20. konferenca - ISACA
20. konferenca - ISACA
20. konferenca - ISACA
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Slovenski inštitut za revizijo<br />
Slovenski odsek <strong>ISACA</strong><br />
<strong>ISACA</strong> Slovenia Chapter<br />
Dunajska cesta 106 Dunajska cesta 106<br />
SI-1000 Ljubljana, Slovenija<br />
SI-1000 Ljubljana, Slovenija<br />
info@si-revizija.si, www.si-revizija.si<br />
info@isaca.si, www.isaca.si<br />
Slovenski inštitut za revizijo ter<br />
Slovenski odsek <strong>ISACA</strong> (Information System Audit and Control Association –<br />
Združenje za revizijo in kontrolo informacijskih sistemov)<br />
prirejata<br />
<strong>20.</strong> mednarodno konferenco<br />
o revidiranju in kontroli informacijskih sistemov<br />
Konferenčni del:<br />
torek, 25., in sreda, 26. september 2012, Grand hotel Primus, Ptuj<br />
Delavnica:<br />
četrtek, 27., in petek, 28. september 2012, Ljubljana<br />
Programski in organizacijski odbor<br />
<br />
<br />
<br />
<br />
Boža Javornik, CISA, CISM, PRIS, predsednica<br />
Renato Burazer, CISA, CISM, CGEIT, CRISC, član<br />
mag. Marko Jagodic, CISA, CRISC, PRIS, član<br />
dr. Borut Jereb, CISA, CISM, CGEIT, PRIS, član<br />
<br />
<br />
<br />
mag. Boštjan Kežmah, CISA, PRIS, član<br />
dr. Aleš Živkovič, CISA, PRIS, član<br />
Uroš Žust, CISA, CISM, PRIS, član<br />
1. Informacije o konferenci<br />
Prijave pošljite na naslov: Slovenski inštitut za revizijo, Dunajska<br />
cesta 106, 1000 Ljubljana, po faksu (01) 568-63-32 ali po<br />
elektronski pošti info@si-revizija.si. Prijavnice najdete tudi na<br />
spletni strani www.si-revizija.si.<br />
Udeležnina z DDV znaša 432,00 €; vanjo so vračunani gradivo,<br />
skupna večerja in okrepčila med odmori. Za imetnike strokovnih<br />
nazivov, ki jih podeljuje Slovenski inštitut za revizijo, ki<br />
so do dneva prijave na konferenco vložili zahtevo za objavljanje<br />
svojih podatkov v reviji Revizor oziroma na naših spletnih<br />
straneh, in za osebe, ki imajo na dan prijave na konferenco<br />
veljavno dovoljenje za opravljanje nalog revizorja, pooblaščenega<br />
revizorja oziroma pooblaščenega ocenjevalca vrednosti,<br />
znaša udeležnina skupaj z gradivom 367,20 €. 20-odstotni<br />
davek na dodano vrednost je vračunan v obeh primerih.<br />
Udeležnino nakažite na poslovni račun Slovenskega inštituta<br />
za revizijo, številka je 02085-0015504554, pri Novi Ljubljanski<br />
banki, d. d., do <strong>20.</strong> septembra 2012. V polje za sklicevanje<br />
na številko vpišite 00 33-12.<br />
Nastanitev je predvidena v hotelu Grand Hotelu Primus na<br />
Ptuju; priporočamo rezervacijo do 25. avgusta 2012, po telefonu<br />
02-74 94 500 ali elektronski pošti rezervacije@termeptuj.si.<br />
Ob rezervaciji navedite, da ste udeleženec konference<br />
Slovenskega inštituta za revizijo.<br />
Udeležba<br />
Pričakujemo, da se bodo konference udeležili člani Slovenskega<br />
odseka <strong>ISACA</strong> in člani Sekcije za revizijo informacijskih sistemov<br />
(odslej IS) pri Slovenskem inštitutu za revizijo. Glede na<br />
teme, ki bodo obravnavane na konferenci, priporočamo udeležbo<br />
pooblaščenim revizorjem, revizorjem in preizkušenim notranjim<br />
revizorjem. Vprašanja o varnem delovanju IS, zlasti<br />
vprašanja o dobrem načinu kontroliranja in obvladovanja razvoja<br />
informacijskih rešitev v praksi, ki bodo obravnavana na konferenci,<br />
pa so zanimiva za vse vodilne delavce organizacijskih<br />
enot za računalniško obravnavanje podatkov, katerih skrb je<br />
oblikovanje notranjih kontrol, ki zagotavljajo varno in neprekinjeno<br />
