23. mednarodno konferenco o revidiranju in kontroli

Slovenski odsek ISACA®
ISACA® Slovenia Chapter
Dunajska cesta 106
SI-1000 Ljubljana, Slovenija
[email protected], www.isaca.si
Slovenski inštitut za revizijo
Dunajska cesta 106
SI-1000 Ljubljana, Slovenija
[email protected], www.si-revizija.si
Vabimo vas na
23. mednarodno konferenco
o revidiranju in kontroli informacijskih sistemov
Konferenčni del:
torek, 22., in sreda, 23. septembra 2015, hotel Atrij, Zreče
Delavnica:
Kai Roer, Načela in prakse varnostne kulture
četrtek, 24. septembra 2014, Slovenski inštitut za revizijo, Ljubljana
Programski in organizacijski odbor
Boža Javornik, CISA, CISM, PRIS, predsednica
Taja Andrej, članica
Peter Grasselli, CISA, PRIS, član
Boštjan Kežmah, M.Sc., CISA, PRIS, član
Boštjan Delak, Ph.D., CISA, PRIS, član
Renato Burazer, CISA, CISM, CGEIT, CRISC, član
Vinko Letnar, CISA, CGEIT, PRIS, član
Miha Ozimek, M.Sc., CISA, CISM, član
Damir Savanović, CISA, CISM, PRIS, član
Barbara Bolčina, članica
Anja Pirc, članica
1. Komu je konferenca namenjena?
Pričakujemo, da se bodo konference in delavnice udeležili člani Slovenskega odseka ISACA in člani Sekcije preizkušenih revizorjev
informacijskih sistemov (PRIS) pri Slovenskem inštitutu za revizijo. Glede na teme, ki bodo obravnavane na konferenci, priporočamo
udeležbo tudi pooblaščenim revizorjem, revizorjem in preizkušenim notranjim revizorjem. Vprašanja o varnem delovanju informacijskih
sistemov, zlasti vprašanja o dobrem nadzoru in obvladovanju razvoja informacijskih rešitev v praksi ter drugih strokovnih izzivih, ki
bodo obravnavana na konferenci, pa so zanimiva za vse vodilne delavce organizacijskih enot za računalniško obravnavanje podatkov,
katerih skrb je oblikovanje notranjih kontrol, ki zagotavljajo varno in neprekinjeno delovanje IS ter obvladovanje poslovnih in operativnih tveganj na področjih informatike v finančnih storitvah, državni upravi, trgovini in proizvodnji.
2. O konferenci
3. O delavnici
Na konferenco se s prijavnico na zadnji strani tega letaka ali na
http://sis.si-revizija.si/public/registry/semreg/4127 lahko prijavite
do 15. septembra 2015! Udeležnino plačajte najkasneje 5 dni
pred začetkom konference na račun SIR SI56 0208 5001 5504 554
pri Novi Ljubljanski banki (LJBASI2X), s sklicem 00 4127-15.
Na delavnico se s prijavnico na zadnji strani tega letaka ali na
http://sis.si-revizija.si/public/registry/semreg/4128 lahko prijavite
do 15. septembra 2015! Udeležnino plačajte najkasneje 5 dni
pred začetkom delavnice na račun SIR SI56 0208 5001 5504 554
pri Novi Ljubljanski banki (LJBASI2X), s sklicem 00 4128-15..
Udeležnina z DDV-jem znaša 439,20 €; vanjo so všteti elektronsko gradivo, skupna večerja in okrepčila med odmori. Za člane
Slovenskega odseka ISACA, aktivne imetnike strokovnih nazivov, ki jih podeljuje Slovenski inštitut za revizijo, in za osebe, ki
imajo ob prijavi na konferenco veljavno dovoljenje za opravljanje nalog pooblaščenega revizorja oziroma pooblaščenega ocenjevalca vrednosti, znaša udeležnina z DDV-jem 373,32 €.
Udeležnina za delavnico znaša 347,70 €. Vanjo so vračunani
gradivo in okrepčila med odmori. Za člane Slovenskega odseka
ISACA, aktivne imetnike strokovnih nazivov, ki jih podeljuje Slovenski inštitut za revizijo, in za osebe, ki imajo ob prijavi na konferenco veljavno dovoljenje za opravljanje nalog pooblaščenega
revizorja oziroma pooblaščenega ocenjevalca vrednosti, znaša
udeležnina 295,55 €; DDV je že vračunan.
Po ISACA® politiki nenehnega strokovnega izobraževanja lahko
udeleženci uveljavljajo 16 ur CISA/CISM/CGEIT/CRISC CPE. Po
določbah pravilnikov o priznanju dodatnega izobraževanja pa
se pooblaščenim revizorjem, pooblaščenim ocenjevalcem vrednosti, preizkušenim računovodjem, preizkušenim notranjim revizorjem, preizkušenim revizorjem informacijskih sistemov, preizkušenim davčnikom in revizorjem za udeležbo prizna 16 ur.
Oznaka konference:
 za pooblaščene revizorje: A
 za pooblaščene ocenjevalce vrednosti: B
Po ISACA® politiki nenehnega strokovnega izobraževanja lahko
udeleženci uveljavljajo 7 ur CISA/CISM/CGEIT/CRISC CPE. Po
določbah pravilnikov o priznanju dodatnega izobraževanja pa
se pooblaščenim revizorjem, pooblaščenim ocenjevalcem vrednosti, preizkušenim računovodjem, preizkušenim notranjim revizorjem, preizkušenim revizorjem informacijskih sistemov, preizkušenim davčnikom in revizorjem za udeležbo prizna 7 ur.
Oznaka delavnice:
 za pooblaščene revizorje: A
 za pooblaščene ocenjevalce vrednosti: B
Prvi dan konference bodo vsa predavanja v angleščini!
Delavnica bo v angleščini!
Vabilo na konferenco | junij 2015
stran 1 | 9
23. mednarodna konferenca o revidiranju in kontroli IS, september 2015
Program konference
Torek, 22. septembra 2015
(torkov program bo v celoti v angleščini!)
