28. MEDNARODNA KONFERENCA O REVIDIRANJU IN KONTROLI INFORMACIJSKIH SISTEMOV
22.9.2020 -23.9.2020

Kibernetska varnost postaja vedno pomembnejša v svetu in tudi pri nas. Kako se pripraviti na te nevarnosti, kakšne ukrepe uvesti in kako obvladovati tveganja, povezana s temi nevarnostmi, bomo poizkušali odgovoriti na tokratni konferenci. Mednarodni in domači strokovnjaki s področja akademije, znanosti, hekanja, prava ter tudi revizorji informacijskih sistemov vam bodo predstavili svoje poglede.

Rdeča nit tokratne konference bo ponovno kibernetska varnost, kjer bomo poizkusili seznaniti udeležence s stanjem v Sloveniji, morebitnimi grožnjami in ranljivostmi, kako lahko upravljamo tveganja na tem področju ter kako preverimo stanje organizacije na tem področju. Menimo, da bo konferenca zanimiva tako za revizorje informacijskih sistemov, preizkušene revizorje informacijskih sistemov, notranje in zunanje revizorje, strokovnjake s področja upravljanja tveganj, varovanja informacij, informacijske komunikacijske tehnologije (IKT) ter vodje IKT-ja kakor tudi uporabnike IKT-storitev.

Pripravili smo vrsto zanimivih in aktualnih tem in verjamemo, da bo vsak od udeležencev izvedel novosti, ki jih bo lahko s pridom uporabil pri svojem delu.

Torek, 22. september 2020

9.00–9.30 Registracija udeležencev
9.30–10.00 Uvodni nagovor in podelitev certifikatov
Manuela Šribar, predsednica odbora sekcije PRIS
Dr. Marjan Odar, Slovenski inštitut za revizijo
10.00–10.45 Cybercrime in the coronavirus era (predavanje bo v angleškem jeziku)
Tal Pavel, CyBerau, Izrael
10.45–11.15 Odmor
11.15–12.00 Informacijska varnost v času dela od doma
Dr. Matej Kovačič Inštitut Jožef Štefan
12.00–12.45 Cyber risks down the supply chain: Are you aware of the maturity levels in your supply/provider chain? (predavanje bo v angleškem jeziku)
Martin Rohrer, prof. Rolf von Roessing, FORFA Consulting
12.45–14.15 Odmor za kosilo
14.15–15.00 Cyber Risk Management
Uroš Žust, PricewaterhouseCoopers d.o.o.
15.00–15.45 Varnost osebnih podatkov v sklopu ENISA dobrih praks kibernetske varnosti v pomorstvu
Tina Jereb, Tevž Delak PRO astec, d. o.o.
15.45–16.30 Prihajajoče tehnologije na področju kibernetske varnosti
doc. dr. Marko Hoelbl, dr. dr. Boštjan Kežmah, FERI
17.45 Družabni večer

Sreda, 23. september 2020

8.30–9.15 Tveganja in možnosti kontrol pri rešitvah umetne inteligence
prof. dr. Vili Podgorelec, FERI
9.15–10.00 Kako lahko OWASP pomaga revizorjem?
Milan Gabor, VIRIS d.o.o.
10.00–10.30 Odmor
10.30–11.00 Trendi v kibernetskem kriminalu 2020/2021
mag. Maja Hmelak, Računsko sodišče RS
11.00–11.30 Kibernetska varnost – kako revidiramo robote
Gašper Kranjc, KPMG Slovenija d.o.o.  
11.30–12.00 Izvajanje revizij na daljavo
Manuela Šribar BDO Revizija d.o.o. 
12.00–12.30 Izvajanje presoj sistemov upravljanja varovanja informacij na daljavo
Mladen Terčelj, VZHOD AM, d.o.o. 
12.30–13.45 Odmor za kosilo
13.45–14.15 Od varnosti omrežij in informacijskih sistemov do kibernetske varnosti v Evropski uniji
Jaka Kosmač, Računsko sodišče RS
14.15–14.45 (Samo)ocena kontrol kibernetske varnosti
Matjaž Jekl, Abanka d. d.
14.45–15.15 Al' prav se reče informacijska varnost al' kibernetska varnost
dr. Boštjan Delak, Računsko sodišče RS

Tal Pavel: Cyber Assurance – Cybercrime in the coronavirus era

Opis

Since its early beginning and throughout human history, mankind has suffered from a wide range of influential events which have affected individuals, communities, societies and states. Wars, disasters, pandemics, floods, whether man-made or by the force of nature, we have faced a wide range of catastrophes around the world. Although those events affected masses and some of them caused the loss of lives of millions, there have always been those who have exploited calamities and taken advantage of catastrophes for a variety of purposes: gain political and ideological benefits, spread hatred, stage revolts, stir ethnic unrest and discrimination, as well as the possibility of financial advantages and gains, as asserted by Kratcoski (2018) that “black market and corruption have always flourished during wartime.”