delovanje IS ter obvladovanje poslovnih in operativnih tveganj<br />
na področjih informatike v bančništvu, zavarovalništvu,<br />
državni upravi, trgovini in proizvodnji.<br />
Nekatera predavanja na konferenci bodo v angleškem<br />
jeziku!<br />
Po določbah pravilnikov o priznanju dodatnega izobraževanja<br />
se pooblaščenim revizorjem, pooblaščenim ocenjevalcem vrednosti,<br />
preizkušenim računovodjem, preizkušenim notranjem<br />
revizorjem, preizkušenim revizorjem informacijskih sistemov,<br />
preizkušenim davčnikom in revizorjem za konferenco prizna<br />
16 ur.<br />
Oznaka konference:<br />
za pooblaščene revizorje: A<br />
za pooblaščene ocenjevalce vrednosti: B<br />
Povabilo udeležencem, maj 2012 Stran 1/7
<strong>20.</strong> mednarodna <strong>konferenca</strong> o revidiranju in kontroli IS, september 2012<br />
2. Informacije o delavnici<br />
Delavnica: COBIT 5; Izvajalec dr. Derek J. Oliver<br />
Delavnica bo ponudila obravnavo vsebin, ki vplivajo na vodenje<br />
in organizacijo IT, prispevala k razumevanju načel<br />
upravljanja in vodenja ter kako lahko COBIT 5 pomaga pri<br />
tem za doseganje posameznih ciljev. Obravnavana bodo<br />
načela in orodja, ki jih ponuja COBIT 5. V nadaljevanju bodo<br />
podane praktične usmeritve pri uvedbi COBIT 5, kako se le<br />
te razlikujejo od COBIT 4.1. in kaj je smiselno storiti v primeru<br />
prehoda.<br />
Udeležnina za delavnico znaša 342,00 €. V ceno je vračunan<br />
davek na dodano vrednost. Vanjo so všteti učno gradivo<br />
ter okrepčila med odmori. Za imetnike strokovnega naziva,<br />
ki so do dneva prijave na konferenco vložili zahtevo za<br />
objavljanje svojih podatkov v reviji Revizor oziroma na naših<br />
spletnih straneh, in za osebe, ki imajo na dan prijave na<br />
konferenco veljavno dovoljenje za opravljanje nalog revizorja,<br />
pooblaščenega revizorja oziroma pooblaščenega ocenjevalca<br />
vrednosti, je udeležnina skupaj z gradivom 290,70 €.<br />
20-odstotni davek na dodano vrednost je vračunan.<br />
Udeležnino nakažite na poslovni račun Slovenskega inštituta<br />
za revizijo, številka je 02085-0015504554, pri Novi Ljub-<br />
ljanski banki, d. d., do <strong>20.</strong> septembra 2012. V polje za sklicevanje<br />
na številko za delavnico Cobit 5 – uporaba v praksi<br />
vpišite 00 34-11.<br />
Po določbah pravilnikov o priznanju dodatnega izobraževanja<br />
se pooblaščenim revizorjem, pooblaščenim ocenjevalcem<br />
vrednosti, preizkušenim računovodjem, preizkušenim notranjim<br />
revizorjem, preizkušenim revizorjem informacijskih sistemov,<br />
preizkušenim davčnikom in revizorjem za delavnico<br />
prizna 14 ur.<br />
Oznaka delavnice:<br />
za pooblaščene revizorje: A<br />
za pooblaščene ocenjevalce vrednosti: B<br />
Urnik delavnice, četrtek, 27., in petek, 28. septembra<br />
2012 (oba dneva)<br />
9.00 – 10.30 predavanje<br />
10.30 – 11.00 odmor<br />
11.00 – 12.30 predavanje<br />
12.30 – 13.30 kosilo<br />
13.30 – 15.00 predavanje<br />
15.00 - 15.30 odmor<br />
15.30 – 17.00 predavanje<br />
3. Iz vsebine konference<br />
Zagotavljanje varnega delovanja IS postaja vse pomembnejša sestavina upravljanja poslovnih sistemov. Po Mednarodnih<br />
standardih revidiranja je ocena zanesljivosti IS ena od pomembnih sestavin pri revidiranju računovodskih izkazov. Da je tako<br />
tudi v Sloveniji, lahko sklepamo iz izvedbenih predpisov nadzornikov na področju bančništva, zavarovalništva in drugih finančnih<br />
storitev, kjer je ocena IS pomembna obvezna sestavina letnega poročila, ki ga je treba predložiti regulatorjem. Slovenski<br />