Otvoritev/Opening
9.009.30
Otvoritveni nagovor/Opening welcome
Peter Grasselli, predsednik Slovenskega odsaka ISACA, Boštjan Kežmah, predsednik sekcije PRIS
9.3011.00
Mitigating cybersecurity persistent threats
through monitoring and securing within untrusted
11.0011.30
Odmor/Coffee Break
11.3013.00
The psychology of security:
Personality challenges & hacking your mind
13.0014.30
Kosilo/Lunch
14.3016.00
The state of secure software development in Slovenia
Milan Gabor, Boštjan Kežmah, M.Sc.
Information security management in Slovenian insurance sector
Igor Bernik, Ph.D.
Cybersecurity
Aleš Črnivec
Kai Roer
State of Information Security
16.0016.30
Odmor/Coffee Break
16.3018.00
Is our management board doing a good job with IT governance and
IT management of the organisation?
Renato Burazer
How to calculate internal cost of IT in case of
IT services outsourcing – preparing the business case
Boža Javornik
Addressing barriers to procurement of cloud services?
Damir Savanović
IT governance & management
20.00
Družabno srečanje/Dinner reception
Sreda, 23. septembra 2015
Preverjanje varnosti
9.0010.30
Kako prepoznati in preprečiti tveganja prevare
pri razvoju programske opreme
mag. Janko Uratnik
Tehnično in organizacijsko preverjanje
varnosti informacijskih sistemov
dr. Andrej Rakar, mag. Miha Ozimek
Prepoznavanje znanja in tveganja pri upravljanju znanja
dr. Boštjan Delak
10.3011.00
Odmor
11.0012.30
Revizija računovodskih izkazov in revizor informacijskih sistemov
12.3014.00
Kosilo
Revizija
Manuela Šribar
Orodja za procese IT
14.0015.30
15.3016.00
Uvedba upravljanja uporabniških pravic – izkušnje iz prakse
mag. Andrej Zimšek
Vrednotenje kakovosti informacijskih rešitev
s konceptom tehničnega dolga
Robert Malačič
Ocena tveganja v procesu certificiranja po ISO/IEC 27001
Jernej Potočnik
Odmor
Strokovni izzivi
16.0017.30
Revizija rešitve za BYOD
mag. Matjaž Štiglic, Matjaž Pušnik
Revizijske sledi v oblaku
Matjaž Pušnik
Odtekanje podatkov – ali so tehnične rešitve sploh pravo zdravilo?
mag. Igor Karnet
Zaključek
2 | 9 stran
junij 2015 | Vabilo na konferenco
23. mednarodna konferenca o revidiranju in kontroli IS, september 2015
4. Iz vsebine konference
Varnost in zasebnost postajata vedno pomembnejša za vsakega posameznika na delu in doma. Strokovnjaki smo odgovorni, da pred
zlorabami zaščitimo zlasti tiste, ki v ta svet vstopajo, torej mlade in starejše, zato moramo poskrbeti, da bodo storitve varne in ne bodo
ogrožale posameznikovega premoženja ali njegove integritete. Odgovornost strokovnih združenj, kot sta ISACA in Slovenski inšt itut
za revizijo, je, da je razumevanje groženj pri uporabi informacijske tehnologije in storitev široko, da so metode in dobre prakse prepoznavne širokemu krogu strokovnjakov in sporočane tudi širše, da povečajo zavedanje vsakega posameznika o njegovi odgovornosti in
možnostih, da se zavaruje. Možnosti tehnologije, še tako rigorozne, zahteve predpisov in pogostnost nadzora samo po sebi ne morejo
doseči cilja, potrebno je široko poznavanje in razumevanje.
Slovenki odsek ISACA in Slovenski inštitut za revizijo se z že 23. konferenco o revidiranju in kontroli informacijskih sistemov in delavnico vključujeta v doseganje cilja, da najboljše prakse in metodologije spoznajo strokovnjaki, ki imajo največji vpliv na spreminjanje in
izboljševanje stvari: vodje IT in arhitekti rešitev, varnostni inženirji, revizorji, razvijalci rešitev na spletu in v mobilnih tehnologijah. Letošnja konferenca bo tako obravnavala zadnje pobude na področjih urejanja zasebnosti in varnega poslovanja pri najemanju storitev v
oblakih, predstavljeni bodo načini omejevanja priložnosti za lumpe in preprečevanja izvajanja njihovih namer in kaj je tisto pri uporabnikih, kar lumpom omogoča uspešnost, kakšna so zares tveganja in kateri najboljši mehanizmi za preprečevanje škodljivih posledic. V
zvezi s tem bomo predstavili nekatere pristope in rešitve, in sicer s pogledi strategov, ki pripravljajo smernice, in s pogledi revizorjev,
ki preverjajo, kaj zares deluje v praksi.
Da se boste laže odločili za udeležbo na 23. konferenci, vam predstavljamo povzetke prispevkov.
Zaščita pred napadi v kibernetskem prostoru
z uporabo nadzora in dodatnimi varnostnimi mehanizmi
Mitigating cybersecurity persistent threats
through monitoring and securing within untrusted
Aleš Černivec
Predstavljeni bodo trije raziskovalni evropski projekti s področja
kibernetske varnosti. Projekt Advanced Cyber Defence Centre
(ACDC) je evropski projekt, ki traja dve leti in pol, vanj je vključenih 28 partnerjev iz 14 držav članic. Predstavljeni bodo ideja
pilotnega projekta, trenutno stanje, rezultati in težave pri realizaciji. V projektu Aleš sodeluje kot idejni vodja pri razvoju
mobilne aplikacije za zaznavanje in izogibanje nevarnosti na
mobilnih napravah (Device Monitor). Drugi projekt, Empowering
privacy and security in non-trusted environments (WITDOM),
konzorcija devetih partnerjev iz petih držav EU se je začel v
letošnjem letu in bo trajal 3 leta. Cilj projekta je vzpostaviti
ogrodje za varovanje podatkov v okoljih, ki niso pod nadzorom
lastnikov podatkov (npr. računalniški oblak). XLAB tu sodeluje
kot glavni integrator rešitev v projektu. Rezultati projekta bodo
podprti z dvema primeroma uporabe: prikaz uporabe zdravstvenih podatkov zaupnega značaja (genetski podatki) in primer
uporabe finančnih podatkov. Tretji projekt, Wide-Impact cyber
SEcurity Risk framework (WISER), je s področja upravljanja
informacij tveganja v kibernetskem prostoru. Projekt se bo začel
junija 2015, konzorcij pa sestavljajo partnerji iz 6 držav (tudi
nečlanic EU). Cilj projekta je validacija obstoječih rešitev za
upravljanje tveganj na področju računalniške varnosti in razvoj
novih rešitev, ki bodo dopolnile obstoječe. XLAB bo v okviru
projekta izvedel rešitev za nadzor infrastrukture in hrambo znanih ranljivosti opazovane infrastrukture. S predstavitvijo bo
izpostavljena problematika izmenjave sporočil med članicami
EU o potencialnih in zaznanih nevarnostih v kibernetskem prostoru. Omenjena problematika je namreč sorodna v vseh navedenih raziskovalnih projektih in bo predstavljena z vidika posameznega projekta.