The widespread Internet and its technological means serve noble as well as malicious purposes. The nature of the Internet and its features of speed and virality facilitate the spread of information, news, aid campaigns, and national and international efforts for relief and support. But those characteristics of the Internet also facilitate malicious acts for different purposes including criminal – cybercrime. Stratton (2018) mentions eight types of disaster-relief fraud schemes.

Over the years, authorities and academic research have worked to raise the awareness of the victims, donors and general public for disaster fraud (Cavanagh n.d., Donation Scams in the Wake of a Storm or Disaster 2007) including in educational games to avoid online scams (Baslyman and Chiasson 2016). Currently, we are facing various types of cyberattacks and cybercrimes related to the coronavirus along with cyberattacks (Paganini 2020), ransomware (Nichols 2020), information theft, phishing (Morrison 2020), scams text (Brown 2020) and malware (Wei 2020).

Current data indicate that cybercriminals have already identified the potential of the coronavirus pandemic for various types of malicious online activities. We are witnessing how fast the coronavirus was mobilized for various malicious intentions worldwide, while some of those activities, which have been mentioned by Stratton (2018) and occurred in previous disasters, have already been identified.

O predavatelju

Tal Pavel is the Head of Cybersecurity Studies in the Information Systems Program, at The Academic College of Tel Aviv Yaffo. Lecturer and researcher of Internet, cyber security, cyber threats and cyber policy; Holds a Ph.D. in Middle Eastern Studies from Bar-Ilan University, Israel (Dissertation: “Changes in Governmental Restrictions over the Use of Internet in Syria, Egypt, Saudi Arabia and the United Arab Emirates between the Years 2002 – 2005”); Keynote speaker at international conferences and has been interviewed as an expert cyber commentator on all major Israeli media outlets.

Matej Kovačič: Informacijska varnost v času dela od doma

Opis

Informacijska varnost ni nekaj, kar bi zadevalo samo tehnologijo. Zelo pomemben del varnostnega sistema s(m)o tudi ljudje, na katere so usmerjeni različni napadi socialnega inženiringa. Ob tem ne smemo pozabiti, da kiberkriminalci zmedo in krizne dogodke z veseljem izkoriščajo za svoje namene. Na predavanju si bomo pogledali, kako urediti delo od doma na varnejši način. Najprej si bomo ogledali, katero IT-opremo je smiselno imeti doma, nato pa tudi, kako informacijsko infrastrukturo podjetja prilagoditi za delo v izrednih razmerah. Med njo vsekakor sodijo VPN-rešitve in videokonferenčni sistemi ter orodja za spletno sodelovanje. Če je v preteklosti veljalo, da morajo imeti načrte dela v izrednih razmerah zgolj večje institucije, sedaj kaže, da bo moralo o tem vsaj osnovni premislek narediti praktično vsako podjetje.

O predavatelju

Dr. Matej Kovačič se ukvarja z analitiko podatkov in informacijsko varnostjo. Je avtor več knjig in člankov s področja zasebnosti, informacijske varnosti in digitalne forenzike. Zaposlen je na Institutu Jožef Stefan, na Mednarodnem raziskovalnem centru za umetno inteligenco. Na Univerzi v Novi Gorici je habilitiran kot višji predavatelj za področje informacijske varnosti.

Martin Rohrer, prof. Rolf von Roessing: Cyber risks down the supply chain: Are you aware of the maturity levels in your supply/provider chain?

Opis

(Sub)Outsourcing of infrastructure operations or business processes is standard in most companies and crucial in a world of limited resources. Companies need to focus on their core business while maintaining their flexibility. Along that outsourcing chain, a lot of hidden risks arise if the retained organization is not set up appropriately. We will discuss the full life cycle of an outsourcing contract and focus on risk management, especially business continuity, IT and Cyber Security. Our presentation is based on real life case examples.

O predavatelju

Martin Rohrer has extensive experience as project manager, consultant and auditor for internationally operating companies in the banking sector (focus on Austria and Germany). His expertise is supplemented by planning and structuring interdisciplinary and complex projects. His professional focus is on:
• Project management methods and project planning,
• Outsourcing, vendor/provider selection and transition-projects,
• Regulatory requirements with regards to IT (Germany and Austria)
• Information security, data protection and business continuity management.

