32. MEDNARODNA KONFERENCA O REVIDIRANJU IN KONTROLI INFORMACIJSKIH SISTEMOV
16.10.2024 -17.10.2024

Informacijski sistemi so iz dneva v dan kompleksnejši. Poslovna informatika se povezuje s procesno informatiko in internetom stvari, kar povečuje število digitalnih transformacij. Te transformacije oblikujejo obsežen kibernetski prostor, ki je nenehno izpostavljen raznim kibernetskim grožnjam.

Na letošnji konferenci bomo gostili mednarodne in slovenske strokovnjake, ki bodo predstavili širok spekter tem: od vloge žensk v kibernetskem varovanju do mednarodnih vidikov kibernetskih groženj, ki bi lahko vplivali na Slovenijo. Obravnavali bomo tudi nove metodologije in zakonodajne novosti, vključno z novim Zakonom o informacijski varnosti in novostmi na področju zakonodaje v Evropski uniji.

Organizacije bodo predstavile izkušnje ob kibernetskem napadu, preglede po direktivi NIS 2 ter pristope inšpektorjev pri pregledih organizacij po obstoječem Zakonu o informacijski varnosti in po Zakonu o varstvu osebnih podatkov. Prav tako se bomo seznanili z drugimi trendi in izkušnjami pri izvajanju revizij informacijskih sistemov.

Pripravili smo vrsto zanimivih in aktualnih tem z več kot 25 predavatelji iz tujine in Slovenije. Verjamemo, da bo vsak od udeležencev izvedel nekaj novosti, pa tudi spoznal različne pristope, scenarije in sodila, ki jih bo lahko uporabil pri praktičnem revizijskem delu.

Konferenca je namenjena revizorjem informacijskih sistemov, notranjim revizorjem in pooblaščenim revizorjem ter strokovnjakom s področja upravljanja tveganj, varovanja informacij in upravljanja informacijske komunikacijske tehnologije, in naposled uporabnikom informacijskih sistemov.

Ob konferenci bodo tudi volitve v odbor preizkušenih revizorjev informacijskih sistemov.

Vljudno vabljeni!

Sreda, 16. oktobra 2024

09:00-09:05 Uvodni nagovor
mag. Maja Hmelak, Predsednica odbora sekcije preizkušenih revizorjev iformacijskih sistemov
09:05-09:15 Nagovor direktorja in podelitev nazivov PRIS
dr. Samo Javornik, direktor Slovenskega inštituta za revzijo
09:15-10:00 Cybersecurity Workforce *
Sanja Kekić, Women4Cyber Serbia Chapter
10:00:10:45 Razumevanje novega Zakona o informacijski varnosti (Direktiva NIS-2)
dr.Uroš Svete, URSIV
10:45-11:15 Odmor
11:15-12:00 Cybersecurity in Slovenia: Threats and Countermeasures*
dr. Tal Pavel, CyBureau
12:00-12:30 Pregled večjih varnostnih incidentov
Mag. Maja Hmelak, Računsko sodišče RS
12:30-13:00 Novosti na področju odpornosti kritičnih subjektov – direktiva CER
Jaka Kosmač, Računsko sodišče RS
13:00-14:00 Odmor za kosilo
14:00-14:45 ISACA – Digital Trust and Cybersecurity*
Rolf von Roessing, FORFA
14:45-15:15 Ranljiva digitalizacija
Gorazd Božič, SI-CERT
15:15-15:45 Odmor
15:45-16:15 Inšpekcijski nadzor po Zakonu o informacijski varnosti v praksi
Matjaž Mravljak, URSIV
16:15-16:45 Pregled stanja organizacije po NIS2 in ISO 27001
Matjaž Peklaj, Kontrola zračnega prometa Slovenije
16:45-17:15 Revizija upravljanja IT storitev (ITSM) v sklopu pogodbenih določil pri nadzoru zunanjih izvajalcev
Tevž Delak in Primož Šutak, Mazars IT
18:00– Zbor pred hotelom in sprehod do grajske vinske kleti

 

Četrtek, 17. oktobra 2024

08:30-08:55 Izkušnje kibernetskega napada
Boštjan Tavčar, Uprava RS za zaščito in reševanje
08:55-09:15 Forenzični pregled kibernetskega napada
Boštjan Špehonja, GO-LIX d.o.o.
09:15-09:45 Vpeljava evropske denarnic digitalnih identitet
dr. Muhamed Turkanović, FERI
09:45-10:15 Postopki Informacijskega pooblaščenca na področju varstva osebnih podatkov
Anže Novak, UIP
10:15-10:45 Odmor
10:45-11:15 Konceptualni model vgrajene zasebnosti – orodje za učinkovitejše doseganje skladnosti z zahtevami GDPR
mag.Matjaž Drev, NIJZ
11:15-11:45 Premiki na evropskem podatkovnem področju
Ruti Rous in Alenka Blas, Računsko sodišče RS
11:45-12:15 Kako umetna inteligenca vpliva na zagotavljanje kakovosti informacijskih sistemov
dr. Tina Beranič, FERI
12:15-12:45 Državljanski razvijalci ali senčna informatika?
dr. Boštjan Kežmah, FERI
12:45-13:45 Odmor za kosilo
13:45-14:15 Nadzorniške aktivnosti in bistvene ugotovitve Agencije za javni nadzor nad revidiranjem, s poudarkom na področju IT
Mateja Cimerman, Agencija RS za javni nadzor nad revidiranjem
14:15-14:45 Zunanja presoja kakovosti notranje revizije - pogled iz prakse
Katjuša Arko, Generalli
14:45-15:15 Pregled kibernetske varnosti v sklopu revizije računovodskih izkazov
Jaka Borišek in Uroš Žust , Mazars IT
15:15-15:45 Pomen notranje revizije pri preverjanju ustreznosti kibernetske varnosti v finančnih organizacijah (DORA zahteve)
mag. Miha Ozimek, Sava RE
15:45-15:50 Zaključek konference
mag. Maja Hmelak, predsednica odbora sekcije PRIS

Cybersecurity Workforce

Sanja Kekić (predavanje bo v angleškem jeziku)

Cybersecurity has been one of the hot topics in recent years that we mainly deal with from the aspect of attacks. However, very little attention is paid to a very important component in the defense against attacks: the workforce. This lecture aims to draw attention to the role of the cyber defense workforce, present its current state, and explain why it is important for the cybersecurity workforce to be gender inclusive.

 

Sanja Kekić

Sanja Kekić is the president of Women4Cyber Serbia Chapter. Recently, she has been engaged in a project to increase the number of women in cybersecurity in Serbia. Sanja was one of the ISACA Belgrade Chapter founders and the first Belgrade Chapter president from 2016 to 2021, devoted to promoting the visibility of ISACA and its core values in the Serbian market, for which she 2018 received the ISACA's Outstanding Leaders Award in the Small Chapter category. Besides, Sanja is one of Europe's most influential women in Cybersecurity (2019 SC UK Media and 2022 Book "Hacking Gender Barriers - Europe's Top Women"). Today, she is a very active ISACA volunteer. Sanja gained experience working for big4, several of the largest banks, and the largest mobile operator in Serbia. In her 24-year career, Sanja has led and executed various complex IT and business process projects related to GRC, including (or with a focus on cyber security) in Serbia and the SEE region. She is a professional focused on risk, governance, audit, security, and compliance, with a background in mathematics and computer science. In addition, she has certificates for risk and control of the information system, data privacy, and internal audit in the public and private sectors.

