status of three EU funded research projects from the field of Cybersecrurity will be presented. “Advanced Cyber Defence Centre” (ACDC) project’s consortium consists of 28 partners from 14 member states. This part of presentation will highlight ideas, results and problems emerged within ACDC. Aleš is contributing to the project as lead developer of a mobile application (Device Monitor), which is monitoring the devices for known mobile threats and reports detections to the Central Clearing House. The second project, entitled “Empowering privacy and security in non-trusted environments“ (WITDOM), started Vabilo na konferenco | junij 2015 in January 2015 and will last for 3 years. The main goal of the project is implementation of a framework for protection of data in untrusted and fast evolving ICT-based environments (cloud computing). XLAB leads tasks for integration of the provided solutions. In order to validate and test the new security technology, the project focuses on two added value scenarios: a health scenario based on genetic data sharing for large research analyses, and a financial service scenario based on the management of both customers' data and finance data of contract as well as providing outsourced secure financial services (fraud detection, personalization of services, etc.). The third project, Wide-Impact cyber Security Risk framework (WISER), delivers cyber-risk management framework that enables monitoring, assessing and mitigating the cybersecurity risk in real time. The project starts in June 2015 and the consortium comprises of 6 states (not all are EU members). The problem of sharing cybersecurity information between EU-members (and non-EU members) will be highlighted throughout the presentation from the practical point of view. The problem of information exchange is present in all presented projects. Psihologija varnosti: izzivi osebnosti in hekanje razuma The Psychology of Security: Personality challenges & Hacking Your Mind Kai Roer Prvi del predavanja bo obravnaval, kako posameznikova osebnost vpliva na varnost podjetja in kako postane problem. Kako tipi osebnosti vplivajo na to, kako posamezniki gledajo na svet, kako komunicirajo in kako sprejemajo tveganje. Osebnostne lastnosti vplivajo na posameznikov apetit po tveganju in na obnašanje. V tem delu bo predavatelj obravnaval nekaj primerov, ki jih različni osebnosti tipi prinesejo v obravnavo varnosti podjetja. Drugi del bo odprl drugo perspektivo: hekanje “razuma”, kako smo lahko izrabljeni s strani različnih hekerjev. Kako delujejo možgani, da nas delajo ranljive za določene vrste obnašanja in kako lahko te ranljivosti izrabijo hekerji, da pridobijo našo pozornost, informacijo ali celo denarna sredstva. Fist part of session will address how one's personality can affect the enterprises security and become a problem. This part will be exploring how personality types impacts how we see the world, how we communicate and how we perceive risk. Personality types impacts our risk appetite and behaviours, in this talk I explore some of the security problems different personality types may introduce to your organisation. Second part will open stran 3 | 9 23. mednarodna konferenca o revidiranju in kontroli IS, september 2015 another perspective: Hacking Your Mind - How you are being exploited by hackers of all sorts. This part will point out how our brain is built to make us vulnerable to a certain kind of behaviours, and how these vulnerabilities are being exploited by hackers to gain our attention, information and money organization. Analiza razvoja varne programske opreme v Sloveniji Analysis of Secure Software Development in Slovenia Milan Gabor, CEH, Boštjan Kežmah, CISA, PRIS Na podlagi izkušenj pri reviziji zunanjega izvajanja informacijskih sistemov in izdelave programske opreme ter varnostnih pregledov in vdornih testov bomo predstavili stanje zunanjega izvajanja in razvoja varne programske opreme v Sloveniji. Povzeli bomo najpogostejše napake in pomanjkljivosti pri razvoju varnih programskih rešitev ter njihovem zunanjem izvajanju. Rezultati analize bodo za udeležence uporabni kot osnova za podrobno analizo tveganj v postopkih revizije informacijskih sistemov na področju zunanjega izvajanja varne programske opreme in za upravljavce informacijskih sistemov kot opomnik najpogostejših napak pri sklepanju pogodb in upravljanju zunanjega izvajanja. Ker bodo rezultati temeljili na analizi rezultatov v Sloveniji, bodo neposredno uporabni v lokalnem okolju. Based on our experience with IT outsourcing and software development audits, security reviews and penetration tests the state of outsourcing and development of secure software in Slovenia will be presented. The most common mistakes and shortcomings in