Prof. Rolf von Roessing has a business and economics background with a strong IT element. In addition to various international degrees he holds multiple certifications and is considered a senior expert in the global context. He has more than 25 years of experience in line and consulting positions. His areas of expertise include governance, risk management and compliance (GRC) as well as security and business continuity / crisis management. Rolf has been Chairman of Forfa Holding AG since 2008, and assumed a partner / CEO position at the newly founded Forfa Consulting AG in 2017. Prior positions include several years as a partner with KPMG, and previous experience as director with Ernst & Young. Rolf is member of ISACA from 1997 and currently ISACA Chair. He is also honorary Professor, at the Donau-Universität Krems.

Uroš Žust: Cyber Risk Management

Opis

Pomembnost kibernetske varnosti se povečuje že dlje kot zadnje desetletje, trenutna situacija pa samo še dodatno poudarja, zakaj si to področje zasluži toliko pozornosti. Nedavni dogodki so vplivali na veliko intenzivnejše sprejemanje digitalizacije, s katero pa se je hkrati povečal tudi digitalni spekter, ki je potencialno lahko podvržen napadom.

V prispevku bo predavatelj predstavil najnovejše trende na področju kibernetske varnosti, pojasnil, zakaj bi vsa podjetja morala nasloviti kibernetsko varnost, predlagal, kaj morajo podjetja narediti na področju notranjega programa kibernetske varnosti, ter podrobneje opisal nekaj področij kibernetske varnosti, ki jih podjetja v praksi pogosto zanemarjajo.

O predavatelju

Uroš Žust je direktor v oddelku Upravljanja organizacijskih tveganj za jugovzhodno Evropo pri PwC Slovenija. Ima več kot 15 let izkušenj s področij revizije informacijskih sistemov, kibernetske varnosti, varnostnih pregledov, upravljanja tveganj, korporativnega upravljanja in zagotavljanja skladnosti v širokem spektru industrij. Pred PwC je zadnjih 10 let delal za Deloitte & Touche, prvih 5 let na slovenskem trgu, nato pa še 5 let v Las Vegasu v ZDA, kjer se je specializiral za revizije po standardih PCAOB ter kibernetsko varnost v finančnem in igralniškem sektorju.

Uroš je diplomirani ekonomist (smer poslovna informatika) Ekonomske fakultete Univerze v Ljubljani, pridobil pa je še nazive preizkušeni revizor informacijskih sistemov (PRIS) pri Slovenskem inštitutu za revizijo, Certified Information Systems Auditor (CISA) ter Certified Information Security Manager (CISM) pri ISACA kot tudi Certified Information System Security Professional (CISSP) pri ISC2 in Project Management Professional (PMP) pri PMI. Hkrati je tudi akreditirani trener izobraževanj za certifikata CISA in CISM pri ISACA.

Uroš zelo uživa v vlogi predavatelja ter mentorja mlajšim sodelavcem in kolegom iz poslovnih krogov. Njegova želja je, da bi po upokojitvi potoval po svetu in predaval na seminarjih ter opravljal vlogo mentorja, saj je na začetku poslovne poti najbolj pogrešal ravno dobro izobraževanje ter izkušenega in sposobnega mentorja, ki bi mu pomagal na poslovnem področju.

Tina Jereb in Tevž Delak: Varnost osebnih podatkov v sklopu ENISA dobrih praks kibernetske varnosti v pomorstvu: Smernice za kibernetsko varnost

Opis

Varnost ima (v več pogledih) v pomorski in pristaniški dejavnosti že od nekdaj velik pomen. V zadnjem času je zaznati večji poudarek tudi na kibernetski varnosti, za kar se močno zavzema tudi ENISA, ki je pripravila dobre prakse na področju kibernetske varnosti. Pri tem pa ne moremo mimo dejstva, da se v pomorski in pristaniški dejavnosti obdeluje veliko osebnih podatkov. Kako v področje kibernetske varnosti vključiti varstvo in varnost osebnih podatkov? Rdeča nit predavanja bo vprašanje: Kako pomorska in pristaniška dejavnost zastavi načela Privacy By Design & Privacy By Default in kako izpolnjevanje teh načel preverjamo z vidika kibernetske varnosti?

O predavatelju

Tina Jereb je svetovalka za skladnost in varovanje informacij. Ekipi PRO.Consulting, podjetja PRO.astec, d. o. o., se je pridružila v letu 2017. Naročnikom, ki prihajajo iz različnih panog, že dobro desetletje pomaga pri vzpostavljanju skladnosti s standardi in različno področno zakonodajo, ki narekuje varovanje informacij. V sklopu ekipe svetovalcev v podjetju izvaja storitve svetovanja na področjih informacijske varnosti (presojevalec in manager ISO/IEC 27001, notranji presojevalec TISAX), neprekinjenega poslovanja (presojevalec ISO 22301), varstva osebnih podatkov (ISO/IEC 27701, GDPR in ZVOP).