 

Razumevanje novega Zakona o informacijski varnosti (Direktiva NIS 2)

dr. Uroš Svete

Direktiva NIS 2 (Direktiva (EU) 2022/2555), ki je poenotila pristop k urejanju oziroma upravljanju področja informacijske in kibernetske varnosti v Evropski uniji, bo v slovenski pravni red vključena z novim Zakonom o informacijski varnosti. Javna obravnava in medresorsko usklajevanje predloga zakona sta že bila opravljena. Preliminarna analiza kaže, da bo nova zakonodaja zajela okoli tisoč zavezancev, od katerih bo približno 800 subjektov iz gospodarstva. Predpisane bodo dodatne obveznosti ter varnostne zahteve za obvladovanje informacijskih in kibernetskih tveganj za zavezance. Pregledali bomo bistvene in pomembne novosti ter na kratko primerjali prejšnjo in sedanjo ureditev področja informacijske in kibernetske varnosti v Republiki Sloveniji.

 

Dr. Uroš Svete

Dr. Uroš Svete je direktor Urada Vlade Republike Slovenije za informacijsko varnost ter strokovnjak na področju obrambe, varnostnih študij, analize konfliktov in informacijske/kibernetske varnosti. V svoji akademski karieri na Fakulteti za družbene vede Univerze v Ljubljani ima bogate izkušnje s predavanji in raziskovanjem. Bil je eden prvih slovenskih akademikov, ki se je ukvarjal z varnostnimi in geostrateškimi razsežnostmi uporabe informacijsko-komunikacijskih tehnologij. Kot izredni profesor se je večinoma posvečal temam vojaške tehnologije in varnostnih implikacij informacijsko-komunikacijskih tehnologij. Od januarja 2011 do decembra 2015 je vodil Oddelek za obramboslovne študije.

Konec leta 2018 je postal generalni direktor Direktorata za informacijsko družbo na Ministrstvu za javno upravo, kjer je uspešno vodil vzpostavitev Uprave za informacijsko varnost kot nacionalnega organa, pristojnega za kibernetsko varnost, ki je deloval pod Ministrstvom za javno upravo (ministrstvo, pristojno za digitalizacijo). Po novi nacionalni reformi in spremembi zakonodaje je bil julija 2021 kot pristojni nacionalni organ za kibernetsko varnost pod okriljem kabineta predsednika vlade ustanovljen Urad Vlade RS za informacijsko varnost, za direktorja pa imenovan dr. Uroš Svete.

 

Cybersecurity in Slovenia: Threats and Countermeasures

dr. Tal Pavel (predavanje bo v angleškem jeziku)

Cybersecurity has become a critical concern for nations worldwide, including Slovenia, in an increasingly interconnected world. This presentation delves into the specific threats to Slovenia's cyber landscape. It explores the vulnerabilities and the potential consequences for national security, economic stability, and individual privacy. Moreover, the presentation outlines proactive countermeasures and strategies implemented by Slovenia to mitigate these threats, including robust defence systems, cybersecurity policies, and nationwide governmental and private initiatives and campaigns. By examining the challenges and the solutions, this presentation aims to enhance understanding and readiness to safeguard Slovenia's digital realm against cyber threats.

 

Dr. Tal Pavel

Dr. Tal Pavel is an academic lecturer, researcher, and speaker in Israel and worldwide, specializing in geopolitical aspects of cybersecurity - the tangent lines between international relations, political science, and cyberspace. These include cybered-conflicts, cyber warfare, cyber threats, nation-state cyber actors, cyber diplomacy, cyber terrorism, and Hacktivism.

Dr. Pavel is a keynote speaker at international conferences and has been interviewed as an expert cyber for major media outlets.

Dr. Pavel holds a PhD in Middle Eastern Studies from Bar-Ilan University, Israel (Dissertation: "Changes in Governmental Restrictions over the Use of the Internet in Syria, Egypt, Saudi Arabia and the United Arab Emirates between 2002 – 2005").

 

Pregled večjih varnostnih incidentov

mag. Maja Hmelak

Leto 2024 je zaznamoval velik napredek v orodjih umetne inteligence, kar je med drugim pomembno vplivalo na trende kibernetskega kriminala. Orodja za ustvarjanje glasov in posnetkov so spletnim kriminalcem omogočila povsem novo dimenzijo prevar, ki so za zdaj usmerjene predvsem na fizične osebe, se pa postopoma uveljavljajo tudi kot različica nekdanje poslovne prevare po elektronski pošti (angl. Business Email Compromise, krat. BEC). Spletni kriminalci šokantne ali personalizirane posnetke kot globoke ponaredke (deepfake) poleg tega uporabljajo za učinkovit vstopni vektor v končne uporabniške naprave, zlasti v mobilne telefone.

Napadi z izsiljevalsko programsko opremo so v letu 2024 kot vselej usmerjeni predvsem na posameznike in majhna ter srednja podjetja, pogosto pa tudi na kritično infrastrukturo, zlasti na zdravstvene ustanove.

Zaradi rasti vrednosti digitalnih valut se je povečalo rudarjenje vrste kriptojacking, kar je kritično zlasti zaradi naraščajočih cen energentov in velikih energijskih potreb podatkovnih centrov, na katerih delujejo veliki umetnointeligenčni modeli.

V letu 2024 so v porastu tudi napadi na dobavne verige, saj kibernetski kriminalci izkoriščajo ranljivosti v programski opremi in storitvah tretjih oseb ali pa vdore v poštne strežnike in druge notranje sisteme dobaviteljev uporabljajo kot vstopni vektor v informacijska okolja njihovih strank.

V prispevku bomo obravnavali najodmevnejše in najpredrznejše spletne napade in prevare leta 2024.

 

mag. Maja Hmelak

Mag. Maja Hmelak, PRIS, CISA, CIA, je strokovna sodelavka na Računskem sodišču Republike Slovenije in predsednica Sekcije preizkušenih notranjih revizorjev pri Slovenskem inštitutu za revizijo. Njeno posebno strokovno področje so revizije učinkovitosti, uspešnosti in gospodarnosti delovanja informacijskih tehnologij in revizije informacijskih tehnologij v okviru notranjerevizijskih poslov.