the development of secure software solutions and their outsourcing will be summarized. The results of the analysis will form a basis for more detailed risk analysis procedures in information systems auditing in the field of secure software outsourcing. For the information system managers the results will present a summary of the most common issues in contracting and outsource management. The results will be based on the analysis of the results in Slovenia and therefore directly applicable in the local environment. Informacijskovarnostni menedžment v slovenskih zavarovalnicah Information Security Management in Slovenian Insurance Sector dr. Igor Bernik, Univerza v Mariboru, Fakulteta za varnostne vede Ustrezna raven informacijske varnosti predstavlja v globalno povezanem kibernetskem svetu eno izmed poslovnih zahtev, ki omogoča uspešno delovanje poslovnih sistemov, še posebno na visokotehnoloških in finančnih področjih. Ta področja so tudi najbolj izpostavljena zlorabam in različnim oblikam uresničevanja kibernetske kriminalitete. V vlogi povzročiteljev varnostnih incidentov se pogosto pojavljajo tudi interni zaposleni. Eden od temeljnih ukrepov za zagotavljanje ustreznega stanja informacijske varnosti je priprava informacijskovarnostne politike. Ta mora biti v posamezni organizaciji ustrezno promovirana, zagotovljeno mora biti ustrezno usposabljanje za povečanje zavedanja pri zaposlenih in razumevanje, da posameznik le z doslednim spoštovanjem postopkov in predpisanega načina dela ustrezno prispeva k varnemu delu in s tem k uspešnosti organizacije. Z raziskavo o informacijski varnosti in spoštovanjem informacijskovarnostne politike s strani zaposlenih ugotavljamo, kakšno je stanje na teh področjih v slovenskih zavarovalnicah, kateri dejavniki najbolj vplivajo na spoštovanje informacijskovarnostne politike, katere izboljšave je še mogoče vpeljati, s katerimi ukrepi se dolgoročno zmanjšajo stroški delovanja zavarovalnice. Prikazani so zbrani in statistično analizirani podatki za področje zavarovalništva, ukrepi za izboljšanje stanja z najboljšim mož- 4 | 9 stran nim razmerjem med stroški in koristmi ter pričakovane izboljšave ob uporabi prikazanih ukrepov. In a globally interconnected cyber space, an appropriate level of information security (IS) is one of the business requirements for the successful operation of business systems, particularly in the fields of high-tech and finance. These two fields are also the most exposed to abuse and different types of cybercrime. The development of information security policies (ISP) is one of the basic measures for providing adequate levels of IS. These must be appropriately promoted within organisations, which ought to provide relevant training courses for employees in order to raise their awareness and make them understand that they are contributing to safe and secure working processes and thus to the general success of the organisation by complying with prescribed procedures and implementing prescribed working methods consistently. The present research study, which focuses on IS and employees' compliance with ISP, aims to determine the state-of-affairs with respect to IS in Slovene insurance undertakings, the types of in-house actions that are or could be used to improve the aforementioned issues, the types of measures that are used to decrease the long-term costs of insurance undertakings' operations. It presents analysed data in the field of insurance, measures for improving the level of IS with the best cost-benefit ratio and individual improvements Ali naša uprava dobro vodi in upravlja področja IT v organizaciji? Is Our Management Board doing a good job with IT Governance and IT Management of the Organisation? Renato Burazer, CISA, CISM, CGEIT, CRISC, CISSP Kako dobro je vodenje in upravljanje področja IT v organizacijah, je pogosto neznanka, čeprav je uspeh večine današnjih sodobnih organizacij močno odvisen od uspešne in učinkovite uporabe informacijske tehnologije. Kako naj se uprave in nadzorni sveti prepričajo, kako dobro so upravljane in vodene funkcije IT? Ali obstaja univerzalni recept za upravljanje področja IT v vsaki organizaciji? Prispevek je namenjen članom uprav, vodjem in revizorjem, ki pokrivajo področje informacijske tehnologije, kot tudi vsem ostalim deležnikom v vlogi nadzora, kontrole in revizije. Udeleženci bodo lahko pridobili dodatno razumevanje najboljših praks s področja vodenja IT in ideje za izboljšave ali izvedbo revizijskega pregleda vodenja IT. How good is Governance and management of IT of an organization is often an unknown information in spite the fact that success of most of today’s modern organizations highly depends on effective and efficient use of IT. How can management and supervisory boards