Tevž Delak je višji svetovalec v podjetju PRO.astec, d. o. o., kateremu se je pridružil v začetku leta 2018. Z izzivi na področju informacijske varnosti in revizije informacijskih sistemov se srečuje že dobro desetletje. V sklopu ekipe svetovalcev v podjetju izvaja storitve svetovanja na področjih informacijske varnosti (presojevalec ISO/IEC 27000), neprekinjenega poslovanja (presojevalec ISO 22301), ITSM-procesov (ITIL®4 Foundation), varstva osebnih podatkov in revidiranja IS (CISA).

dr. Marko Hoelbl, dr. Boštjan Kežmah: Prihajajoče tehnologije na področju kibernetske varnosti

Opis

Evropska unija se zaveda pomembnosti področja kibernetske varnosti, zato želi vzpostaviti mreže kompetenčnih centrov kibernestke varnosti. Projekt CyberSec4Europe je bil izbran kot eden izmed 4 projektov, katerih namen je pilotna vzpostavitev in upravljanje delovanja mreže kompetenčnih centrov za kibernetsko varnost ter implementacija skupne usmeritve raziskav in inovacij na tem področju. V okviru predavanja bodo predstavljene tematike, ki so trenutno »vroče« v raziskavah na področju kibernetske varnosti. Med tematike sodi tudi tehnologija veriženja blokov (angl. Blockchain), v sklopu katere smo prijavili tudi patent, povezan z zasebnostjo. Zelo aktualna tematika je prilagodljiva varnost (angl. adaptive security) ter številne druge zanimive tehnologije in pristopi (npr. cyberranges). V okviru predstavitve bomo osvetlili prihodnost področja v smislu razvoja tehnologij in rešitev, ki bodo imele pomembno vlogo v prihodnje. Kibernetska varnost je vse bolj povezana s predpisi, zato bomo predstavili tudi rezultate raziskav na področju GDPR-ja in čezmejne interoperabilnosti na podlagi eIDAS.

O predavatelju

Dr. Marko Hölbl je docent na Fakulteti za elektrotehniko, računalništvo in informatiko Univerze v Mariboru. Raziskovalno se ukvarja z različnimi vidiki kibernetske varnosti, vključno z uporabno kriptografijo, mrežno in internetno varnostjo, uporabniškimi vidiki varnosti, zasebnostjo kakor tudi s tehnologijo veriženja blokov. Vključen je bil v številne aplikativne in mednarodne projekte in je avtor ali soavtor številnih strokovnih in izvirnih znanstvenih člankov v uveljavljenih mednarodnih revijah in znanstvenih srečanjih ter recenzent za številne mednarodnopriznane znanstvene revije. Trenutno je vključen v H2020 projekt CyberSec4Europe in Erasmus+ projekt InSign.

Dr. Boštjan Kežmah je preizkušeni revizor informacijskih sistemov ter sodni izvedenec in cenilec za informatiko in programsko opremo z izkušnjami s področja upravljanja, varnosti in revizije informacijskih sistemov, elektronskega poslovanja, metodologij razvoja varnih informacijskih rešitev in računalniške forenzike.

dr. Vili Podgorelec: Tveganja in možnosti kontrol pri rešitvah umetne inteligence

Opis

Razvoj informacijskih tehnologij je pripeljal do obdobja, v katerem ljudje ustvarjamo, delimo in izmenjujemo čedalje večje količine podatkov. Vpeljava metod umetne inteligence nam vse pogosteje pomaga te obsežne vire podatkov učinkovito obdelati ter nad njimi razviti inovativne informacijske rešitve in storitve, ki prinašajo uporabnikom vedno nove funkcionalnosti. Sočasno z razvojem tehnologij se spreminjajo tudi koncepti njihove uporabe, uporabniki so ozavestili inteligentno obnašanje naprav ter storitev, in to od ponudnikov v vedno večji meri tudi zahtevajo. Podjetja so tako primorana nadgrajevati ter razvijati produkte in rešitve s pomočjo umetne inteligence oziroma z uporabo metod in tehnologij strojnega učenja. Tovrsten razvoj pa predstavlja za razvijalce vse kompleksnejše zahteve in izzive, za revizorje pa nova in pogosto še neznana tveganja. Kljub ogromnemu napredku na področju strojnega učenja je slednje še vedno zahtevna naloga, ki zahteva obilico domenskega znanja. Izhajajoč iz dveh desetletij praktičnih izkušenj, bomo predstavili pogosta tveganja, katerim so izpostavljeni premalo izkušeni razvijalci, ki pod vplivom pogosto prevelikih pričakovanj in nerealnih zahtev vodstva vidijo metode umetne inteligence kot novo »silver bullet« tehnologijo. Nakazali pa bomo tudi možnosti, s katerimi lahko revizorji tovrstne rešitve kontrolirajo in na kaj morajo pri tem paziti.