Results and current status of three EU funded research projects
from the field of Cybersecrurity will be presented. “Advanced
Cyber Defence Centre” (ACDC) project’s consortium consists of
28 partners from 14 member states. This part of presentation
will highlight ideas, results and problems emerged within ACDC.
Aleš is contributing to the project as lead developer of a mobile
application (Device Monitor), which is monitoring the devices for
known mobile threats and reports detections to the Central
Clearing House. The second project, entitled “Empowering privacy and security in non-trusted environments“ (WITDOM), started
Vabilo na konferenco | junij 2015
in January 2015 and will last for 3 years. The main goal of the
project is implementation of a framework for protection of data
in untrusted and fast evolving ICT-based environments (cloud
computing). XLAB leads tasks for integration of the provided solutions. In order to validate and test the new security technology, the project focuses on two added value scenarios: a health
scenario based on genetic data sharing for large research analyses, and a financial service scenario based on the management of both customers' data and finance data of contract as
well as providing outsourced secure financial services (fraud
detection, personalization of services, etc.). The third project,
Wide-Impact cyber Security Risk framework (WISER), delivers
cyber-risk management framework that enables monitoring, assessing and mitigating the cybersecurity risk in real time. The
project starts in June 2015 and the consortium comprises of 6
states (not all are EU members). The problem of sharing cybersecurity information between EU-members (and non-EU members) will be highlighted throughout the presentation from the
practical point of view. The problem of information exchange is
present in all presented projects.
Psihologija varnosti:
izzivi osebnosti in hekanje razuma
The Psychology of Security:
Personality challenges & Hacking Your Mind
Kai Roer
Prvi del predavanja bo obravnaval, kako posameznikova osebnost vpliva na varnost podjetja in kako postane problem. Kako
tipi osebnosti vplivajo na to, kako posamezniki gledajo na svet,
kako komunicirajo in kako sprejemajo tveganje. Osebnostne
lastnosti vplivajo na posameznikov apetit po tveganju in na
obnašanje. V tem delu bo predavatelj obravnaval nekaj primerov, ki jih različni osebnosti tipi prinesejo v obravnavo varnosti
podjetja. Drugi del bo odprl drugo perspektivo: hekanje “razuma”, kako smo lahko izrabljeni s strani različnih hekerjev. Kako
delujejo možgani, da nas delajo ranljive za določene vrste
obnašanja in kako lahko te ranljivosti izrabijo hekerji, da pridobijo našo pozornost, informacijo ali celo denarna sredstva.
Fist part of session will address how one's personality can affect the enterprises security and become a problem. This part
will be exploring how personality types impacts how we see the
world, how we communicate and how we perceive risk. Personality types impacts our risk appetite and behaviours, in this talk I
explore some of the security problems different personality
types may introduce to your organisation. Second part will open
stran 3 | 9
23. mednarodna konferenca o revidiranju in kontroli IS, september 2015
another perspective: Hacking Your Mind - How you are being exploited by hackers of all sorts. This part will point out how our
brain is built to make us vulnerable to a certain kind of behaviours, and how these vulnerabilities are being exploited by hackers to gain our attention, information and money organization.
Analiza razvoja varne programske opreme v Sloveniji
Analysis of Secure Software Development in Slovenia
Milan Gabor, CEH, Boštjan Kežmah, CISA, PRIS
Na podlagi izkušenj pri reviziji zunanjega izvajanja informacijskih sistemov in izdelave programske opreme ter varnostnih
pregledov in vdornih testov bomo predstavili stanje zunanjega
izvajanja in razvoja varne programske opreme v Sloveniji. Povzeli bomo najpogostejše napake in pomanjkljivosti pri razvoju
varnih programskih rešitev ter njihovem zunanjem izvajanju.
Rezultati analize bodo za udeležence uporabni kot osnova za
podrobno analizo tveganj v postopkih revizije informacijskih sistemov na področju zunanjega izvajanja varne programske
opreme in za upravljavce informacijskih sistemov kot opomnik
najpogostejših napak pri sklepanju pogodb in upravljanju
zunanjega izvajanja. Ker bodo rezultati temeljili na analizi rezultatov v Sloveniji, bodo neposredno uporabni v lokalnem okolju.
Based on our experience with IT outsourcing and software development audits, security reviews and penetration tests the
state of outsourcing and development of secure software in
Slovenia will be presented. The most common mistakes and
shortcomings in the development of secure software solutions
and their outsourcing will be summarized.
The results of the analysis will form a basis for more detailed
risk analysis procedures in information systems auditing in the
field of secure software outsourcing. For the information system
managers the results will present a summary of the most common issues in contracting and outsource management. The results will be based on the analysis of the results in Slovenia and
therefore directly applicable in the local environment.
Informacijskovarnostni menedžment
v slovenskih zavarovalnicah
Information Security Management in Slovenian Insurance Sector
dr. Igor Bernik, Univerza v Mariboru, Fakulteta za varnostne vede
Ustrezna raven informacijske varnosti predstavlja v globalno
povezanem kibernetskem svetu eno izmed poslovnih zahtev, ki
omogoča uspešno delovanje poslovnih sistemov, še posebno
na visokotehnoloških in finančnih področjih. Ta področja so tudi
najbolj izpostavljena zlorabam in različnim oblikam uresničevanja kibernetske kriminalitete. V vlogi povzročiteljev varnostnih
incidentov se pogosto pojavljajo tudi interni zaposleni. Eden od
temeljnih ukrepov za zagotavljanje ustreznega stanja informacijske varnosti je priprava informacijskovarnostne politike. Ta
mora biti v posamezni organizaciji ustrezno promovirana, zagotovljeno mora biti ustrezno usposabljanje za povečanje zavedanja
pri zaposlenih in razumevanje, da posameznik le z doslednim
spoštovanjem postopkov in predpisanega načina dela ustrezno
prispeva k varnemu delu in s tem k uspešnosti organizacije.