inštitut za revizijo in Slovenski odsek <strong>ISACA</strong> si prizadevata, da bi se začeli zavedati pomena obvladovanja tveganj v zvezi z<br />
delovanjem IS v vseh okoljih. Na dosedanjih <strong>konferenca</strong>h so bile predstavljene nekatere strokovne podlage za kontrolo in revizijo<br />
IS ter nekatere izkušnje v svetu. Letos smo nosilne teme posvetili upravljanju varnosti IS s poudarkom na operativnem<br />
preverjanju in več je prispevkov s področja revizijske prakse, nekaj prispevkov pa bo naravnanih k izzivom informacijske tehnologije<br />
v modelu storitev v oblaku.<br />
Da se boste laže odločili za udeležbo na 1<strong>20.</strong> konferenci, vam bomo v nadaljevanju predstavili predavanja na njej.<br />
Kaj so prednosti CobIT 5<br />
(What is Added Value Moving to CobIT 5)<br />
Derek J Oliver, Consultants, Ravenswood, UK<br />
Predavanje se bo ukvarjalo z odgovori na vprašanji: ali je<br />
infromacijska tehnologija »črna luknja« v kateri izginjajo<br />
sredstva podjetja brez vidnih učinkov in kakšeno vrednosti<br />
je pričakovati od investicij v tehnologijo? Ob tem bodo obravnavana<br />
načela iz COBIT 5 in kako le ta obravnavajo potrebe<br />
vseh deležnikov v zvezi z dodano vrednostjo tehnologije.<br />
COBIT 5 ponuja orodja, ki jih je mogoče uporabiti in s tem<br />
povečati zagotovilo za doseganje želenih učinkov investicij v<br />
IT. V zaključku bo predstavljeno kako celoten model, ki ga<br />
predstavlja COBIT 5 prinaša za rezultate za celovito vodenje<br />
in upravljanje.<br />
Varstvo osebnih podatkov in računalništvo v<br />
oblaku – Smernice Informacijskega pooblaščenca<br />
Andrej Tomšič, namestnik informacijske pooblaščenke<br />
Računalništvo v oblaku obljublja dostopnost do računalniških<br />
zmogljivosti iz katerekoli lokacije na ekonomičen, prilagodljiv<br />
in nadgradljiv način, zato ne preseneča, da se za<br />
oblak zanima čedalje več organizacij, ki obdelujejo osebne<br />
podatke. To pa neizogibno poraja dvome glede skladnosti z<br />
zakonodajo na področju varstva osebnih podatkov in zasebnosti.<br />
Zlasti javne oblike računalništva v oblaku vzbujajo<br />
pomisleke, ki izvirajo iz narave računalništva v oblaku, ki<br />
prinaša specifična tveganja, ta pa se kažejo predvsem na<br />
področju ureditve pogodbene obdelave oz. zunanjega izvajanja<br />
storitev, informacijske varnosti oz. zavarovanja osebnih<br />
podatkov ter izvoza podatkov v tretje države. Informacijski<br />
pooblaščenec je zato konec leta 2011 pričel s pripravo<br />
smernic v sodelovanju s predstavniki slovenskih odsekov<br />
CSA in <strong>ISACA</strong> ter združenja EUROCLOUD. Smernice naj bi<br />
pripomogle k dvigu stopnje ozaveščenosti predvsem o tveganjih,<br />
ki jih prinaša obdelava osebnih podatkov v oblaku, s<br />
pomočjo kontrolnega seznama pa tudi ponudile jasnejšo sliko<br />
o zahtevah zakonodaje o varstvu osebnih podatkov.<br />
Stran 2/7 Povabilo udeležencem, maj 2012
<strong>20.</strong> mednarodna <strong>konferenca</strong> o revidiranju in kontroli IS, september 2012<br />
Izzivi v oblaku: Ali so revizorji pripravljeni na nove<br />
vremenske razmere?<br />
Damir Savanović, CISA, CISM, PRIS, CCSK, Cloud<br />
Security Alliance, Slovenia Chapter<br />
Prehod podjetij iz uporabe lastne tehnološke infrastrukture v<br />
računalništvo v oblaku je eden izmed najbolj pomembnih<br />
trendov zadnjih let. Ker pogosto predstavlja znaten prihranek,<br />
se zanj odloča čedalje več malih in srednjih organizacij,<br />
a tudi že velikih organizacij. Vendar pa selitev v oblak z vidika<br />