 

Novosti na področju odpornosti kritičnih subjektov – direktiva CER

Jaka Kosmač

Evropska unija je že leta 2008 z Direktivo Sveta 2008/114/ES opredelila postopek za določitev evropske kritične infrastrukture v energetskem in prometnem sektorju, pri katerih bi imela motnja v delovanju ali uničenje pomemben čezmejni vpliv na vsaj dve državi članici. Dobro desetletje kasneje je bilo ob vrednotenju omenjene direktive ugotovljeno, da zaščitni ukrepi, ki se nanašajo zgolj na posamezna sredstva, ne zadostujejo za preprečitev vseh motenj, saj je narava postopkov, pri katerih se uporablja kritična infrastruktura, vse bolj povezana in čezmejna. Pristop je bilo treba preusmeriti k zagotavljanju boljšega upoštevanja tveganj ter boljše opredelitve in usklajenosti vloge in nalog kritičnih subjektov kot ponudnikov storitev, ki so bistvene za delovanje notranjega trga. Zato sta konec leta 2022 Evropski parlament in Svet sprejela Direktivo (EU) 2022/2557 (direktivo CER). Ta bo z novimi pravili okrepila odpornost kritične infrastrukture na vrsto groženj, vključno z naravnimi nevarnostmi, terorističnimi napadi, notranjimi grožnjami ali sabotažo. Direktiva CER širi obseg zaščitenih sektorjev, prav tako bodo morale države članice sprejeti nacionalno strategijo in izvajati redne ocene tveganja za opredelitev subjektov, ki veljajo za kritične ali ključne za družbo in gospodarstvo. Na predavanju se bomo seznanili z novostmi, ki jih na področju odpornosti kritične infrastrukture prinaša direktiva CER.

 

Jaka Kosmač

Jaka Kosmač, univerzitetni diplomirani pravnik s pravniškim državnim izpitom in državni revizor. Po diplomi se je zaposlil na Združenju občin Slovenije, kjer je sodeloval pri izvajanju revizij skupne notranje revizijske službe in pomagal pri organizaciji izobraževanj, srečanj in dogodkov. Kariero je nadaljeval na Komisiji za preprečevanje korupcije, najprej kot svetovalec za preventivo in integriteto, kasneje pa kot vodja projektov za integriteto, eno leto je vodil tudi mednarodno sodelovanje. Na področju boja proti korupciji je večkrat delal z Organizacijo za gospodarsko sodelovanje in razvoj (OECD). Računskemu sodišču se je pridružil leta 2015, in sicer oddelku za revizije smotrnosti poslovanja. Tam je sodeloval pri zelo raznolikih revizijah smotrnosti, in sicer od okoljskih do IT revizij. Od leta 2021 je vodja informacijske varnosti na Računskem sodišču. V letih 2020 in 2022 je predaval na seminarjih, ki jih je na temo IT revizij organiziral Center of Excellence in Finance. V preteklosti je večkrat predaval na Mednarodni konferenci o revidiranju in kontroli informacijskih sistemov v organizaciji Slovenskega inštituta za revizijo.

 

ISACA – Digital Trust and Cybersecurity*

Rolf von Roessing (predavanje bo v angleškem jeziku)

The Digital Trust Ecosystem and Framework by ISACA is a comprehensive and innovative toolset supporting the creation, implementation, maintenance and continuous improvement of the level of digital trust in organizations. Its scope covers both new aspects of digital trust and tried and tested frameworks that have been in use for many years. The DTEF therefore marks the next milestone in the development of trusted and trustworthy governance, risk management and compliance / assurance practices on a global scale.

In the European Union, the EU-NIS2 Directive has set a new standard for the protection of critical infrastructures. Its scope spans areas as diverse as risk management, organizational resilience and cybersecurity. The presentation will demonstrate how the DTEF can be utilized to achieve NIS2 adherence and compliance.

 

Rolf von Roessing

Prof. Rolf von Roessing, is a partner and CEO at FORFA Consulting AG, an international consultancy firm specialising in GRC, security and related disciplines. He brings 30 years of experience in governance, risk management and compliance; security and business continuity; and crisis management in a range of sectors, including banking and finance, insurance, wholesale and retail, automotive, and healthcare.

He has also been teaching as a senior lecturer in M. Sc. courses at the University for Further Education in Krems (formerly Donau-Universität Krems) since 2005 and is a member of the Academic Council for M. Sc. Management and IT, M. Sc. Information Security Management, and M. Sc. Cybersecurity.
Since 2021, Rolf has been lead developer within the core team developing the ISACA Digital Trust Ecosystem and Framework (DTEF) that was officially launched in March 2024

Past Global Vice Chair, Past International Vice President, ISACA Board of Directors, Past Board Member and Chairman of the Audit Committee, The Business Continuity Institute

 

Ranljiva digitalizacija

Gorazd Božič

Pospešena digitalizacija pomeni tudi vedno večjo odvisnost od komunikacijske infrastrukture. Izsiljevalski virusi so čedalje večja težava, zato številne države razmišljajo tudi o prepovedi plačevanja odkupnin kriminalnim skupinam. Nas pa bolj zanima, kako zmanjšati tveganja za nepooblaščene vstope v omrežja. Pred vrati so nove uredbe in direktive, med njimi seveda NIS 2, ki bo zelo razširila obseg zavezancev in odzivnemu centru SI-CERT naložila dodatne naloge glede obravnave ranljivosti in izvajanja neinvazivnih pregledov omrežij zavezancev. Zato je v sprejemanju tudi nov Zakon o informacijski varnosti. Katero smer ubira EU in kako bomo ukrepe izvajali v praksi pri nas?

 

Gorazd Božič

Gorazd Božič je vodja nacionalnega odzivnega centra za kibernetsko varnost SI-CERT (Slovenian Computer Emergency Response Team). Odzivni center SI-CERT od leta 1995 dalje preiskuje vdore v računalnike, okužbe z računalniškimi virusi in pomaga uporabnikom pri raznovrstnih drugih zlorabah na internetu, tudi s programom ozaveščanja varninainternetu.si. Zakon o informacijski varnosti v 28. členu določa, da je SI-CERT pristojen za obravnavo incidentov pri vseh zavezancih, razen v organih državne uprave, sprejema pa prostovoljne prijave še od vseh drugih subjektov v državi. Od leta 2000 do 2008 je Gorazd Božič predsedoval evropski skupini odzivnih centrov TF-CSIRT, od 2004 do 2018 je bil predstavnik Slovenije v upravnem odboru Evropske agencije za kibernetsko varnost ENISA, od julija 2020 do decembra 2021 pa je predsedoval mreži CSIRT, ki združuje vse nacionalne in vladne skupine CSIRT v Evropski uniji. Aktiven je tudi pri podpori in mentoriranju novoformiranih odzivnih skupin v regiji jugovzhodne Evrope.

 

Inšpekcijski nadzor po Zakonu o informacijski varnosti v praksi

Matjaž Mravljak

Za nadzor nad izvajanjem Zakona o informacijski varnosti je pristojna Inšpekcija za informacijsko varnost, ki je notranja organizacijska enota Urada Vlade Republike Slovenije za informacijsko varnost. Zavezanci po zakonu so izvajalci bistvenih storitev, ponudniki digitalnih storitev, organi državne uprave in povezani subjekti, ki imajo različne obveznosti. Trenutno je v Republiki Sloveniji 49 izvajalcev bistvenih storitev, 19 organov državne uprave, en ponudnik digitalnih storitev in okoli 400 povezanih subjektov. Pogledali si bomo postopek inšpekcijskega nadzora s poudarkom na pregledu izvajanja organizacijskih, logično-tehničnih in tehničnih varnostnih ukrepov.