assess how well IT is managed and governed? Is there a universal recipe for IT Governance in every organization? The article is dedicated to members of management and auditors covering the domain of information technology, as well as all other stakeholders in the role of supervision, control and audit. Participants will obtain additional understanding of best practices in domain of IT Governance get ideas for the improvements or the creation of an IT Governance audit plan. junij 2015 | Vabilo na konferenco 23. mednarodna konferenca o revidiranju in kontroli IS, september 2015 Kako izračunati lastne stroške IT in stroške ob izločitvi storitev IT– pripraviti poslovni primer? How to calculate internal cost of IT in case of outsourcing IT services – preparing the business case Boža Javornik CISA, CISM, PRIS Izločitev storitev IT je najpogosteje povezana z velikimi pričakovanji uprav družb glede prihrankov, pa tudi z velikim strahom zaposlenih v družbi, ne le v IT, da storitve ne bodo več enake kakovosti, razpoložljivosti, zaupnosti, poleg tega bodo stroški prav kmalu nekontrolirano narasli. Da bi se lahko odločili za izločitev določenega dela storitev IT ali kar celote, je treba poznati svoje stroške in tudi razumeti stroške izločitve. Pri tem je treba dobro razumeti, kaj bo ostalo v organizaciji, katere stvari se v procesu izločitve spremenijo, kaj je treba dodatno zagotoviti, da se obvladujejo tveganja delovanja in poslovanja. Predavanje bo obravnavalo tudi nekatera tveganja procesa priprave predloga za odločanje. Outsourcing of IT services is most often related to very high expectations of management boards regarding cost savings, and at the same time with high concerns of employees, that services will not be on the same quality, availability, security of data and that the costs will grow without control of organisation, not only in IT but in organisation as such. So to prepare the decision regarding outsourcing enterprise IT or part of IT requires to Know and understand internal costs and costs in case of outsourcing, It is necessary to understand what will stay in organisation and how processes and operations will change in case of outsourcing, and what processes need to be establish additionally to manage the operational and business risks. Presentation will cover same risk related to preparation of outsourcing proposal. Kako obravnavati omejitve pri razpisih za oblačne sisteme/storitve Addressing barriers to procurement of cloud systems/services Damir Savanović, CISA, CISM, CCSK, PRIS Naročanje zunanjih storitev IT je ključna funkcija v vsakem podjetju, javnem ali zasebnem, pri storitvah v oblaku zahteva nov način pri izvajanju nabave. Čeprav popularnost storitev v oblaku strmo narašča, kaže, da se potencialne stranke, posebej še v javnem sektorju in na področju raziskovalnih organizacij, srečujejo z omejitvami, ki onemogočajo dejansko širšo uporabo storitev v oblaku. Glavni del predavanja bo namenjen prepoznavanju nekaterih omejitev v procesu nabave storitev v oblaku in dobre prakse pri tem z namenom zmanjšanja vpliva na preostale omejitve. Cilj predstavitve bo tako: razumevanje potreb in zahtev vodij IT in izvajalcev nabavnega procesa pri nabavi storitev v oblaku; prepoznavanje in analiza omejitev pri nabavi storitev v oblaku; opredelitev zahtev za najboljše prakse nabave storitev v oblaku; opredelitev nabavnega procesa in katere vidike morajo vodje IT in nabavno osebje posebej obravnavati pri nabavi storitev v oblaku; opredelitev vsebine načrta za sam proces nabave. The acquisition of IT services is a key function in any organization, public or private and the advent of cloud computing is imposing a new way of procuring services. Although the popularity of cloud computing is increasing rapidly, it appears that potential customers, particularly in the public sector and in the research community, are facing barriers that are inhibiting a wider adoption of cloud services. The main scope of this presentation is to identify the barriers that exist in procuring cloud services Vabilo na konferenco | junij 2015 and better understand the good practices in procurement to minimise the impact of the remaining barriers. The objectives of this presentation are: Understand the needs and requirements of IT Managers and Procurement officers when procuring cloud services, Identify and analyse barriers in procuring cloud services, Provide input for the definition of cloud service procurement best practices, Provide input for the definition of the Procurement model by highlighting the aspects that should be taken into considerations by procurers and IT managers when procuring cloud, Provide input for the definition of the Procurement roadmap. Kako prepoznati in preprečiti tveganje prevare