Z raziskavo o informacijski varnosti in spoštovanjem informacijskovarnostne politike s strani zaposlenih ugotavljamo, kakšno
je stanje na teh področjih v slovenskih zavarovalnicah, kateri
dejavniki najbolj vplivajo na spoštovanje informacijskovarnostne
politike, katere izboljšave je še mogoče vpeljati, s katerimi ukrepi se dolgoročno zmanjšajo stroški delovanja zavarovalnice.
Prikazani so zbrani in statistično analizirani podatki za področje
zavarovalništva, ukrepi za izboljšanje stanja z najboljšim mož-
4 | 9 stran
nim razmerjem med stroški in koristmi ter pričakovane izboljšave ob uporabi prikazanih ukrepov.
In a globally interconnected cyber space, an appropriate level of
information security (IS) is one of the business requirements for
the successful operation of business systems, particularly in the
fields of high-tech and finance. These two fields are also the
most exposed to abuse and different types of cybercrime. The
development of information security policies (ISP) is one of the
basic measures for providing adequate levels of IS. These must
be appropriately promoted within organisations, which ought to
provide relevant training courses for employees in order to raise
their awareness and make them understand that they are contributing to safe and secure working processes and thus to the
general success of the organisation by complying with prescribed procedures and implementing prescribed working
methods consistently.
The present research study, which focuses on IS and employees' compliance with ISP, aims to determine the state-of-affairs
with respect to IS in Slovene insurance undertakings, the types
of in-house actions that are or could be used to improve the
aforementioned issues, the types of measures that are used to
decrease the long-term costs of insurance undertakings' operations. It presents analysed data in the field of insurance,
measures for improving the level of IS with the best cost-benefit
ratio and individual improvements
Ali naša uprava dobro vodi in upravlja
področja IT v organizaciji?
Is Our Management Board doing a good job
with IT Governance and IT Management of the Organisation?
Renato Burazer, CISA, CISM, CGEIT, CRISC, CISSP
Kako dobro je vodenje in upravljanje področja IT v organizacijah, je pogosto neznanka, čeprav je uspeh večine današnjih
sodobnih organizacij močno odvisen od uspešne in učinkovite
uporabe informacijske tehnologije. Kako naj se uprave in nadzorni sveti prepričajo, kako dobro so upravljane in vodene funkcije IT? Ali obstaja univerzalni recept za upravljanje področja IT
v vsaki organizaciji?
Prispevek je namenjen članom uprav, vodjem in revizorjem, ki
pokrivajo področje informacijske tehnologije, kot tudi vsem ostalim deležnikom v vlogi nadzora, kontrole in revizije. Udeleženci
bodo lahko pridobili dodatno razumevanje najboljših praks s
področja vodenja IT in ideje za izboljšave ali izvedbo revizijskega pregleda vodenja IT.
How good is Governance and management of IT of an organization is often an unknown information in spite the fact that
success of most of today’s modern organizations highly depends on effective and efficient use of IT. How can management and supervisory boards assess how well IT is managed
and governed? Is there a universal recipe for IT Governance in
every organization?
The article is dedicated to members of management and auditors covering the domain of information technology, as well as
all other stakeholders in the role of supervision, control and audit. Participants will obtain additional understanding of best
practices in domain of IT Governance get ideas for the improvements or the creation of an IT Governance audit plan.
junij 2015 | Vabilo na konferenco
23. mednarodna konferenca o revidiranju in kontroli IS, september 2015
Kako izračunati lastne stroške IT in stroške
ob izločitvi storitev IT– pripraviti poslovni primer?
How to calculate internal cost of IT in case of
outsourcing IT services – preparing the business case
Boža Javornik CISA, CISM, PRIS
Izločitev storitev IT je najpogosteje povezana z velikimi pričakovanji uprav družb glede prihrankov, pa tudi z velikim strahom
zaposlenih v družbi, ne le v IT, da storitve ne bodo več enake
kakovosti, razpoložljivosti, zaupnosti, poleg tega bodo stroški
prav kmalu nekontrolirano narasli. Da bi se lahko odločili za
izločitev določenega dela storitev IT ali kar celote, je treba poznati svoje stroške in tudi razumeti stroške izločitve. Pri tem je
treba dobro razumeti, kaj bo ostalo v organizaciji, katere stvari
se v procesu izločitve spremenijo, kaj je treba dodatno zagotoviti, da se obvladujejo tveganja delovanja in poslovanja. Predavanje bo obravnavalo tudi nekatera tveganja procesa priprave
predloga za odločanje.
Outsourcing of IT services is most often related to very high expectations of management boards regarding cost savings, and
at the same time with high concerns of employees, that services
will not be on the same quality, availability, security of data and
that the costs will grow without control of organisation, not only
in IT but in organisation as such. So to prepare the decision regarding outsourcing enterprise IT or part of IT requires to Know
and understand internal costs and costs in case of outsourcing,
It is necessary to understand what will stay in organisation and
how processes and operations will change in case of outsourcing, and what processes need to be establish additionally to
manage the operational and business risks. Presentation will
cover same risk related to preparation of outsourcing proposal.
Kako obravnavati omejitve
pri razpisih za oblačne sisteme/storitve
Addressing barriers to procurement of cloud systems/services
Damir Savanović, CISA, CISM, CCSK, PRIS
Naročanje zunanjih storitev IT je ključna funkcija v vsakem podjetju, javnem ali zasebnem, pri storitvah v oblaku zahteva nov
način pri izvajanju nabave. Čeprav popularnost storitev v oblaku
strmo narašča, kaže, da se potencialne stranke, posebej še v
javnem sektorju in na področju raziskovalnih organizacij, srečujejo z omejitvami, ki onemogočajo dejansko širšo uporabo storitev v
oblaku. Glavni del predavanja bo namenjen prepoznavanju nekaterih omejitev v procesu nabave storitev v oblaku in dobre prakse
pri tem z namenom zmanjšanja vpliva na preostale omejitve.