 

Matjaž Mravljak

Matjaž Mravljak je direktor Inšpekcije za informacijsko varnost v Uradu Vlade Republike Slovenije za informacijsko varnost in član delovne skupine za pripravo novega Zakona o informacijski varnosti. S področjem informatike, telekomunikacij in informacijsko varnostjo se poklicno ukvarja več kot 15 let, z nadzorom pa zadnje tri leta. Matjaž Mravljak je magister prava, preizkušeni revizor informacijskih sistemov, notranji presojevalec sistema upravljanja neprekinjenega poslovanja ter certificiran strokovnjak s področja informacijske in kibernetske varnosti.

 

Pregled stanja organizacije po NIS 2 in ISO 27001

Matjaž Peklaj

Zagotavljanje pregleda nad stanjem informacijske in kibernetske varnosti v organizaciji je v današnjem varnostnem okolju in stalno spreminjajoči se tveganjski krajini zelo pomembno za ohranjanje njenih bistvenih storitev oziroma funkcij. Prispevek bo obravnaval nekaj ključnih korakov za doseganje oziroma ohranjanje skladnosti organizacije z zahtevami NIS 2 in ISO 27001 ter ohranjanje oziroma zagotavljanje pregleda nad dejanskim stanjem informacijske in kibernetske varnosti v organizaciji.

 

Matjaž Peklaj

Matjaž Peklaj je zaposlen na Kontroli zračnega prometa Slovenije, d. o. o., odgovoren za področje korporativne varnosti, obvladovanje varnostnih tveganj in tveganj pri zagotavljanju neprekinjenega delovanja družbe. V zadnjem obdobju največ pozornosti namenja delovanju varnostno operativnega centra za kibernetsko varnost in zagotavljanju informacijske varnosti družbe.

 

Revizija upravljanja IT storitev (ITSM) po pogodbenih določilih pri nadzoru zunanjih izvajalcev

Tevž Delak in Primož Šutak

Predstavljeno bo revidiranje IT storitev po pogodbenih določilih, ki jih organizacije sklepajo z zunanjimi izvajalci. Pri tem se bomo posvetili pomembnosti upoštevanja standardov, okvirov in dobrih praks na področju upravljanja IT storitev (za glavno sodilo primera revizije na predavanju bo vzet okvir ITIL v4) pri sklepanju pogodb z zunanjimi izvajalci z namenom, da organizacija zagotovi ustrezno raven izvajanja zunanjih storitev, ki zagotavljajo doseganje poslovnih potreb organizacije in so skladne z morebitnimi določili zakonodaje. Predstavili bomo tudi osnove procesov ITSM, ključna tveganja za organizacijo ter glavna odstopanja in izzive, ki jih pri revidiranju omenjenega področja srečujemo v slovenskem okolju.

 

Tevž Delak

Tevž Delak je višji menedžer v podjetju MAZARS IT, d. o. o., in ima več kot 15 let izkušenj na področju revizije informacijskih sistemov, informacijske varnosti, kibernetske varnosti, upravljanja varstva osebnih podatkov, upravljanja tveganj, upravljanja neprekinjenega poslovanja, upravljanja IT storitev in projektnega vodenja. V 15 letih delovanja na področju upravljanja in varovanja I&T je izvajal svetovalne in revizijske storitve v različnih industrijah, predvsem za finančni in storitveni sektor. V karieri je pridobil certifikate Certified Information Systems Auditor (CISA), Certified Data Privacy Soulutions Engineer (CDPSE), PRINCE2 Foundation, ITIL4 Foundation Certificate in je notranji presojevalec sistema upravljanja neprekinjenega poslovanja.

 

Primož Šutak

Primož Šutak je višji svetovalec, ki v podjetju MAZARS IT, d. o. o., deluje na strokovnih področjih, ki so osredotočena na skladnost, obvladovanje tveganj, revizijo in notranje kontrole. Sodeluje v projektih s področja upravljanja varstva osebnih podatkov ter v projektih dajanja zagotovil. V 15-letni karieri na področju informatike je bil s svojimi aktivnostmi vključen v projekte različnih obsegov vodilnih podjetij v Sloveniji in na mednarodnem trgu. Mednje se štejejo tudi večletne izkušnje pri načrtovanju in upravljanju IT storitev s pridobljenim certifikatom ITIL4 Foundation Certificate ter izkušnje svetovanja na področju informacijske in kibernetske varnosti, poleg tega pa je tudi notranji presojevalec sistema upravljanja informacijske varnosti po standardu ISO/IEC27001.

 

Današnji pogled na dogajanje ob kibernetskem napadu na Upravo Republike Slovenije za zaščito in reševanje

Boštjan Tavčar

Uvodoma bomo opisali dejanski potek kibernetskega napada in njegove posledice. Prikazali bomo osnovna vodila in namene delovanja hekerskih skupin, ki ponujajo izsiljevalske hekerske napade kot storitev, ki jo lahko najamemo. Naredili smo kratko primerjalno analizo s podobnimi izsiljevalskimi hekerskimi napadi v Sloveniji od leta 2022 dalje. Poudarek je tudi na pomenu varnostne dokumentacije in zakonodaje, ki ureja to področje. Sklenili bomo z opisom konkretnih postopkov in ukrepov, ki smo jih sprejeli ob in po kibernetskem napadu, z vsemi dilemami in izzivi, s katerimi smo bili soočeni ob dejstvu, da to počnemo prvič v takem obsegu.

 

Boštjan Tavčar

Boštjan Tavčar je diplomiral na Fakulteti za elektrotehniko v Ljubljani na študijski smeri Telekomunikacije. Od leta 1994 je zaposlen na Ministrstvu za obrambo, Upravi Republike Slovenije za zaščito in reševanje. Zadolžen je za razvoj in delovanje informacijskih in komunikacijskih sistemov in storitev, številke za klic v sili in centrov za obveščanje na področju varstva pred naravnimi in drugimi nesrečami. Je tudi avtor aplikacije za klic v sili za gluhe in naglušne WAP112, ki je bila predhodnica oziroma prva aplikacija naslednje generacije klicev v sili NG112. Aplikacija je leta 2009 prejela nagrado, ki jo podeljuje evropsko združenje EENA. Je pobudnik uvedbe sistema eCall v Sloveniji in sodelavec pri razvoju slovenske rešitve. Delal je tudi pri številnih evropskih projektih, med katerimi so U2010, MONET, ABSOLUTE, HeERO, NEXES in drugi. Je član Evropskega kluba 112. Evropsko združenje EENA mu je leta 2018 podelilo nagrado za življenjsko delo za zasluge na področju uvajanja in razvoja številke za klic v sili 112.

 

Aktivnosti pri reševanju kibernetskega napada

Boštjan Špehonja

Ob kibernetskem napadu se v podjetju ali organizaciji pojavi vprašanje, kako je do njega prišlo, kdo je neposredno odgovoren in kakšna škoda je nastala. Pojavi se skrb, ali so bili odtujeni osebni ali zaupni podatki. Nastane občutek nelagodja, saj ne vemo, katera stranska vrata je napadalec pustil odprta in kdaj bo spet napadel. Na taka vprašanja je velikokrat mogoče odgovoriti z izvedbo forenzičnega pregleda okolja IKT. Na predavanju si bomo ogledali, kako se pregleda lotimo, kaj je pomembno pri zagotavljanju forenzičnih sledi ter kakšne rezultate lahko pričakujemo.