pri razvoju programske opreme How to detect and to prevent the risk of software development fraud risk mag. Janko Uratnik, CISA, CISM, CGEIT, PRIS, sodni izvedenec in sodni cenilec Razvoj obsežnejših sistemov programske opreme ali informacijskih storitev po navadi traja daljši čas in vsebuje poleg tveganj za napačne strokovne odločitve tudi tveganja prevar pri izvajanju projekta. Neustrezno obvladovanje razvoja ali izvajanja informacijskih storitev privede do neustreznih rešitev, do podaljšanja časa izvajanja, do povečanih stroškov in na koncu do nezadovoljnih naročnikov in uporabnikov. Vse to pa je lahko posledica nepoštenega delovanja in prevar oseb, ki so odgovorne za izvajanje razvojnega projekta ali storitev. V katerih primerih so navedena tveganja posledica namenskih odločitev oziroma zavestnih prevar, kako jih prepoznati, in predvsem, kako jih pravočasno ustaviti, bo prikazano na osnovi treh praktičnih primerov. Important software development projects and information services projects are usually going on for longer time periods and they include, besides the risk of wrong technical decisions, also the threats of fraudulent management activities. Insufficient or unsuitable development management or information services governance result in inconsistent solutions, longer implementation times, and bigger final costs and at the end unsatisfied investors and the end users. All this can be the result of the fraudulent behaviour of the people responsible for the project or the services management. We will try to show, based on three practical cases, when the elements of fraud and misuse are involved, how to recognize them and how to stop them on time. Tehnično in organizacijsko preverjanje varnosti informacijskih sistemov Technical and organizational review of security in Information systems dr. Andrej Rakar, mag. Miha Ozimek, CISA, CISM, PRIS, PCI DSS (Payment Card Industry Data Security Standard) je varnostni standard mednarodnih plačilnih sistemov (American Express, Discover Financial Services, JCB International, MasterCard in Visa) in ponuja okvir za ustrezno zaščito podatkov uporabnika kartičnega poslovanja. Vse organizacije, ki obdelujejo, prenašajo ali hranijo kartične podatke, morajo biti skladne z zahtevami PCI DSS, kar morajo dokazovati z letnimi revizijami QSA, samoocenjevanjem SAQ ali četrtletnimi pregledi ranljivosti ASV. Zahtevani načini preverjanja so odvisni od letnega števila transakcij kartičnega poslovanja in so obvezni za trgovce, finančne ustanove (issuer, acquirer) ter procesne centre. stran 5 | 9 23. mednarodna konferenca o revidiranju in kontroli IS, september 2015 Predstavili bomo vse potrebne aktivnosti, ki jih morate izvesti, da boste skladni z vsemi zahtevami PCI DSS. V prispevku je opredeljeno, kako podroben naj bo pregled informacijskega sistema za revizijo računovodskih izkazov. PCI-DSS (Payment Card Industry Data Security Standard) is an international payment systems security standard (American Express, Discover Financial Services, JCB International, MasterCard and Visa). It offers a framework for adequate protection of the credit card data. All organizations that process, store or transmit credit card data must comply with the requirements of PCI-DSS, perform annual QSA Audits, Self-Assessment or quarterly ASV Assessments. The required verification depends on annual number of credit cards transactions and is mandatory for merchants, financial institutions (issuer, acquirer) as well as credit card processing centres The article explains what the audit of Financial Statements is and the assurance that financial auditor gives in auditor’s opinion in accordance with International Auditing Standards. It is also explained that the cooperation between financial auditor and her/his expert with information system knowledge is crucial at Financial Statement Audit. There are two special sets of cases presented: the cases with high rated risks in the information system environment do not necessary affect the true and fair value of the Financial Statements; the cases in which the cooperation between financial and information system auditor is almost crucial if the financial auditor does not dispose with appropriate tools and/or knowledge. We will present all the activities you need to perform to comply with all requirements of PCI –DSS. Prepoznavanje znanja in tveganja pri upravljanju znanja Identification of knowledge and risk of knowledge management dr. Boštjan Delak, CISA, PRIS, CIS, PRINCE2 Znanje je največja konkurenčna prednost podjetja. Prepoznavanje znanja je poseben izziv, ki ga je treba ustrezno obravnavati. Poznamo dva tipa znanj – implicitno, ki je v glavah zaposlenih in ni dokumentirano, ter eksplicitno, ki je zavedno v različnih oblikah