Cilj predstavitve bo tako:
 razumevanje potreb in zahtev vodij IT in izvajalcev nabavnega procesa pri nabavi storitev v oblaku;
 prepoznavanje in analiza omejitev pri nabavi storitev v
oblaku;
 opredelitev zahtev za najboljše prakse nabave storitev v
oblaku;
 opredelitev nabavnega procesa in katere vidike morajo
vodje IT in nabavno osebje posebej obravnavati pri nabavi storitev v oblaku;
 opredelitev vsebine načrta za sam proces nabave.
The acquisition of IT services is a key function in any organization, public or private and the advent of cloud computing is imposing a new way of procuring services. Although the popularity
of cloud computing is increasing rapidly, it appears that potential customers, particularly in the public sector and in the research community, are facing barriers that are inhibiting a wider
adoption of cloud services. The main scope of this presentation
is to identify the barriers that exist in procuring cloud services
Vabilo na konferenco | junij 2015
and better understand the good practices in procurement to
minimise the impact of the remaining barriers.
The objectives of this presentation are:
 Understand the needs and requirements of IT Managers
and Procurement officers when procuring cloud services,
 Identify and analyse barriers in procuring cloud services,
 Provide input for the definition of cloud service procurement best practices,
 Provide input for the definition of the Procurement model
by highlighting the aspects that should be taken into considerations by procurers and IT managers when procuring
cloud,
 Provide input for the definition of the Procurement roadmap.
Kako prepoznati in preprečiti tveganje prevare
pri razvoju programske opreme
How to detect and to prevent the risk
of software development fraud risk
mag. Janko Uratnik, CISA, CISM, CGEIT, PRIS,
sodni izvedenec in sodni cenilec
Razvoj obsežnejših sistemov programske opreme ali informacijskih storitev po navadi traja daljši čas in vsebuje poleg tveganj za napačne strokovne odločitve tudi tveganja prevar pri
izvajanju projekta. Neustrezno obvladovanje razvoja ali izvajanja informacijskih storitev privede do neustreznih rešitev, do
podaljšanja časa izvajanja, do povečanih stroškov in na koncu
do nezadovoljnih naročnikov in uporabnikov. Vse to pa je lahko
posledica nepoštenega delovanja in prevar oseb, ki so odgovorne za izvajanje razvojnega projekta ali storitev. V katerih
primerih so navedena tveganja posledica namenskih odločitev
oziroma zavestnih prevar, kako jih prepoznati, in predvsem,
kako jih pravočasno ustaviti, bo prikazano na osnovi treh praktičnih primerov.
Important software development projects and information services projects are usually going on for longer time periods and
they include, besides the risk of wrong technical decisions, also
the threats of fraudulent management activities. Insufficient or
unsuitable development management or information services
governance result in inconsistent solutions, longer implementation times, and bigger final costs and at the end unsatisfied investors and the end users. All this can be the result of the
fraudulent behaviour of the people responsible for the project or
the services management. We will try to show, based on three
practical cases, when the elements of fraud and misuse are involved, how to recognize them and how to stop them on time.
Tehnično in organizacijsko preverjanje
varnosti informacijskih sistemov
Technical and organizational
review of security in Information systems
dr. Andrej Rakar, mag. Miha Ozimek, CISA, CISM, PRIS,
PCI DSS (Payment Card Industry Data Security Standard) je
varnostni standard mednarodnih plačilnih sistemov (American
Express, Discover Financial Services, JCB International, MasterCard in Visa) in ponuja okvir za ustrezno zaščito podatkov
uporabnika kartičnega poslovanja. Vse organizacije, ki obdelujejo, prenašajo ali hranijo kartične podatke, morajo biti skladne
z zahtevami PCI DSS, kar morajo dokazovati z letnimi revizijami
QSA, samoocenjevanjem SAQ ali četrtletnimi pregledi ranljivosti
ASV. Zahtevani načini preverjanja so odvisni od letnega števila
transakcij kartičnega poslovanja in so obvezni za trgovce,
finančne ustanove (issuer, acquirer) ter procesne centre.
stran 5 | 9
23. mednarodna konferenca o revidiranju in kontroli IS, september 2015
Predstavili bomo vse potrebne aktivnosti, ki jih morate izvesti,
da boste skladni z vsemi zahtevami PCI DSS.
V prispevku je opredeljeno, kako podroben naj bo pregled
informacijskega sistema za revizijo računovodskih izkazov.
PCI-DSS (Payment Card Industry Data Security Standard) is an
international payment systems security standard (American Express, Discover Financial Services, JCB International, MasterCard and Visa). It offers a framework for adequate protection of
the credit card data. All organizations that process, store or
transmit credit card data must comply with the requirements of
PCI-DSS, perform annual QSA Audits, Self-Assessment or
quarterly ASV Assessments. The required verification depends
on annual number of credit cards transactions and is mandatory
for merchants, financial institutions (issuer, acquirer) as well as
credit card processing centres
The article explains what the audit of Financial Statements is
and the assurance that financial auditor gives in auditor’s opinion in accordance with International Auditing Standards. It is also explained that the cooperation between financial auditor and
her/his expert with information system knowledge is crucial at
Financial Statement Audit. There are two special sets of cases
presented:
 the cases with high rated risks in the information system
environment do not necessary affect the true and fair
value of the Financial Statements;
 the cases in which the cooperation between financial and
information system auditor is almost crucial if the financial
auditor does not dispose with appropriate tools and/or
knowledge.
We will present all the activities you need to perform to comply
with all requirements of PCI –DSS.
Prepoznavanje znanja in tveganja pri upravljanju znanja
Identification of knowledge and risk of knowledge management
dr. Boštjan Delak, CISA, PRIS, CIS, PRINCE2
Znanje je največja konkurenčna prednost podjetja. Prepoznavanje znanja je poseben izziv, ki ga je treba ustrezno obravnavati. Poznamo dva tipa znanj – implicitno, ki je v glavah zaposlenih in ni dokumentirano, ter eksplicitno, ki je zavedno v različnih oblikah zapisov – informacijah. Prispevek seznani bralca s
terminologijo znanja, življenjskim ciklom znanja ter tveganji,
povezanimi z znanjem. Poleg tega predstavi proces upravljanje
znanja ter tveganja, povezana z upravljanjem. Na koncu sta
predstavljena načina revidiranja znanja s pomočjo procesa
COBIT 5 ter tudi s samostojnimi aktivnostmi revidiranja znanj, ki
se pojavljajo v svetu.