 

Boštjan Špehonja

Boštjan Špehonja je direktor podjetja GO-LIX, d. o. o., ter strokovnjak na področju kibernetske varnosti s kar nekaj mednarodno priznanimi certifikati (Certified Ethical Hacker – Master, Certified Network Defense Arcihtect, Security+, CEH Practical, CompTIA Advanced Security Practitioner ce, CompTIA CySA+, PNPT). Ima širok nabor izkušenj, saj mu je pregled svojega okolja IKT zaupalo že več sto organizacij, kot so podjetja s kritično infrastrukturo, banke, zavarovalnice, ministrstva in številni drugi. Izvaja tudi izobraževanja in delavnice o varni uporabi interneta in etičnega hekanja, najbolj pa uživa ob odzivih na kibernetske incidente. Predaval je na vseh največjih konferencah informacijske varnosti v Sloveniji. Je soustanovitelj fundacije SICEH (Slovenian Certified Ethical Hackers), vodja poglavja OWASP Ljubljana, gostujoči strokovnjak Univerze v Mariboru in predavatelj na Gea Collegu.

 

Vpeljava evropske denarnice digitalnih identitet (angl. European Digital Identity Wallet)

dr. Muhamed Turkanović

Evropska denarnica digitalnih identitet (EUDIW) je ambiciozen projekt Evropske komisije, ki si prizadeva za vzpostavitev enotne digitalne identitete v Evropski uniji. Na predavanju bomo raziskali, kaj je EUDIW, čemu je namenjen, kaj nam omogoča, kako se bo uporabljal in kakšne rezultate lahko pričakujemo v dveh letih, ko bodo morale države članice EU-ja svojim državljanom ponuditi evropske denarnice digitalnih identitet. Prav tako bomo podrobno predstavili tehnične podrobnosti, ključne za implementacijo EUDIW-a. EUDIW si prizadeva za povečanje varnosti in zaupanja v digitalno okolje, poenostavitev postopkov avtentikacije in identifikacije ter varno in samostojno hranjenje lastnih podatkov. EUDIW se bo uporabljal na različnih področjih v Evropski uniji, s čimer pričakujemo številne koristi za posameznike, podjetja in institucije. Tehnične podrobnosti, kot so referenčna arhitektura EUDIW-a, povezani standardi in primeri rešitev, so ključne za uspešno implementacijo projekta in s tem kot spodbuda za digitalno gospodarstvo in inovacije v EU-ju. EUDIW je tako korak naprej k vzpostavitvi varnega in učinkovitega digitalnega okolja v Evropski uniji.

 

Izr. prof. dr. Muhamed Turkanović

Izr. prof. dr. Muhamed Turkanović je leta 2016 doktoriral na področju računalništva in informatike. Ima več kot deset let izkušenj v industriji na mednarodni ravni kot razvijalec, vodja tehničnega razvoja, tehnični direktor in lastnik IT podjetij itd. Od leta 2017 je redno zaposlen na Univerzi v Mariboru kot visokošolski učitelj (trenutno izredni profesor), kjer predava predmete, povezane s podatkovno tehnologijo in informacijsko varnostjo. Poleg tega je bil tudi zunanji predavatelj na Univerzi v Zagrebu. Leta 2017 je v okviru Inštituta za informatiko ustanovil Blockchain Lab:UM, kjer je vodja raziskav in razvoja. Od leta 2019 je vodja operacij Digitalnega inovacijskega stičišča Univerze v Mariboru in od leta 2020 vodja enega od dveh slovenskih evropskih digitalnih inovacijskih stičišč (DIGI-SI). Je tudi namestnik predstojnika Inštituta za informatiko ter koordinator univerzitetnega študijskega programa Informatika in podatkovne tehnologije. Za svoje znanstvene in strokovne dosežke je bil večkrat nagrajen, hkrati pa je po Stanfordovem seznamu leta 2022 med petimi odstotki najbolj citiranih raziskovalcev na svetu. Poleg tega je predsednik Tehničnega odbora za Blockchain pri Slovenskem inštitutu za standardizacijo, član Strateškega sveta za digitalizacijo pri Vladi RS 2021-2022, koordinator Univerze v Mariboru v več projektih H2020, HORIZON ali DIGITAL, kot so DE4A, Data4Food2030, DIH-World, Adma Trans, EuroCC2, VECTOR itd.

 

Postopki informacijskega pooblaščenca na področju varstva osebnih podatkov

Anže Novak

V skladu z evropsko in nacionalno ureditvijo varstva osebnih podatkov nadzor nad zakonodajo na tem področju izvaja neodvisen nadzorni organ, v Sloveniji informacijski pooblaščenec (kratica IP). Temeljni načeli vodenja nadzornih postopkov sta (1) postopek s pritožbo, ko nadzorni organ s svojimi pooblastili skrbi za zaščito pravice posameznika, na katerega se osebni podatki nanašajo, in (2) postopek po uradni dolžnosti (ex offo), ko nadzorni organ ukrepa za odpravo sistemskih kršitev na področju varstva osebnih podatkov. V pritožbenih postopkih posamezniki ščitijo svoje pravice na področju varstva osebnih podatkov (npr. dostop ali seznanitev, izbris, popravek), predlagajo odpravo nepravilnosti in pridobijo ugotovitev, da je upravljavec v trenutku vložitve prijave kršil njihovo pravico do varstva osebnih podatkov – v zadnjem primeru lahko to ugotovitev uporabijo v morebitnem odškodninskem postopku zoper upravljavca. Postopek po uradni dolžnosti vodi IP v skladu z Zakonom o inšpekcijskem postopku na podlagi pobude ali prijave, lastne zaznave kršitev, vnaprej opredeljenega načrta nadzorov ali prejetega obvestila o kršitvi varnosti osebnih podatkov. Stranka inšpekcijskega postopka je zavezanec, v pritožbenem postopku pa kot stranki nastopata tako posameznik, na katerega se osebni podatki nanašajo, kot tudi nadzorovani upravljavec ali obdelovalec. Če IP pri vodenju katerega koli postopka ugotovi kršitev, po uradni dolžnosti postopa v skladu s pooblastili prekrškovnega organa.

Vsebina predavanja:
1. Informacijski pooblaščenec – neodvisen nadzorni organ za varstvo osebnih podatkov
2. Pritožbeni postopki na področju varstva osebnih podatkov v praksi informacijskega pooblaščenca
3. Inšpekcijski postopki na področju varstva osebnih podatkov v praksi informacijskega pooblaščenca
4. Informacijski pooblaščenec kot prekrškovni organ

 

Anže Novak

Anže Novak je univerzitetni diplomirani pravnik in državni nadzornik za varstvo osebnih podatkov pri Informacijskem pooblaščencu, kjer je zaposlen od leta 2015. Pred tem je delal na področju varstva zasebnosti pri Varuhu človekovih pravic. Anže Novak je pri Informacijskem pooblaščencu sprva delal na področju dostopa do informacij javnega značaja, kasneje na preventivnih aktivnostih na področju varstva osebnih podatkov, trenutno pa njegovo delo obsega vodenje in odločanje o najzahtevnejših inšpekcijskih, pritožbenih, prekrškovnih ter drugih postopkih iz pristojnosti Informacijskega pooblaščenca. V okviru mehanizma TAIEX, ki ga vodi Evropska komisija za približevanje držav zunaj EU-ja zakonodaji in praksi Evropske unije, se aktivno udeležuje tudi mednarodnih srečanj in konferenc na področju varstva osebnih podatkov (Ankara 2018, Skopje 2020, Moldavija 2024), evalvacij stanja varstva osebnih podatkov (EU Peer Review Missions; Črna gora 2019, Albanija 2022, Kosovo 2022, BiH 2022) ter pregleduje in podaja ocene zakonodajnih predlogov (Kosovo 2018, Srbija 2020). Je predavatelj za varstvo osebnih podatkov pri Upravni akademiji in pisec prispevkov za praktični priročnik varstva osebnih podatkov pri Založbi Forum Media.