zapisov – informacijah. Prispevek seznani bralca s terminologijo znanja, življenjskim ciklom znanja ter tveganji, povezanimi z znanjem. Poleg tega predstavi proces upravljanje znanja ter tveganja, povezana z upravljanjem. Na koncu sta predstavljena načina revidiranja znanja s pomočjo procesa COBIT 5 ter tudi s samostojnimi aktivnostmi revidiranja znanj, ki se pojavljajo v svetu. Knowledge is the greatest competitive advantage. Identification of knowledge is a particular challenge, which needs to be properly addressed. There are two types of knowledge – implicit, that is in the minds of employees and not documented and explicit, that is forever in various forms of records - information. The paper presents the terminology of knowledge, knowledge life-cycle and risks related to knowledge. In addition, it presents the process of knowledge management and risk management of knowledge. In the end, a way of auditing knowledge and knowledge management using COBIT 5 process, as well as freelance activities of auditing knowledge that occur in the world. Revizija računovodskih izkazov in revizor informacijskih sistemov Financial Statements Audit and Information System Auditor Manuela Šribar, CISA, PRIS, pooblaščena revizorka, državna notranja revizorka V prispevku je pojasnjeno, kaj je revizija računovodskih izkazov in kakšna zagotovila daje revizor računovodskih izkazov pri izdaji revizorjevega poročila skladno z Mednarodnimi standardi revidiranja. Predstavitev na konkretnih primerih prikazuje nujnost sodelovanja med pooblaščenim revizorjem in njegovim veščakom – informatikom pri revizijah računovodskih izkazov. Posebej so izpostavljeni primeri, pri katerih: velika tveganja na področju informacijskega sistema pri revidirancu nimajo nujno pomembnega vpliva na točnost in poštenost računovodskih izkazov; je sodelovanje revizorja računovodskih izkazov, če nima ustreznih orodij in znanj, s preizkušenim revizorjem informacijskega sistema zelo priporočljivo oz. skoraj nujno. 6 | 9 stran There is also the introduction of information system review for the purposes for Financial Statement Auditing. Uvedba upravljanja uporabniških pravic – izkušnje iz prakse Implementing identity management system – experiences from the field mag. Andrej Zimšek, CISA, CGEIT, PRIS Predstavljeni bodo postopki za upravljanje uporabnikov in njihovih pravic iz projektov, pri katerih sem se srečal z različnimi uporabniškimi zahtevami. Dotaknil se bom vseh postopkov, od zbiranja podatkov o uporabniških identitetah, upravljanja pravic na posameznih informacijskih sistemih, premeščanja uporabnikov in ne nazadnje do odvzema pravic. Prikazal bom praktične primere, s katerimi sem se srečal pri svojem delu. Predstavil bom tudi nekatera tveganja v informacijskih okoljih, povezana z upravljanjem uporabniških pravic. Tveganja bodo prikazana v skladu s “COBIT 5 for Risk”, kjer bom prikazal tudi uporabo sistema za upravljanje uporabniških identitet kot možnost za zmanjšanje oz. odpravo tveganja. Identity management is necessity for each company that cope with digital data and more and more devices in their networks. I will show some of the systems that are part of enterprise environment and should be centrally managed to ensure secure and manageable environment. From experiences that I have gained during many years and projects I will show whole process from collecting data that are held in authoritative sources, right management for different information systems to handling user permissions including revoking all permissions at the end of identity lifecycle. Identity management does not come without risks that should be properly addressed. I will present those risks according to Risk Scenarios using COBIT 5 for Risk and possibilities for reducing those risks with implementation of identity management system. junij 2015 | Vabilo na konferenco 23. mednarodna konferenca o revidiranju in kontroli IS, september 2015 Vrednotenje kakovosti informacijskih rešitev s konceptom tehničnega dolga Evaluating the quality of information solutions with the concept of technical debt Robert Malačič, CISA Metrike programske opreme nam ponujajo možnost, da neki projekt ocenimo glede njegove kakovosti izdelave, tj. ocenimo kakovost njegove programske kode. Da bi neko programsko rešitev lahko ocenili, moramo določiti in pregledati njene metrike, ki nam prikažejo številčne podatke o stanju programske kode, njeno zanesljivost, dokumentiranost, podvrženost napakam ipd. S pomočjo metrik programske opreme je možno oceniti, ali se neka programska rešitev drži predpisanih standardov, ki jih izbrana metrika ponazarja oz. meri. Metrike programske opreme nam omogočajo tudi izračun t. i. tehničnega dolga, ki nam s svojo vrednostjo pove, koliko ur programerskega