O predavatelju

Prof. dr. Vili Podgorelec že dobrih 20 let aktivno deluje na področju strojnega učenja in podatkovne znanosti, kjer je pridobil strokovne izkušnje z izvedbo več kot 25 razvojno-raziskovalnih projektov, vezanih na analizo, načrtovanje, implementacijo, integracijo in ovrednotenje inteligentnih informacijskih rešitev. Je avtor več kot 50 izvirnih znanstvenih člankov, treh monografij in več poglavij o podatkovni znanosti, računski inteligenci in programskem inženirstvu. Ima vodilno vlogo pri raziskovanju transparentnega podatkovno-podprtega odločanja ter ekspertno znanje o metodah in tehnologijah strojnega učenja in umetne inteligence, s poudarkom na inteligentni analizi podatkov, napovedovanju in klasifikaciji podatkov, osredotočenih na človeka, pa tudi veliko izkušenj pri načrtovanju in izvajanju kompleksnih napovednih modelov strojnega učenja za industrijske partnerje in mednarodna podjetja z uporabo najsodobnejših pristopov, metod in orodij. Vili Podgorelec je vodja Centra za umetno inteligenco ter prodekan za raziskovalno dejavnost na Fakulteti za elektrotehniko, računalništvo in informatiko Univerze v Mariboru, kjer vodi skupino za inteligentne sisteme. Kot gostujoči profesor in raziskovalec je deloval na več univerzah po svetu, med drugim na Univerzi v Osaki na Japonskem, na Univerzi Sao Paulo v Braziliji, na Univerzi v Nantesu v Franciji, na Univerzi La Laguna v Španiji, na Univerzi na Madeiri na Portugalskem ter na Univerzi Seinäjoki na Finskem. Vabljena predavanja je imel na 15 uglednih mednarodnih konferencah.

Milan Gabor: Kako lahko OWASP pomaga revizorjem?

Opis

OWASP kot neprofitna organizacija ponuja veliko različnih orodij in metodologij, ki lahko pomagajo uporabnikom. Pri tem so sicer primarno mišljeni razvijalci in skrbniki sistemov, vendar so nekatere stvari lahko koristne tudi revizorjem informacijskih sistemov, saj jim lahko pomagajo še boljše opraviti njihovo delo. Tako bomo spoznali različna orodja in metodologije, ki jih OWASP ponuja, da bodo revizije v prihodnje še kvalitetnejše.

O predavatelju

Milan Gabor je certificirani etičnih heker in rad analizira, kreka, heka in uničuje razne informacijske sisteme. Je lastnik in direktor podjetja Viris. Poleg vsega tega uživa v predavanjih in obiskih hekerskih konferenc. Še vedno sanja o letenju z jadralnim padalom.

Maja Hmelak: Trendi v kibernetskem kriminalu 2020/2021

Opis

Izbruh koronavirusa, ki je v letu 2020 ustavil večino gospodarskih panog, je vplival tudi na sektor spletnega kriminala. Čas, ki so ga uporabniki spletnih storitev v času pandemije preživeli pred zasloni, je povečal število tarč spletnih kriminalcev. Negotovosti, ki so izvirale iz kriznih okoliščin, so povzročile vrsto osebnih stisk, te pa so številne uporabnike dodatno izpostavile spletnim prevaram in celo zelo resnim grožnjam. Povečalo se je tudi število poslovnih prevar, zlasti prevar, ki za vstopni vektor uporabljajo poslovno elektronsko pošto (angl. Business Email Compromise, krat. BEC) in izkoriščajo odsotnost osebnih stikov.

Svet spletnega kriminala doživlja tudi čedalje večjo specializacijo tako po vrstah napadov kot po funkciji posameznih kriminalnih skupin v samih napadih. To omogoča, da se v kriminalne aktivnosti vključujejo tudi posamezniki z razmeroma zelo nizko stopnjo tehničnega znanja. Po ocenah nekaterih analitikov v 2020 več kot polovica kibernetskih kriminalnih dejanj ni več temeljila na uporabi škodljive programske kode.

Koronavis je po drugi strani povečal zelo tehnično zahtevne napade, ki jih izvajajo paradržavne skupine hekerjev nacionalnih držav, zlasti napade na laboratorije, ki virus raziskujejo ali ki razvijajo cepivo. Kljub temu da znanstvena skupnost praviloma vsa svoja odkritja zelo hitro deli, bi namreč odkritje cepiva za vsako državo predstavljalo določen prestiž in veliko prednost. Nacionalne države so (domnevno) sponzorirale tudi vrsto drugih kibernetskih napadov.