Knowledge is the greatest competitive advantage. Identification
of knowledge is a particular challenge, which needs to be
properly addressed. There are two types of knowledge – implicit, that is in the minds of employees and not documented and
explicit, that is forever in various forms of records - information.
The paper presents the terminology of knowledge, knowledge
life-cycle and risks related to knowledge. In addition, it presents
the process of knowledge management and risk management of
knowledge. In the end, a way of auditing knowledge and
knowledge management using COBIT 5 process, as well as freelance activities of auditing knowledge that occur in the world.
Revizija računovodskih izkazov
in revizor informacijskih sistemov
Financial Statements Audit
and Information System Auditor
Manuela Šribar, CISA, PRIS, pooblaščena revizorka,
državna notranja revizorka
V prispevku je pojasnjeno, kaj je revizija računovodskih izkazov
in kakšna zagotovila daje revizor računovodskih izkazov pri
izdaji revizorjevega poročila skladno z Mednarodnimi standardi
revidiranja. Predstavitev na konkretnih primerih prikazuje nujnost sodelovanja med pooblaščenim revizorjem in njegovim
veščakom – informatikom pri revizijah računovodskih izkazov.
Posebej so izpostavljeni primeri, pri katerih:
 velika tveganja na področju informacijskega sistema pri
revidirancu nimajo nujno pomembnega vpliva na točnost
in poštenost računovodskih izkazov;
 je sodelovanje revizorja računovodskih izkazov, če nima
ustreznih orodij in znanj, s preizkušenim revizorjem informacijskega sistema zelo priporočljivo oz. skoraj nujno.
6 | 9 stran
There is also the introduction of information system review for
the purposes for Financial Statement Auditing.
Uvedba upravljanja uporabniških pravic – izkušnje iz prakse
Implementing identity management system –
experiences from the field
mag. Andrej Zimšek, CISA, CGEIT, PRIS
Predstavljeni bodo postopki za upravljanje uporabnikov in njihovih pravic iz projektov, pri katerih sem se srečal z različnimi
uporabniškimi zahtevami. Dotaknil se bom vseh postopkov, od
zbiranja podatkov o uporabniških identitetah, upravljanja pravic
na posameznih informacijskih sistemih, premeščanja uporabnikov in ne nazadnje do odvzema pravic. Prikazal bom praktične
primere, s katerimi sem se srečal pri svojem delu.
Predstavil bom tudi nekatera tveganja v informacijskih okoljih,
povezana z upravljanjem uporabniških pravic. Tveganja bodo
prikazana v skladu s “COBIT 5 for Risk”, kjer bom prikazal tudi
uporabo sistema za upravljanje uporabniških identitet kot možnost za zmanjšanje oz. odpravo tveganja.
Identity management is necessity for each company that cope
with digital data and more and more devices in their networks. I
will show some of the systems that are part of enterprise environment and should be centrally managed to ensure secure
and manageable environment. From experiences that I have
gained during many years and projects I will show whole process from collecting data that are held in authoritative sources,
right management for different information systems to handling
user permissions including revoking all permissions at the end
of identity lifecycle. Identity management does not come without
risks that should be properly addressed. I will present those
risks according to Risk Scenarios using COBIT 5 for Risk and
possibilities for reducing those risks with implementation of
identity management system.
junij 2015 | Vabilo na konferenco
23. mednarodna konferenca o revidiranju in kontroli IS, september 2015
Vrednotenje kakovosti informacijskih rešitev
s konceptom tehničnega dolga
Evaluating the quality of information solutions
with the concept of technical debt
Robert Malačič, CISA
Metrike programske opreme nam ponujajo možnost, da neki
projekt ocenimo glede njegove kakovosti izdelave, tj. ocenimo
kakovost njegove programske kode. Da bi neko programsko
rešitev lahko ocenili, moramo določiti in pregledati njene metrike, ki nam prikažejo številčne podatke o stanju programske
kode, njeno zanesljivost, dokumentiranost, podvrženost napakam ipd. S pomočjo metrik programske opreme je možno oceniti, ali se neka programska rešitev drži predpisanih standardov,
ki jih izbrana metrika ponazarja oz. meri.
Metrike programske opreme nam omogočajo tudi izračun t. i.
tehničnega dolga, ki nam s svojo vrednostjo pove, koliko ur
programerskega dela bi bilo potrebno za njegovo odpravo.
Spremljanje tehničnega dolga med samim razvojem projekta pa
omogoča nadzor nad kakovostjo izvorne programske kode skozi njen razvoj, s tem pa pripomore tudi k zmanjšanju stroškov.
Software metrics offer us the possibility to evaluate software
project on the base of its design quality, which means to assess
quality of its program code. To assess software solution we
must determine and review its metrics. Metrics gives us numerical data on the state of software code, her reliability and her
state of code comments. With the use of information from software metrics, it is possible to evaluate the software projects.
Metrics are providing information on whether a software solution holds standards provided by selected metrics.
The use of software metrics also allows us to calculate technical
debt, which gives us, as his result, the value about how many
hours of software design would need software engineer to fix
produced debt. Overseeing the technical debt during developing the software project allows us to control quality of source
program code and contributes to reducing costs.
Ocena tveganja v procesu certificiranja po ISO/IEC 27001
Risk management in the process of certification
against ISO /IEC 27001
Jernej Potočnik, CISA
V prispevku bomo najprej na kratko predstavili potek projekta
vzpostavitve sistema upravljanja varovanja informacij (SUVI) v
podjetju, ki je nedavno pridobilo certifikat ISO/IEC 27001. Opozorili bomo na probleme, na katere smo naleteli pri izvedbi
posameznih faz projekta, od odločitve vodstva za vzpostavitev
SUVI pa do same certifikacijske presoje. Ocena tveganja je ena
od najpomembnejših, pa tudi najzahtevnejših in najobsežnejših
aktivnosti pri vzpostavitvi SUVI. Ocenjujemo, da predstavlja
izvedba ocene tveganja več kot 50 % vsega vloženega truda.