dela bi bilo potrebno za njegovo odpravo. Spremljanje tehničnega dolga med samim razvojem projekta pa omogoča nadzor nad kakovostjo izvorne programske kode skozi njen razvoj, s tem pa pripomore tudi k zmanjšanju stroškov. Software metrics offer us the possibility to evaluate software project on the base of its design quality, which means to assess quality of its program code. To assess software solution we must determine and review its metrics. Metrics gives us numerical data on the state of software code, her reliability and her state of code comments. With the use of information from software metrics, it is possible to evaluate the software projects. Metrics are providing information on whether a software solution holds standards provided by selected metrics. The use of software metrics also allows us to calculate technical debt, which gives us, as his result, the value about how many hours of software design would need software engineer to fix produced debt. Overseeing the technical debt during developing the software project allows us to control quality of source program code and contributes to reducing costs. Ocena tveganja v procesu certificiranja po ISO/IEC 27001 Risk management in the process of certification against ISO /IEC 27001 Jernej Potočnik, CISA V prispevku bomo najprej na kratko predstavili potek projekta vzpostavitve sistema upravljanja varovanja informacij (SUVI) v podjetju, ki je nedavno pridobilo certifikat ISO/IEC 27001. Opozorili bomo na probleme, na katere smo naleteli pri izvedbi posameznih faz projekta, od odločitve vodstva za vzpostavitev SUVI pa do same certifikacijske presoje. Ocena tveganja je ena od najpomembnejših, pa tudi najzahtevnejših in najobsežnejših aktivnosti pri vzpostavitvi SUVI. Ocenjujemo, da predstavlja izvedba ocene tveganja več kot 50 % vsega vloženega truda. Predstavili bomo ukrepe, ki smo jih uvedli, da bi izpolnili te zahteve. Ker je obvladovanje tveganj metodološko in izvedbeno zelo zapleteno, smo uporabili programsko orodje za podporo izvedbi ocene tveganja. Uporaba programskega orodja nam je omogočila enostavno in učinkovito vrednotenje in obravnavo vseh relevantnih informacij o tveganjih, katerim smo v podjetju izpostavljeni, obenem pa je poenostavila delo in bistveno skrajšala čas trajanja projekta vzpostavitve SUVI. fication audit itself, some practical solutions were implemented. Risk assessment is one from the most important, demanding and extensive activities at the establishment of ISMS. It is assumed, that realization of risk assessment represents more than 50 % of all invested effort for certification. From methodology and implementation point of view, risk assessment processes are rather complicated, so an appropriate software toll was introduced to support this. This proved to be very practical and efficient in dealing with all kind of company information assets subjected to threats and vulnerabilities. It also well cut the time required to achieve the ISMS certification in contrast to using only traditional methods. Revizija rešitve za BYOD BYOD Audit mag. Matjaž Štiglic, Matjaž Pušnik, CISA, CGEIT, PRIS Koncept prinesi svojo napravo (angl. BYOD) omogoča uporabo naprav, ki niso last organizacije, za poslovne potrebe. Rešitve, ki so nam na razpolago, zahtevajo po eni strani ustrezno segmentacijo in ravni dostopa, odvisno od uporabnika (zaposleni, gost, poslovni partner) in tipa naprave (prenosnik, tablica, telefon, ura), ter po drugi strani dobro razvit program ozaveščanja uporabnikov o nevarnostih, ki jih takšen program prinaša za posameznika in organizacijo, ki dovoljuje uporabo osebnih naprav v poslovne namene. Koncept BYOD je v svetu IT že dolgo znan in ni nekaj novega. Poslovne potrebe narekujejo rast uporabe mobilnih naprav za poslovni namen. Vendar pa prinaša koncept BYOD za organizacije, ki se zanj odločajo, tudi slabe strani. Najpogosteje so te povezane z informacijskimi tveganji, saj koncept kot tak odpira vrata številnim grožnjam na področju informacijske varnosti, ki jih moramo razumeti in spremljati. Revizija BYOD mora preveriti postopke upravljanja BYOD in podati zagotovila varne uporabe naprav za poslovne namene. Primer revizije BYOD bo odgovoril na vprašanja, na kaj mora biti pozoren revizor pri revidiranju rešitev za BYOD. Bring your own device (BYOD) concept enables the use of devices which are not owned by the organization for business purpose. Available solutions require both adequate segmentation and access levels depending on the type of user (employees, guests, business partner) and the type of device (laptop, tablet, phone, clock). On the other hand, a well-developed user awareness program reduce the dangers posed by such a program brings to the individual and the organization, which authorizes