naročnika sproža vrsto vprašanj, kot so korporativno<br />
upravljanje, upravljanje s tveganji in skladnost (GRC), pri<br />
čemer ima pomembno vlogo tudi revizor informacijskih sistemov.<br />
V predstavitvi bomo povzeli mehanizme za nazor<br />
nad ponudnikom storitev računalništva v oblaku. Poleg tega<br />
bomo pogledali razpoložljive načine pridobivanja zagotovil o<br />
delovanju kontrol, ki jih potrebujejo revizorji informacijskih<br />
sistemov, notranji revizorji, revizorji računovodskih izkazov<br />
ter različni zunanji nadzorniki in inšpektorji ter izzive, ki so s<br />
tem povezani.<br />
Načrtovanje in izvedba pregleda varovanja notranjega<br />
omrežja<br />
Peter Grasselli, CISA, PRIS, CISSP, ITAD, d. o. o.<br />
Računalniško omrežje je najpomembnejši komunikacijski<br />
kanal v organizaciji, prek katerega se pretakajo različne<br />
informacije od transakcij ključnih poslovnih procesov, finančnih<br />
transakcij, poslovne in zasebne komunikacije do strategij<br />
in osebnih podatkov. Ob pregledu varovanja omrežja je<br />
revizor postavljen pred izziv, kako učinkovito izvesti pregled<br />
tega področja z velikim inherentnim tveganjem ter sočasno<br />
zagotoviti sprejemljivo stopnjo revizijskega tveganja. Pri tem<br />
mu, ob vedno bolj omejenih virih za izvedbo pregleda, ni<br />
prav nič v pomoč dejstvo, da omrežja stalno rastejo in postajajo<br />
kompleksnejša. V predavanju bo predstavljen večkrat<br />
izveden pristop k pregledu varovanja omrežja, ki z izvedbo<br />
revizijskih programov <strong>ISACA</strong>, podprtih z analitičnimi metodami<br />
in avtomatiziranimi postopki lovi ravnotežje med trojico:<br />
stroški, obseg pregleda, revizijsko tveganje.<br />
Revidiranje družbenih medijev<br />
(Auditing social media)<br />
Matjaž Pušnik, CISA, CRISC, PRIS<br />
Družbeni mediji (angl. social media) so mediji, ki se uporabljajo<br />
za izmenjavo novic, mnenj in izkušenj med uporabniki<br />
spleta. Družbeni mediji so postali del vsakdanje uporabe<br />
podjetij. Podjetja uporabljajo družbene mediji za komunikacijo,<br />
trženje, prodajo, podporo uporabnikom in druge poslovne<br />
namene. Uporaba družbenih medijev ima prednosti in<br />
slabosti. Pred tveganji in možnimi zlorabami niso varna<br />
niti podjetja, niti zasebni uporabniki. Revizorji pomena in<br />
vpliva družbenih medijev v revizijah ne smemo zanemariti.<br />
Pri revidiranju družbenih medijev si lahko pomagamo z<br />
okvirjem COBIT za revidiranje družbenih medijev. V prispevku<br />
bo predstavljeno revidiranje družbenih medijev, kot so<br />
WordPress, Twitter, AOL Instant Messenger, Skype, Flickr,<br />
Youtube, Facebook, Myspace, LinkedIn.<br />
Revizija IS kot revizija smotrnosti<br />
Anica Bratanič Grandovec, PRIS, preizkušena državna<br />
revizorka, Računsko sodišče RS<br />
Revizijo informacijskih sistemov lahko na računskem sodišču<br />
izvajamo tudi kot revizijo smotrnosti. V skladu z zakonodajo<br />
računsko sodišče v njej lahko izreka mnenje o gospodarnosti,<br />
učinkovitosti ali uspešnosti poslovanja. Pri načrtovanju<br />
in izvajanju revizij smotrnosti poslovanja se uporabljajo<br />
revizijski standardi INTOSAI in evropske smernice, za<br />
revizije smotrnosti poslovanja pa se uporabljajo tudi Implementacijske<br />
smernice za revizijo smotrnosti poslovanja<br />
ISSAI 3000, ki v dodatku 5 Revizija smotrnosti in informacijska<br />
tehnologija vsebujejo napotila za revidiranje informacijskih<br />
sistemov.<br />
Na vrhovnih revizijskih institucijah revidirajo in poročajo o IT<br />