 

Konceptualni model vgrajene zasebnosti – orodje za učinkovitejše doseganje skladnosti z zahtevami GDPR-ja

mag. Matjaž Drev

Prikazana bosta razvoj in uporaba konceptualnega modela/orodja, ki ga je mogoče uporabiti v najrazličnejših kontekstih obdelave osebnih podatkov s ciljem učinkovitega doseganja skladnosti z zahtevami GDPR-ja. Orodje temelji na prepletu temeljnih načel vgrajene zasebnosti, formalnih zahtevah GDPR-ja, upošteva pa tudi zahteve standardov ISO/IEC 27001:2022 in ISO/IEC 27701:2019. Poleg razvoja, strukture in načina uporabe orodja bodo predstavljene nekatere ključne ugotovitve uspešno izvedenih preizkusov orodja v praksi.

 

mag. Matjaž Drev

Mag. Matjaž Drev je nekdanji državni nadzornik za varstvo osebnih podatkov. Več let je pri Informacijskem pooblaščencu RS izvajal inšpekcijske in prekrškovne postopke s področja varstva osebnih podatkov. Pred tem je strokovne izkušnje pridobival kot sistemski in omrežni administrator, zato k izzivom pravice do zasebnosti pristopa izrazito interdisciplinarno. Trenutno se poklicno ukvarja z informacijsko varnostjo.

 

Premiki na evropskem podatkovnem področju

Ruti Rous in Alenka Blas

Evropski uniji je v razmeroma kratkem času uspelo sprejeti predviden regulativni okvir za uresničevanje Evropske strategije za podatke. Vzpostavljanje enotnega evropskega podatkovnega trga v praksi se je že začelo, zato je čas za prve ocene o uresničljivosti zastavljenih ciljev. Za najodmevnejšega se je izkazal Akt o umetni inteligenci, velik vpliv na področje upravljanja in varnosti podatkov pa gre pripisati tudi Aktu o podatkih ter digitalnemu dvojčku – Aktu o digitalnih storitvah in Aktu o digitalnih trgih. Razpravljali bomo o novostih na evropskem podatkovnem področju, njihovem vplivu ter vlogi revizorja pri tem.

 

Ruti Rous

Ruti Rous, Računsko sodišče Republike Slovenije, pravnica in državna revizorka. Ukvarja se zlasti z revizijami smotrnosti poslovanja, kot pravni del tima pa pogosto sodeluje pri revizijah informacijskih tehnologij. Njeno posebno strokovno področje so evropsko podatkovno pravo ter pogodbe za pridobivanje informacijskih storitev in sistemov.

 

Alenka Blas

Alenka Blas, Računsko sodišče Republike Slovenije, pravnica in državna revizorka. Kot pravna svetovalka domačim in tujim družbam v zasebnem sektorju je delala na področju korporacijskega in statusnega prava, sodelovala pa je tudi z Zbornico za management consulting Slovenije. Kot državna revizorka se zadnjih deset let ukvarja z revizijam smotrnosti, med drugim s področja porabe javnih sredstev za sanacijo slovenskega bančnega sistema (poslovanje DUTB-ja in nadzorstvena funkcija Banke Slovenije) ter poslovanja gospodarskih družb v državni lasti, v zadnjem času pa tudi s področja informacijskih sistemov.

 

Kako umetna inteligenca vpliva na zagotavljanje kakovosti informacijskih sistemov

dr. Tina Beranič

Umetna inteligenca vse bolj prodira tudi na področje razvoja informacijskih sistemov, pri čemer koraki in procesi zagotavljanja kakovosti niso izjema. Če nam umetna inteligenca po eni strani ponudi orodje in pristope, ki zagotavljanje kakovosti lahko pomembno izboljšajo, nas po drugi strani sooči z do zdaj nepoznanimi izzivi. Učinkovita obravnava prav teh izzivov je ključna za učinkovit razvoj sodobne programske opreme.

V prispevku se bomo dotaknili dveh vidikov. Najprej bomo preučili umetno inteligenco kot podporo procesu zagotavljanja kakovosti, predstavili bomo pristope in orodja, ki s tehnologijami umetne inteligence bistveno izboljšajo in poenostavijo korake zagotavljanja kakovosti. Nato pa se bomo ukvarjali z izzivom, povezanim z zagotavljanjem kakovosti informacijskih rešitev s komponento umetne inteligence, ter z izzivom, ključnim za proces zagotavljanja kakovostnih rešitev – kaj je prav in kaj se pričakuje.

 

Tina Beranič

Tina Beranič je leta 2018 doktorirala iz računalništva in informatike na Univerzi v Mariboru, trenutno pa je docentka in raziskovalka na mariborski Fakulteti za elektrotehniko in računalništvo. Leta 2017 je pridobila certifikat CISA in leta 2020 naziv PRIS. Dejavna je na področju programskega inženirstva, predvsem kakovosti programske opreme, v okviru raziskovalnega in pedagoškega dela pa se posveča tudi sistemom ERP.

 

Državljanski razvijalci ali senčna informatika? / dr. Boštjan Kežmah

Z vzponom izrazito prodajno naravnanega koncepta državljanskih razvijalcev (angl. citizen developers), katerega namen je pospeševanje prodaje storitev v oblaku, se na področju upravljanja in vodenja informacijskih sistemov soočamo z več vprašanji kot odgovori. Vprašanje, kje je meja med strokovno usposobljenimi informatiki in državljanskimi razvijalci, da z novim konceptom ne uvajamo senčne informatike, še nima enoznačnega odgovora. Z intenzivno vpeljavo generativne umetne inteligence v razvoj zagotavljamo državljanskim razvijalcem čedalje zmogljivejša razvojna orodja. Ali bomo novi koncept sploh lahko uvajali izključno s posodobljenimi metodami upravljanja in vodenja ali bo treba poseči tudi v arhitekturo informacijskega sistema?

 

Dr. Boštjan Kežmah

Dr. Boštjan Kežmah ima obširne izkušnje s področja upravljanja, kibernetske varnosti in revizije informacijskih sistemov, elektronskega poslovanja, metodologij razvoja varnih informacijskih rešitev in računalniške forenzike. Je predavatelj na mnogih dogodkih v Sloveniji in tujini, z izkušnjami v zavarovalništvu, bančništvu, energetiki, telekomunikacijah. Kot član Strokovnega sveta Slovenskega inštituta za revizijo redno spremlja spremembe strokovnih in zakonskih podlag ter aktivno sodeluje pri njihovi razlagi. Je aktiven preizkušeni revizor informacijskih sistemov, sodni izvedenec ter cenilec za informatiko in programsko opremo, presojevalec ISO 27001, z nazivi CISA, CDPSE, CIS Information Security Manager ter DPO Executive.