V prispevku bomo kratko predstavili nekatere pomembne trende spletnega kriminala 2020 in nekaj bolj znanih analitičnih poročil s tega področja.

O predavatelju

Maja Hmelak je strokovna sodelavka na Računskem sodišču Republike Slovenije. Njeno posebno strokovno področje so revizije učinkovitosti, uspešnosti in gospodarnosti delovanja informacijskih tehnologij. Pred tem je vrsto let delala kot revizorka informacijskih sistemov v finančnih institucijah, proizvodnih in trgovskih organizacijah v različnih evropskih državah.

Gašper Kranjc: Kibernetska varnost – kako revidiramo robote?

Opis

Sodobne tehnologije organizacijam omogočajo nove možnosti digitalizacije dela. Nudijo podporo ponavljajočim, transakcijsko intenzivnim segmentom poslovnih procesov brez sodelovanja človeka in se spogledujejo z avtomatizacijo intelektualnega dela na osnovi elementov umetne inteligence. Programski robot, ki igra vlogo človeka, lahko dela 24 ur dnevno, 365 dni v letu, in je pri marsikateri nalogi lahko učinkovitejši od človeka. Na predavanju bo fokus na tehnologiji RPA – Robotic Process Automation, principih njenega vključevanja v podjetje, vplivu na posamezne funkcije organizacije in koristih vpeljave. Predstavljeni bodo pomisleki ob uvedbi tehnologije, področja tveganj pri napredni avtomatizaciji procesov in možen pristop k revidiranju s primeri kontrol.

O predavatelju

Gašper Krajnc v okviru mednarodne svetovalno-revizijske hiše od leta 2013 vodi in izvaja projekte informacijskega svetovanja in različne IT-revizijske posle. Pred tem je kot projektant 10 let načrtoval, razvijal in uvajal informacijske sisteme in rešitve za podporo odločanju v različnih panogah gospodarstva in državni upravi. Ima certifikate s področij analize poslovanja (CBAP), projektnega vodenja (Prince2 Practitioner) in razvoja baz podatkov (Microsoft). Pri organizaciji ISACA je pridobil certifikat CISA in pri Slovenskem inštitutu za revizijo naziv preizkušeni revizor informacijskih sistemov.

Manuela Šribar: Izvajanje revizij na daljavo

Opis

Kot kaže, bo delo na daljavo (p)ostalo stalnica v prihodnje, tudi na področju revidiranja. Predstavitev bo zajemala praktične izkušnje pri izvajanju različnih revizij na daljavo. Pri tem se revizorji soočamo z več izzivi, katerih načini reševanja bodo na kratko predstavljeni:
• varnost načina komunikacije (ustne, pisne in izmenjava dokumentacije) s strankami,
• zagotavljanje istovetnosti prejete dokumentacije,
• testiranje na daljavo - je sploh mogoče???,
• usklajevanje skupinskega dela ipd.

O predavatelju

Manuela Šribar je od leta 2000 zaposlena v družbi BDO Revizija, d. o. o., je pooblaščena revizorka in preizkušena revizorka informacijskih sistemov, licencirana pri Slovenskem inštitutu za revizijo. Pridobila je tudi licenco CISA pri ISACA in je državna notranja revizorka. Je tudi predsednica odbora sekcije revizorjev informacijskih sistemov pri Slovenskem inštitutu za revizijo. Vodila in izvajala je številne samostojne revizije informacijskih sistemov, revizije informacijskih sistemov kot del notranjerevizijske funkcije in preglede splošnih ter aplikativnih kontrol za namene revizij računovodskih izkazov domačih in mednarodnih podjetij s področja storitev, trgovine, proizvodnje, elektrogospodarstva, različnih organizacij javnega sektorja in finančnega sektorja. Kot pooblaščena revizorka ima znanje tudi s področja revizij računovodskih izkazov in sorodnih storitev. V okviru BDO je vključena tudi v skupino, ki svetuje in pomaga organizacijam zagotoviti skladnost z novo Uredbo o varstvu osebnih podatkov. Je soavtorica slovenskega dela knjige Interpretacija poslovnih poročil in računovodskih izkazov in avtorica več člankov s področja računovodskih standardov, analize podjetij, gospodarskih prevar in priprave letnih poročil.

 

Mladen Terčelj: Izvajanje presoj sistemov upravljanja varovanja informacij na daljavo

Opis

Z uvedbo ukrepov za zmanjševanje prenosa virusa COVID-19 se je tudi na področju presoj sistemov vodenja marsikaj spremenilo. Neposrednega srečanja ni bilo več, zato smo morali preiti na delo izključno preko spleta.