Predstavili bomo ukrepe, ki smo jih uvedli, da bi izpolnili te zahteve. Ker je obvladovanje tveganj metodološko in izvedbeno
zelo zapleteno, smo uporabili programsko orodje za podporo
izvedbi ocene tveganja. Uporaba programskega orodja nam je
omogočila enostavno in učinkovito vrednotenje in obravnavo
vseh relevantnih informacij o tveganjih, katerim smo v podjetju
izpostavljeni, obenem pa je poenostavila delo in bistveno skrajšala čas trajanja projekta vzpostavitve SUVI.
fication audit itself, some practical solutions were implemented.
Risk assessment is one from the most important, demanding
and extensive activities at the establishment of ISMS. It is assumed, that realization of risk assessment represents more
than 50 % of all invested effort for certification. From methodology and implementation point of view, risk assessment processes are rather complicated, so an appropriate software toll
was introduced to support this. This proved to be very practical
and efficient in dealing with all kind of company information assets subjected to threats and vulnerabilities. It also well cut the
time required to achieve the ISMS certification in contrast to using only traditional methods.
Revizija rešitve za BYOD
BYOD Audit
mag. Matjaž Štiglic, Matjaž Pušnik, CISA, CGEIT, PRIS
Koncept prinesi svojo napravo (angl. BYOD) omogoča uporabo
naprav, ki niso last organizacije, za poslovne potrebe. Rešitve,
ki so nam na razpolago, zahtevajo po eni strani ustrezno segmentacijo in ravni dostopa, odvisno od uporabnika (zaposleni,
gost, poslovni partner) in tipa naprave (prenosnik, tablica, telefon, ura), ter po drugi strani dobro razvit program ozaveščanja
uporabnikov o nevarnostih, ki jih takšen program prinaša za
posameznika in organizacijo, ki dovoljuje uporabo osebnih naprav v poslovne namene.
Koncept BYOD je v svetu IT že dolgo znan in ni nekaj novega.
Poslovne potrebe narekujejo rast uporabe mobilnih naprav za
poslovni namen. Vendar pa prinaša koncept BYOD za organizacije, ki se zanj odločajo, tudi slabe strani. Najpogosteje so te
povezane z informacijskimi tveganji, saj koncept kot tak odpira
vrata številnim grožnjam na področju informacijske varnosti, ki
jih moramo razumeti in spremljati.
Revizija BYOD mora preveriti postopke upravljanja BYOD in
podati zagotovila varne uporabe naprav za poslovne namene.
Primer revizije BYOD bo odgovoril na vprašanja, na kaj mora
biti pozoren revizor pri revidiranju rešitev za BYOD.
Bring your own device (BYOD) concept enables the use of devices which are not owned by the organization for business
purpose. Available solutions require both adequate segmentation and access levels depending on the type of user (employees, guests, business partner) and the type of device (laptop,
tablet, phone, clock). On the other hand, a well-developed user
awareness program reduce the dangers posed by such a program brings to the individual and the organization, which authorizes the use of personal devices for business purposes.
BYOD is not something new in the IT world. Business needs
dictate the growth in the use of mobile devices for business
purposes, because it improves staff productivity by enabling
them to work almost anytime and anywhere. Of course, there is
also an opposite, less attractive side of BYOD, because it is the
potential opening of major breaches in the security of your information systems, if the risks are not properly taken into account and understood.
BYOD audit must check BYOD management procedures and
give assurance of safe (proper) use of devices. Audit of BYOD
must give answers to questions on what should be auditor
alerted when auditing BYOD solution.
The ISMS (Information Security Management System) certification process project in a company which has recently acquired
the ISO/IEC 27001 certificate is briefly described in the beginning of the article. Problems, which were encountered on the
certification path, are shown. During all certification phases,
from the management decision to implement ISMS to the certiVabilo na konferenco | junij 2015
stran 7 | 9
23. mednarodna konferenca o revidiranju in kontroli IS, september 2015
Revizijske sledi v oblaku
Audit trails in cloud
Matjaž Pušnik, CISA, CGEIT, PRIS
Revizijske sledi nespremenljivo, nedvoumno, neizpodbitno in
celovito dokumentirajo, kdo, kdaj, s katerimi podatki in kakšno
operacijo je izvedel nad posameznimi zapisi. Revizijske sledi
nam omogočajo prepoznavanje časovnice, izvajalca, načina in
vsebino obdelave podatkov.
Revizijske sledi v oblaku so varno shranjene in so uporabniku
na voljo za vsako posamezno storitev. Ali ta trditev drži? Predstavili bomo praktične primere revizijskih sledi različnih storitev
v oblaku in podali smernice za revizijo sledi v oblaku.
Audit mechanisms and tools should be in place to determine
how data is stored, protected, and used to validate services,
and to verify policy enforcement. Audit trails enable us to identify timeline, user, method and content of the data processing.
The service level agreement must include the right to audit controls via a third party, as a way to validate control aspects that
are not otherwise accessible by the user of cloud service. Ideally, the user would have the possibility of independent management of audit trails in accordance with their business needs.
Audit trails in the cloud are securely stored and available to the
user for each service. Is this true? Article will present practical
examples of audit trails of various services in the cloud, and
gave you guidance for auditing the cloud.
Odtekanje podatkov –
ali so tehnične rešitve sploh pravo zdravilo?
Data Leakage – are technical solutions the right pills?
mag. Igor Karnet, CISA, CRISC CISM, CGEIT, CIA, PRIS
Prispevek bo obravnaval najšibkejše člene informacijske varnosti, katera je samo tako močna, kot je šibak njen najšibkejši
člen. Pogosto so ta najšibkejši člen ljudje. Tveganja spreminjajo
najnovejši družbenimi trendi, tehnologije, funkcionalnosti in storitve, ki jih uporabniki radi uporabljamo dnevno, pri tem pa vedno ne pomislimo na nevarnosti in možne posledice. V prispevku
bo nakazano, kaj lahko naredimo, da bo volk sit (da bodo uporabniki dobili ponujene, želene funkcionalnosti) in koza cela (da
bo za varnost zaupnih in občutljivih podatkov vseeno zadovoljivo poskrbljeno, da bo čim manj možnosti za nepooblaščeno
odtekanje podatkov).