the use of personal devices for business purposes. BYOD is not something new in the IT world. Business needs dictate the growth in the use of mobile devices for business purposes, because it improves staff productivity by enabling them to work almost anytime and anywhere. Of course, there is also an opposite, less attractive side of BYOD, because it is the potential opening of major breaches in the security of your information systems, if the risks are not properly taken into account and understood. BYOD audit must check BYOD management procedures and give assurance of safe (proper) use of devices. Audit of BYOD must give answers to questions on what should be auditor alerted when auditing BYOD solution. The ISMS (Information Security Management System) certification process project in a company which has recently acquired the ISO/IEC 27001 certificate is briefly described in the beginning of the article. Problems, which were encountered on the certification path, are shown. During all certification phases, from the management decision to implement ISMS to the certiVabilo na konferenco | junij 2015 stran 7 | 9 23. mednarodna konferenca o revidiranju in kontroli IS, september 2015 Revizijske sledi v oblaku Audit trails in cloud Matjaž Pušnik, CISA, CGEIT, PRIS Revizijske sledi nespremenljivo, nedvoumno, neizpodbitno in celovito dokumentirajo, kdo, kdaj, s katerimi podatki in kakšno operacijo je izvedel nad posameznimi zapisi. Revizijske sledi nam omogočajo prepoznavanje časovnice, izvajalca, načina in vsebino obdelave podatkov. Revizijske sledi v oblaku so varno shranjene in so uporabniku na voljo za vsako posamezno storitev. Ali ta trditev drži? Predstavili bomo praktične primere revizijskih sledi različnih storitev v oblaku in podali smernice za revizijo sledi v oblaku. Audit mechanisms and tools should be in place to determine how data is stored, protected, and used to validate services, and to verify policy enforcement. Audit trails enable us to identify timeline, user, method and content of the data processing. The service level agreement must include the right to audit controls via a third party, as a way to validate control aspects that are not otherwise accessible by the user of cloud service. Ideally, the user would have the possibility of independent management of audit trails in accordance with their business needs. Audit trails in the cloud are securely stored and available to the user for each service. Is this true? Article will present practical examples of audit trails of various services in the cloud, and gave you guidance for auditing the cloud. Odtekanje podatkov – ali so tehnične rešitve sploh pravo zdravilo? Data Leakage – are technical solutions the right pills? mag. Igor Karnet, CISA, CRISC CISM, CGEIT, CIA, PRIS Prispevek bo obravnaval najšibkejše člene informacijske varnosti, katera je samo tako močna, kot je šibak njen najšibkejši člen. Pogosto so ta najšibkejši člen ljudje. Tveganja spreminjajo najnovejši družbenimi trendi, tehnologije, funkcionalnosti in storitve, ki jih uporabniki radi uporabljamo dnevno, pri tem pa vedno ne pomislimo na nevarnosti in možne posledice. V prispevku bo nakazano, kaj lahko naredimo, da bo volk sit (da bodo uporabniki dobili ponujene, želene funkcionalnosti) in koza cela (da bo za varnost zaupnih in občutljivih podatkov vseeno zadovoljivo poskrbljeno, da bo čim manj možnosti za nepooblaščeno odtekanje podatkov). The paper will address the weakest links of information security, which is as strong as its weakest link. It is quite often that its weakest link is people. Risks are related to latest social trends, technology, functionality and services end-users are using daily, without thinking about threats and potential damages. The paper will bring to attention, what we can do to »assure the wolf will be full and the goat will stay unharmed« - users will be able to use their needed services and security of personal and sensitive data will be achieved on a level, where the risk of unauthorised leakage of the data will be quite low. __________________________________________________________________________________________ Program delavnice Načela in prakse varnostne kulture/The Security Culture Framework izvajalec/lecturer: Kai Roer ___________________________________________________________________ Urnik/Schedule Četrtek, 24. septembra 2015, v angleščini! predavalnica Č, ZRFRS, Dunajska cesta 106 v Ljubljani Thursday, 24 September, 2015, in English! classroom Č, ZRFRS, Dunajska cesta 106, Ljubljana, Slovenia 9.00–10.30 10.30–11.00 11.00–11.45 11.45–13.00 13.00–14.00 14.00–14.30 14.30–15.00 Ključna načela varnostne kulture Odmor Metrika Organizacija in elementi Kosilo Načrt Zaključki Na delavnici se bodo udeleženci