V predstavitvi bom prikazal, kako smo se lotili tega z uvedbo spremenjenih pravil, s katerimi smo lahko zagotovili verodostojno presojo sistemov vodenja pri posamezni organizaciji. Pravila so se nanašala tako na obseg rednih in certifikacijskih ter obnovitvenih presoj kot na uporabo orodij za izvajanje takega načina dela. Osvetlil bom prednosti in ne nazadnje tudi pomanjkljivosti, ki so se na novo pojavile pri teh aktivnostih in katere smo redno obravnavali med skupinami presojevalcev zaradi zmanjševanja pomanjkljivosti.

O predavatelju

Mladen Terčelj je vodilni presojevalec sistema upravljanja varovanja informacij in aktivni preizkušeni revizor informacijskih sistemov. Mladen ima 17 let izkušenj s presojo in revizijo varovanja informacij po standardih skupine ISO/IEC 27K.

Jaka Kosmač: Od varnosti omrežij in informacijskih sistemov do kibernetske varnosti v Evropski uniji

Opis

Evropska unija je že zgodaj prepoznala, da imajo omrežja in informacijski sistemi ključno vlogo v družbi. Predvsem, da sta njihova zanesljivost in varnost bistveni za gospodarske in družbene dejavnosti ter delovanje notranjega trga, zato je leta 2016 sprejela Direktivo o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (direktivo NIS). Cilj direktive NIS je bil tako predvsem zagotavljanje visoke skupne ravni varnosti omrežij in informacijskih sistemov v Evropski uniji, v zadnjih letih pa je slednja večji poudarek namenila področju kibernetske varnosti. Med drugim je Evropska unija aprila 2019 sprejela Akt o kibernetski varnosti, s katerim je vzpostavila sistem vseevropskih certifikacijskih shem in s katerim se je Agencija Evropske unije za varnost omrežij in informacij – ENISA preimenovala v Agencijo Evropske unije za kibernetsko varnost. V maju 2019 pa je Evropska unija vzpostavila okvir, na podlagi katerega lahko naloži sankcije in ciljno usmerjene omejevalne ukrepe za odvračanje in odzivanje na kibernetske napade. Evropsko računsko sodišče je v letu 2019 izdalo informativni dokument – Izzivi za uspešno politiko EU za kibernetsko varnost, v katerem je opravilo pregled kompleksne politike Evropske unije na področju kibernetske varnosti ter opredelilo glavne izzive za njeno uspešno izvajanje. Evropsko računsko sodišče v dokumentu obravnava širok nabor s področja kibernetske varnosti, in sicer varnost omrežij in informacijskih sistemov, kibernetsko kriminaliteto, kibernetsko obrambo in dezinformacije. Evropsko računsko sodišče je na podlagi analize opredelilo 10 izzivov, med katerimi so tudi boljša izmenjava informacij in usklajevanje, uspešno zaznavanje in odziv ter zaščita kritične infrastrukture in družbenih funkcij.

Po izbruhu pandemije novega koronavirusa pa se je kibernetska varnost v Evropski uniji izkazala še za toliko pomembnejšo, saj so se morale številne institucije in gospodarske družbe dobesedno čez noč prilagoditi tej novo nastali situaciji in urediti vse potrebno za delo na daljavo, to pa s seboj prinese tudi številne nove ranljivosti za uporabnike ter izzive za strokovnjake. V okviru predavanja bom predstavil izzive, ki jih je opredelilo Evropsko računsko sodišče, in prihajajoče trende na področju kibernetske varnosti v Evropski uniji. Prav tako bom predstavil izzive, s katerimi se je Evropska unija na področju kibernetske varnosti soočila po izbruhu pandemije novega koronavirusa

O predavatelju

Jaka Kosmač je univerzitetni diplomirani pravnik s pravniškim državnim izpitom. Po diplomi se je zaposlil na Združenju občin Slovenije, kjer je sodeloval pri izvajanju revizij Skupne notranje revizijske službe in pomagal pri organizaciji izobraževanj, srečanj in dogodkov. Kariero je nadaljeval na Komisiji za preprečevanje korupcije, kjer je delo začel kot svetovalec za preventivo in integriteto, kasneje pa je napredoval v vodjo projektov za integriteto, eno leto je vodil tudi področje mednarodnega sodelovanja. Na področju boja proti korupciji je večkrat sodeloval tudi z Organizacijo za gospodarsko sodelovanje in razvoj, v okviru tega sodelovanja pa je med drugim napisal tudi prispevek o lobiranju in imel več predstavitev. Računskemu sodišču se je pridružil leta 2015, in sicer oddelku za revizije smotrnosti poslovanja. V okviru nalog na računskem sodišču je sodeloval pri zelo raznolikih revizijah smotrnosti, in sicer od okoljskih do IT-revizij. V letu 2018 je pridobil tudi naziv državni revizor.