The paper will address the weakest links of information security,
which is as strong as its weakest link. It is quite often that its
weakest link is people. Risks are related to latest social trends,
technology, functionality and services end-users are using daily,
without thinking about threats and potential damages. The paper will bring to attention, what we can do to »assure the wolf
will be full and the goat will stay unharmed« - users will be able
to use their needed services and security of personal and sensitive data will be achieved on a level, where the risk of unauthorised leakage of the data will be quite low.
__________________________________________________________________________________________
Program delavnice
Načela in prakse varnostne kulture/The Security Culture Framework
izvajalec/lecturer: Kai Roer
___________________________________________________________________
Urnik/Schedule
Četrtek, 24. septembra 2015, v angleščini!
predavalnica Č, ZRFRS, Dunajska cesta 106 v Ljubljani
Thursday, 24 September, 2015, in English!
classroom Č, ZRFRS, Dunajska cesta 106, Ljubljana, Slovenia
9.00–10.30
10.30–11.00
11.00–11.45
11.45–13.00
13.00–14.00
14.00–14.30
14.30–15.00
Ključna načela varnostne kulture
Odmor
Metrika
Organizacija in elementi
Kosilo
Načrt
Zaključki
Na delavnici se bodo udeleženci naučili, kako uporabiti metodološki okvir varnostne kulture za postavitev stalnega programa
varnostne kulture v organizaciji in njegovega vzdrževanja. Med
delavnico se bodo seznanili z vsemi štirimi deli metodološkega
okvira: metrike, organizacija, elementi in načrt. Udeleženci bodo
med delavnico pripravljali svoj program varnostne kulture.
Participants will learn how to use the Security Culture Framework to create an ongoing security culture program to build and
maintain security culture in their organizations. The workshop
walks through each of the four parts of the framework: metrics,
organization, topics, and planner. Participants will be working on
his/her own Security Culture Program during the workshop.
Kai Roer je norveški avtor, trener in varnostni specialist, ki se
osredotoča na varnostno kulturo in ozaveščanje. Ima več kot
20-letne izkušnje, Roer je deloval pri organizacijah po svetu na
izboljšanju komunikacij povezanih z varnostjo. Z izvajanjem treningov in predavanj v več kot 30 državah in mnogimi preko
spleta, je Roer strasten oblikovalec sprememb z namenom postavitve in vzdrževanja dobre varnostne kulture. Kot bloger je
prejel nagrade, gostil je dogodek: Srečanje o Varnostni kulturi –
oddaja v živo in njene pod-objave, je imetnik naziva NCI Fellov,
ki ga podeljuje National Cybersecurity Institute in Washington
DC, je gostujoči predavatelj na več univerzah po svetu in zelo
iskani predavatelj in gost okroglih miz na teme varnostne kulture. V letu 2015 je izdal knjigo z naslovom Build a Security Culture – Zgradite varnostno kulturo.
Kai Roer is a Norwegian author, coach and security specialist
focused on security culture and awareness. In his more than 20
year long career, Kai has worked with organisations around the
world to enhance their security communication. Giving trainings
and talks in more than 30 countries in person, and many more
online, Kai is passionate about creating the change necessary to
build and maintain good security culture. He is an award-winning
blogger, the host of the Security Culture Show – a live VCast and
recorded podcast, he is named NCI Fellow by the National Cybersecurity Institute in Washington DC, a guest lecturer at a
number of universities around the world and a much sought after
speaker and panellist on security culture and awareness. Kai´s
latest book is Build a Security Culture (2015).
8 | 9 stran
junij 2015 | Vabilo na konferenco
23. mednarodna konferenca o revidiranju in kontroli IS, september 2015
PRIJAVNICA
za 23. mednarodno konferenco o revidiranju in kontroli informacijskih sistemov,
22. in 23. septembra 2014, hotel Atrij, Zreče
Podjetje:
Udeleženci:
Kraj in poštna številka:
Ulica in hišna številka:
Telefonska številka in e-pošta:
Davčna številka:
Ali ste zavezanec za DDV?
DA
NE
Udeležnino nakažite na poslovni račun Slovenskega inštituta za revizijo SI56 0208 5001 5504 554 pri Novi Ljubljanski banki (LJBASI2X),
najkasneje pet dni pred začetkom konference. V polje za sklic vpišite 00 4127-15.
Žig in podpis pooblaščene osebe
Datum prijave:
Nastanitev je predvidena v hotelih Atrij, Vital ali vilah Terme Zreče. Rezervirate lahko prek spletne strani http://www.terme-zrece.eu/si/
poletje/namestitev/, po e-pošti [email protected] ali po telefonu (03) 757-61-56. Ob rezervaciji navedite, da ste udeleženec konference. Za udeležence je cena enoposteljne sobe z zajtrkom na dan v hotelu Atrij 74,00 €, hotelu Vital 60,00 € in vilah Terme Zreče
49,00 €. Priporočamo vam, da sobe rezervirate čim prej!
__________________________________________________________________________________________
PRIJAVNICA
za delavnico Načela in prakse varnostne kulture/The Security Culture Framework,
24. septembra 2014, Slovenski inštitut za revizijo, Ljubljana
Podjetje:
Udeleženci:
Kraj in poštna številka:
Ulica in hišna številka:
Telefonska številka in e-pošta:
Davčna številka:
Ali ste zavezanec za DDV?
DA
NE
Udeležnino nakažite na poslovni račun Slovenskega inštituta za revizijo SI56 0208 5001 5504 554 pri Novi Ljubljanski banki (LJBASI2X),
najkasneje pet dni pred začetkom delavnice. V polje za sklic vpišite 00 4128-15.
Datum prijave:
Žig in podpis pooblaščene osebe
__________________________________________________________________________________________
Pogoji prijave: Prijavite se lahko na http://sis.si-revizija.si/public/registry/semreg/4127 za konferenco ali na http://sis.si-revizija.si/public/registry/semreg/4128 za delavnico, prijavnico pa lahko pošljete po pošti na Slovenski inštitut za revizijo, Dunajska cesta 106, 1000 Ljubljana, ali po faksu (01) 568-63-32. Prejem prijave bomo potrdili po e-pošti. Če boste morebiti zadržani, se morate od konference ali delavnice odjaviti na [email protected], sicer vam bomo zaračunali udeležnino!