naučili, kako uporabiti metodološki okvir varnostne kulture za postavitev stalnega programa varnostne kulture v organizaciji in njegovega vzdrževanja. Med delavnico se bodo seznanili z vsemi štirimi deli metodološkega okvira: metrike, organizacija, elementi in načrt. Udeleženci bodo med delavnico pripravljali svoj program varnostne kulture. Participants will learn how to use the Security Culture Framework to create an ongoing security culture program to build and maintain security culture in their organizations. The workshop walks through each of the four parts of the framework: metrics, organization, topics, and planner. Participants will be working on his/her own Security Culture Program during the workshop. Kai Roer je norveški avtor, trener in varnostni specialist, ki se osredotoča na varnostno kulturo in ozaveščanje. Ima več kot 20-letne izkušnje, Roer je deloval pri organizacijah po svetu na izboljšanju komunikacij povezanih z varnostjo. Z izvajanjem treningov in predavanj v več kot 30 državah in mnogimi preko spleta, je Roer strasten oblikovalec sprememb z namenom postavitve in vzdrževanja dobre varnostne kulture. Kot bloger je prejel nagrade, gostil je dogodek: Srečanje o Varnostni kulturi – oddaja v živo in njene pod-objave, je imetnik naziva NCI Fellov, ki ga podeljuje National Cybersecurity Institute in Washington DC, je gostujoči predavatelj na več univerzah po svetu in zelo iskani predavatelj in gost okroglih miz na teme varnostne kulture. V letu 2015 je izdal knjigo z naslovom Build a Security Culture – Zgradite varnostno kulturo. Kai Roer is a Norwegian author, coach and security specialist focused on security culture and awareness. In his more than 20 year long career, Kai has worked with organisations around the world to enhance their security communication. Giving trainings and talks in more than 30 countries in person, and many more online, Kai is passionate about creating the change necessary to build and maintain good security culture. He is an award-winning blogger, the host of the Security Culture Show – a live VCast and recorded podcast, he is named NCI Fellow by the National Cybersecurity Institute in Washington DC, a guest lecturer at a number of universities around the world and a much sought after speaker and panellist on security culture and awareness. Kai´s latest book is Build a Security Culture (2015). 8 | 9 stran junij 2015 | Vabilo na konferenco 23. mednarodna konferenca o revidiranju in kontroli IS, september 2015 PRIJAVNICA za 23. mednarodno konferenco o revidiranju in kontroli informacijskih sistemov, 22. in 23. septembra 2014, hotel Atrij, Zreče Podjetje: Udeleženci: Kraj in poštna številka: Ulica in hišna številka: Telefonska številka in e-pošta: Davčna številka: Ali ste zavezanec za DDV? DA NE Udeležnino nakažite na poslovni račun Slovenskega inštituta za revizijo SI56 0208 5001 5504 554 pri Novi Ljubljanski banki (LJBASI2X), najkasneje pet dni pred začetkom konference. V polje za sklic vpišite 00 4127-15. Žig in podpis pooblaščene osebe Datum prijave: Nastanitev je predvidena v hotelih Atrij, Vital ali vilah Terme Zreče. Rezervirate lahko prek spletne strani http://www.terme-zrece.eu/si/ poletje/namestitev/, po e-pošti [email protected] ali po telefonu (03) 757-61-56. Ob rezervaciji navedite, da ste udeleženec konference. Za udeležence je cena enoposteljne sobe z zajtrkom na dan v hotelu Atrij 74,00 €, hotelu Vital 60,00 € in vilah Terme Zreče 49,00 €. Priporočamo vam, da sobe rezervirate čim prej! __________________________________________________________________________________________ PRIJAVNICA za delavnico Načela in prakse varnostne kulture/The Security Culture Framework, 24. septembra 2014, Slovenski inštitut za revizijo, Ljubljana Podjetje: Udeleženci: Kraj in poštna številka: Ulica in hišna številka: Telefonska številka in e-pošta: Davčna številka: Ali ste zavezanec za DDV? DA NE Udeležnino nakažite na poslovni račun Slovenskega inštituta za revizijo SI56 0208 5001 5504 554 pri Novi Ljubljanski banki (LJBASI2X), najkasneje pet dni pred začetkom delavnice. V polje za sklic vpišite 00 4128-15. Datum prijave: Žig in podpis pooblaščene osebe __________________________________________________________________________________________ Pogoji prijave: Prijavite se lahko na http://sis.si-revizija.si/public/registry/semreg/4127 za konferenco ali na http://sis.si-revizija.si/public/registry/semreg/4128 za delavnico, prijavnico pa lahko pošljete po pošti na Slovenski inštitut za revizijo, Dunajska cesta 106, 1000 Ljubljana, ali po faksu (01) 568-63-32. Prejem prijave bomo potrdili po e-pošti. Če boste morebiti zadržani, se morate od konference ali delavnice odjaviti na [email protected], sicer vam bomo zaračunali udeležnino!
© Copyright 2024