Matjaž Jekl: (Samo)ocena kontrol kibernetske varnosti

Opis

Časi, ko je bila za kibernetsko varnost pomembna samo protivirusna programska oprema in požarna pregrada, so mimo. Neprestano smo priča novim razkritjem o ranljivostih, ki jih sistemi že privzeto vsebujejo, vse več je naprednih, ciljanih napadov. Za zagotavljanje ustrezne kibernetske varnosti se je treba pošteno potruditi. Učinkovitost obrambe pred kibernetskimi grožnjami lahko ocenimo z oceno kontrol kibernetske varnosti. Poznati moramo kontrole, ki so na voljo in pred katerimi tveganji nas ščitijo. Prepoznati pa moramo seveda implementirane kontrole v sistemih, ki jih pregledujemo. Na voljo je kar nekaj praktičnih pristopov.

O predavatelju

Mag. Matjaž Jekl je zaposlen v bančništvu, njegovo najpomembnejše področje je informacijska varnost. Ima delovne izkušnje s področja sistemov, računalništva in informatike, od modeliranja, simulacij ter računalniškega vodenja procesov, računalniških komunikacij, interneta, razvoja programske podpore do področij informacijske varnosti, upravljanja tveganj in svetovanja. Ima tudi večletne izkušnje z revidiranjem informacijskih sistemov, je nosilec nazivov CISA in preizkušeni revizor informacijskih sistemov.

Boštjan Delak: Al' prav se reče informacijska varnost al' kibernetska varnost

Opis

Varovanje informacij je eno izmed najpomembnejših aktivnosti vsake organizacije. Večina ob besedni zvezi varovanje informacij pomisli na varovanje informacijskih sistemov. Tudi prevajalci ISO/IEC 27001:2013 niso enotni, ali govorimo o varovanju informacij ali o informacijski varnosti. Pojavljajo se kratice SUVI, SUIV in druge. V zadnjem času se vedno več govori o kibernetski varnosti – predavanje bo skušalo odgovoriti na vprašanje, Al' prav se reče informacijska varnost al' kibernetska varnost.

O predavatelju

Dr. Boštjan Delak je je zaposlen kot svetovalec za revizijsko statistiko na Računskem sodišču Republike Slovenije. Ima več kot 38 let delovnih izkušenj, od tega več kot 20 let z analizami informacijskih sistemov, in več kot 14 let z revizijami informacijskih sistemov. Je tudi docent za področje informatike in stalni predavatelj na Fakulteti za informacijske študije v Novem mestu ter občasno predava na drugih fakultetah v Sloveniji. Njegovi raziskovalni interesi so analize informacijskih sistemov, skrbni pregledi informacijskih sistemov in upravljanje znanja.

Dvorana Planica, hotel Ramada, Kranjska Gora

Nastanitev je predvidena v hotelu Ramada Resort, telefon (04) 588 41 00, e-naslov: info@hit-alpinea.si.
Priporočamo Vam čim prejšnjo rezervacijo, navedite tudi, da ste udeleženec konference.
Za udeležence konference znaša nočitev z zajtrkom 85 evrov.

Na konferenco se prijavite s prijavnico preko spletne strani oz. portala SIS. Zaradi organizacije vas prosimo, da se prijavite najpozneje do 15. septembra 2020. O sprejetju prijave vas bomo obvestili z elektronsko pošto. Opozarjamo vas tudi, da se morate, če boste morebiti zadržani, od konference odjaviti, ker vam bomo v nasprotnem primeru zaračunali udeležnino. Odjavo pisno sporočite na e-naslov info@si-revizija.si.

Za udeležnino na konferenci boste odšteli 439,20 € (22-odstotni davek na dodano vrednost je vračunan). Za pooblaščene ocenjevalce vrednosti, aktivne imetnike strokovnega naziva in člane Inštituta, znaša udeležnina 373,32 € (22-odstotni davek na dodano vrednost je vračunan).

Podatke za plačilo konference boste prejeli po elektronski pošti.

Po določbah pravilnikov o priznanju dodatnega izobraževanja se pooblaščenim revizorjem, pooblaščenim ocenjevalcem vrednosti, preizkušenim računovodjem, preizkušenim notranjim revizorjem, preizkušenim revizorjem informacijskih sistemov, preizkušenim davčnikom in revizorjem za konferenco prizna 16 ur.

Za pooblaščene ocenjevalce vrednosti ima konferenca oznako B.
Za pooblaščene revizorje je Agencija za javni nadzor na revidiranjem konferenci določila oznako B.