 

Nadzorniške aktivnosti in bistvene ugotovitve Agencije za javni nadzor nad revidiranjem s poudarkom na IT področju

Mateja Cimerman

V prvem delu predavanja bodo predstavljene bistvene pristojnosti in cilji delovanja Agencije za javni nadzor nad reguliranjem kot regulatorja in javnega nadzornika na revizijskem trgu ter načini njihovega izvajanja. Preventivno regulatorno delovanje agencije je zelo pomembno za ustrezen razvoj in delovanje revizijske stroke, zato bo v tem delu predavanja poudarek na opisu izvajanja in pristojnosti. V drugem delu se bomo posvetili podrobnejši predstavitvi nadzornih nalog agencije nad delom pooblaščenih revizorjev pri opravljanju obveznih revizij, in sicer s kratkim opisom oblik izvajanja nadzora. Malo obširneje pa bodo predstavljeni pristopi agencije k pregledu opravljenega dela pooblaščenih revizorjev na področju pregleda informacijskih tehnologij naročnikov revidiranja. Ker pooblaščeni revizorji običajno nimajo dovolj znanj s tega področja, je ena od njihovih pomembnejših nalog pravilno angažiranje IT veščakov. Zato bo v tem delu predavanja poudarek na predstavitvi pravil sodelovanja med revizorjem in IT veščakom ter nadzorniških ugotovitev agencije s tega področja.

 

Mateja Cimerman

Mateja Cimerman je vršilka dolžnosti direktorja Agencije za javni nadzor nad revidiranjem. Pred tem je opravljala naloge namestnice direktorja in vodje sektorja za nadzor in regulativo, odgovorna za opravljanje nadzorov nad revizijskimi družbami in pooblaščenimi revizorji ter regulatorni del pristojnosti agencije (priprava pravil revidiranja, poročanje in sistem izobraževanja pooblaščenih revizorjev). Na področju mednarodnega sodelovanja je z izmenjavo informacij, strokovnih znanj in najboljših praks kot predstavnica agencije operativno vključena v mednarodni organizaciji Committee of European Auditing Oversight Bodies (CEAOB) in International Forum of Independent Audit Regulators (IFIAR) ter njihove podskupine, predvsem na področjih regulacije, nadzora in sankcioniranja revizijskih družb ter pooblaščenih revizorjev. Je pooblaščena revizorka z veljavnim dovoljenjem za opravljanje nalog pooblaščenega revizorja. Pred zaposlitvijo na agenciji si je pridobivala izkušnje na področju revidiranja v eni od t. i. BIG 4 revizijskih družb. Kot predavateljica sodeluje na različnih seminarjih in konferencah doma in v tujini, pri predmetih Pravila revidiranja ter Kodeks etike in revizorjeva neodvisnost pa sodeluje v izobraževanju bodočih pooblaščenih revizorjev pri Slovenskem inštitutu za revizijo.

 

Zunanja presoja kakovosti notranje revizije – pogled iz prakse

Katjuša Arko

Na predavanju bodo predstavljeni namen in predmet zunanje presoje kakovosti notranje revizije, podlage za njeno izvedbo, sodila za presojanje kakovosti, pogostost izvajanja presoj, izbor zunanjega presojevalca in kriteriji, ki naj jih izpolnjuje, kdo so naročniki in kdo deležniki presoj ter upravljanje njihovih pričakovanj, ključni koraki izvedbe presoje in vsebina poročila ter na kaj je treba biti pozoren pri uvajanju zunanjih presoj kakovosti.

 

Katjuša Arko

Katjuša Arko je direktorica notranje revizije v GENERALI zavarovalnici, d. d. Ima bogate izkušnje s področja zunanjega in notranjega revidiranja ter različnih pregledov skladnosti. Ko je bila zaposlena v družbi KPMG, je izvedla več zunanjih presoj kakovosti notranje revizije v različnih sektorjih, v vlogi notranje revizorke v SID Banki in GENERALI pa je bila tudi sama deležna zunanje presoje. Je imetnica strokovnih nazivov preizkušena notranja revizorka, državna notranja revizorka in revizorka.

 

Pregled kibernetske varnosti pri reviziji računovodskih izkazov

Jaka Borišek in Uroš Žust

Del revizij računovodskih izkazov za družbe, ki so k tovrstnim revizijam zavezane v skladu z Mednarodnimi standardi revidiranja (MSR), predstavlja pridobivanje razumevanja o IT okolju družbe. MSR 315 zahteva, da revizorji pridobijo razumevanje o družbi in njenem sistemu notranjih kontrol, del katerega so tudi kontrole na področju IT-ja ter posledično kibernetska varnost kot del strukture in kompleksnosti IT okolja družbe. V MSR-ju 315 se prav tako zahteva, da revizorji pridobijo razumevanje o postopku upravljanja tveganj v družbi, del katerega so tveganja na področju kibernetske varnosti. Pri tem se pojavi vprašanje, kako je poslovodstvo družbe prepoznalo in ocenilo tveganja na področju kibernetske varnosti. Namen predavanja je prikazati postopke, ki jih revizorji informacijskih sistemov uporabljamo pri ocenjevanju naporov družb, zavezanih za revizijo računovodskih izkazov, za upravljanje tveganj na področju kibernetske varnosti in posledic, ki jih lahko imajo ugotovitve na izvedbo revizije računovodskih izkazov.

 

Jaka Borišek

Jaka Borišek je vodja projektov v oddelku dajanja zagotovil in svetovanja na področju IT-ja v podjetju Mazars IT, d. o. o. Ima več kot pet let izkušenj na področjih revizije informacijskih sistemov, pregledov skladnosti, svetovanja na področju informacijske in kibernetske varnosti ter tehnološkega in finančnega svetovanja, pridobival pa jih je s sodelovanjem s podjetji javnega in zasebnega sektorja v Sloveniji in na Hrvaškem. Tudi nosilec certifikata Certified Information Systems Auditor (CISA) pri ISACA je izvajal pregled kibernetske varnosti pri finančnih revizijah v številnih projektih.

 

Uroš Žust

Uroš Žust je partner v oddelku dajanja zagotovil in svetovanja na področju IT-ja v podjetju Mazars IT, d. o. o. Ima več kot 19 let izkušenj na področjih revizije informacijskih sistemov, kibernetske varnosti, varnostnih pregledov, upravljanja tveganj, korporativnega upravljanja in zagotavljanja skladnosti v širokem spektru industrij tako v Evropi kot v ZDA, kjer je živel pet let in se specializiral za revizije po standardih PCAOB ter kibernetsko varnost v finančnem in igralniškem sektorju. Sicer diplomirani ekonomist (smer Poslovna informatika) na Ekonomski fakulteti Univerze v Ljubljani je pridobil še nazive preizkušeni revizor informacijskih sistemov (PRIS) pri Slovenskem inštitutu za revizijo, Certified Information Systems Auditor (CISA) ter Certified Information Security Manager (CISM) pri ISACA, pa tudi Certified Information System Security Professional (CISSP) pri ISC2 in Project Management Professional (PMP) pri PMI. Hkrati je tudi akreditirani trener na izobraževanjih za certifikate CISA in CISM pri ISACA.

 

Pomen notranje revizije pri preverjanju ustreznosti kibernetske varnosti v finančnih organizacijah (zahteve DORA)

mag. Miha Ozimek

Predstavljene bodo kontrole, ki smo si jih postavili v finančnih institucijah pri pregledu skladnosti z zahtevami DORA, da lahko v letu 2024 preverimo in potrdimo stanje v organizaciji na področju kibernetske varnosti. Pri tem je poudarek na metodologiji tehničnega preverjanja (vdorni testi in testi ranljivosti), upravljanju incidentov in poročanju nadzornikom ter načinu sodelovanja z zunanjimi izvajalci (pogodbena določila, nadzor, izhodne strategije). Notranja revizija je ključen skrbnik preverjanja zahtev, finančne institucije pa bodo o ugotovitvah poročale vsem deležnikom, ki potrebujejo informacije glede skladnosti z zahtevami DORA. Dobre prakse poročanja bodo z razvojem tehničnih standardov (RTS) pripravljene tako, da bodo poenoteni postopki in načini za vse vrste finančnih institucij, pri čemer bodo pomagale tudi EBA, ESMA in EIOPA ter v Sloveniji Banka Slovenije, Agencija za trg vrednostnih papirjev in Agencija za zavarovalni nadzor.

 

mag. Miha Ozimek

Mag. Miha Ozimek, spec. inf. var., PRIS, CISA, CISM, CIA, VP ISO/IEC 27001, 27017, 27018, ISO 22301, EIDAS, je opravil podiplomski magistrski študij informatike ter specialistični študij informacijske varnosti s področja standardov informacijske varnosti in uvajanja politik varovanja informacij v organizacije. Od leta 2007 deluje kot svetovalec in presojevalec sistemov vodenja kakovosti, upravljanja z IT storitvami in varovanja informacij. Zaposlen je v pozavarovalnici Sava Re kot specialist za informacijske sisteme področja notranje revizije. Kot ISO presojevalec SIQ Ljubljana presoja v slovenskih organizacijah, Evropski uniji in državah jugovzhodne Evrope. Poleg tega sodeluje s AKOS-om, Arhivom RS in IP-RS pri pripravi organizacij na izvajanje dela skladno z določili zakonodaje (ZVOP-2, ZEKOM-2, ZVDAGA itd). Od leta 2008 je gostujoči predavatelj na Fakulteti za varnostne vede na področju sistemov varovanja informacij. Izobraževanja je izvajal že za več kot 5000 slušateljev iz različnih organizacij in izobraževalnih ustanov.

Konferenca bo v dvorani Tacit v Grand hotelu Primus na Ptuju. Nastanitev je predvidena v Grand hotelu Primus. Priporočamo čimprejšnjo rezervacijo. Za udeležence/-ke je cena nočitve z zajtrkom v Grand hotelu Primus v enoposteljni sobi 128,00 €.

Rezervacija sobe v Grand hotelu Primus.

Na konferenco se prijavite s prijavnico, ki jo najdete na naši spletni strani. O sprejetju prijave vas bomo obvestili po elektronski pošti. Če boste morebiti zadržani, dodajamo pomembno informacijo, da se morate od konference odjaviti, saj vam bomo sicer zaračunali udeležnino. Obvestilo o odjavi pošljite na naslov info@si-revizija.si. V primeru, da vam že pošljemo gradivo, vam zaračunamo 30 % udeležnine ne glede na razlog odpovedi.

Za udeležnino boste odšteli 536,80 € (22-odstotni davek na dodano vrednost je vračunan). Za pooblaščene revizorje in revizijske družbe, kolektivne člane Slovenskega inštituta za revizijo, pooblaščene ocenjevalce vrednosti in aktivne imetnike strokovnega naziva znaša udeležnina 456,28 € (22-odstotni davek na dodano vrednost je vračunan). Podatke za plačilo konference boste prejeli po elektronski pošti.

Za člane ISACA znaša udeležnina, ob predložitvi dokazila o članstvu, 456,28 evra (22-odstotni davek na dodano vrednost je vračunan).

Podatke za plačilo konference boste prejeli po elektronski pošti.

• Za prijavljenih od 2 do 5 udeležencev iz iste družbe obračunamo 10 % popusta.
• Za prijavljenih več kot 5 udeležencev iz iste družbe obračunamo 15 % popusta.
• Za prijavljenih od 2 do 5 udeležencev iz kolektivnega člana revizijske družbe ali kolektivnega člana pravne osebe obračunamo 20 % popusta.
• Za prijavljenih več kot 5 udeležencev iz kolektivnega člana revizijske družbe ali kolektivnega člana pravne osebe obračunamo 25 % popusta.
Popusti se med seboj ne seštevajo, velja tisti, ki je višji.

Podatke za plačilo konference boste prejeli po elektronski pošti.

Po določbah pravilnikov o priznanju dodatnega izobraževanja se pooblaščenim ocenjevalcem vrednosti, preizkušenim računovodjem, preizkušenim notranjim revizorjem, preizkušenim revizorjem informacijskih sistemov, preizkušenim davčnikom in revizorjem ter pooblaščenim revizorjem za konferenco prizna 15 ur.

Za pooblaščene ocenjevalce vrednosti ima konferenca oznako B.
Za pooblaščene revizorje je Agencija za javni nadzor nad revidiranjem konferenci določila oznako B.

Prijava enega uporabnika

Za prijavo je naprej potrebna registracija v naš sistem SIS. Ob registraciji vnesite svoje ime, priimek, geslo in elektronski naslov. Po uspešni registraciji lahko na portalu ali prek spodnje povezave dostopate do seminarja in se nanj tudi prijavite s klikom na gumb Prijava na seminar.

Prijava več oseb preko podjetja

  • Prva prijava

Za prijavo je naprej potrebna registracija v naš sistem SIS. V sistem naj se registrira ena oseba, ki bo upravljala podatke o podjetju in urejala prijavljene na seminar. Ob registraciji poleg osnovnih podatkov še obvezno izpolnite podatke o podjetju(na to podjetje bomo za vse prijavljene potem izstavili račune). 

Po registraciji na pregledu profila preverite podatke o podjetju in se pomaknite v meni za upravljanje podjetja s klikom na gumb Prijavi se kot upravljalec tega podjetja. Preverite ime podjetja in kliknite Shrani. Prikaže se nadzorna plošča za upravljanje podjetja. S klikom na gumb Uporabniki dostopate do vseh oseb, ki jih upravljate s tem računom. Dodajte potrebne uporabnike. Nato se vrnite na željeni seminar. Na dnu strani bo gumb, ki Vam bo omogočal prijavo prek podjetja. Na tem mestu boste lahko enostavno prijavili uporabnike.

  • Nadaljne prijave

Na dnu pregleda seminarja se bo nahajal gumb za prijavo prek podjetja. Nato se bo izpisal seznam uporabnikov. S klikom na gumb prijava boste uporabnika prijavili na izobraževanje.

Prijava Odjava