v revizijskih poročilih na različne načine, predstavljen bo<br />
način poročanja v NAO 1 in GAO 2 .<br />
Vpliv motiviranosti revizorjev IS<br />
na njihovo učinkovitost<br />
mag. Igor Karnet, CISA, CIA, CGEIT, CISM, CRISC,<br />
PRIS<br />
Kot izhodišče bodo predstavljene konkretne ovire in težave,<br />
s katerimi se srečujejo tako revidiranci, kakor vsi tisti, ki najemajo<br />
storitve revizorjev IS, zaradi česar vedno ne uspejo zagotoviti,<br />
da bi od revizorjev dobili to in toliko kot pričakujejo.<br />
Podoben problem imajo tudi predstojniki (notranje)revizijskih<br />
služb, ki morajo zagotoviti čim večjo dodano vrednost revizijske<br />
službe kot celote.<br />
V prispevku bo predstavljeno kaj na učinkovitost revizorjev<br />
IS vpliva, kaj lahko za povečanje njihove motiviranosti in posledično<br />
učinkovitosti naredi njihov predstojnik, revidiranci in<br />
tudi revizorji IS sami, torej kako je mogoče te ovire preseči.<br />
ISO 27007 – revidiranje IS…<br />
in primerjava z ISO 27006<br />
Mladen Terčelj, PRIS, CIS; Nova Ljubljanska banka d.d.<br />
mag. Boštjan Delak, CISA, PRIS, CIS;<br />
ITAD, revizija in svetovanje d.o.o.<br />
Sistem upravljanja varovanja informacij (SUVI) se vedno<br />
bolj uveljavlja tudi v slovenskih organizacijah. Vedno več je<br />
osveščanja poslovodij in lastnikov, da so informacije organizacije<br />
velik kapital, ki ga je potrebno ustrezno varovati. Po<br />
drugi strani pa postajajo informacijski sistemi ter njihova<br />
obdelava bolj in bolj kompleksni. Naš izziv je, kako s pomočjo<br />
različnih standardov preveriti pravilnost implementiranih<br />
ukrepov varovanja informacij, kot jih zahteva ISO/IEC<br />
27001:2005.<br />
Standardi družine ISO/IEC 270xx, ki opredeljujejo to področje,<br />
se razvijajo in mednarodna organizacija izdaja nove in<br />
nove standarde, ki s svojimi določili dopolnjujejo in povezujejo<br />
različne aktivnosti na tem področju.<br />
Prispevek v prvem delu predstavlja nov standard ISO/IEC<br />
27007:2011 - Informacijska tehnologija – Tehnike varovanja<br />
Povabilo udeležencem, maj 2012 Stran 3/7<br />
1<br />
National Audit Office, Velika Britanija.<br />
2<br />
U. S. Government Accountability Office, Združene<br />
države Amerike.
<strong>20.</strong> mednarodna <strong>konferenca</strong> o revidiranju in kontroli IS, september 2012<br />
– Usmeritve za revizijo sistema upravljanja varovanja informacij.<br />
V drugem delu prispevek na kratko predstavi ISO/IEC<br />
27006:2007 – Informacijska tehnologija – Tehnike varovanja<br />
– Zahteve za organe, ki izvajajo presoje in postopke certificiranja<br />
sistemov upravljanja varovanja informacij v smislu<br />
sinergije pri uporabi ISO/IEC 27007:2011.<br />
V tretjem delu je predstavljen praktičen primer pregleda slovenske<br />
organizacije po standardu ISO/IEC 27007:2011;<br />
podane so izkušnje presojevalcev in revizorjev pri teh aktivnostih<br />
ter razlike in odstopanja od revizijskega pregleda<br />
informacijskih sistemov po celovitem pristopu COBIT.<br />
ISMS v malih podjetjih<br />
Jure Pranjić, CISA<br />
Podjetja vseh velikost so v veliki meri odvisna od informacijske<br />
tehnologije, kar pomeni, da morajo informacijski varnosti<br />
nameniti vsaj določeno mero pozornosti. Uvedba in vzdrževanja<br />
sistema za upravljanje informacijske varnosti, ki ga je<br />
moč certificirati po standardu ISO 27001, je zaradi različnih<br />
razlogov zanimiva za podjetja vseh velikosti. Sicer pa imajo<br />
mala in srednja podjetja, tista z do 250 zaposlenimi, specifične<br />
probleme, različne od tistih v večjih podjetjih, kjer so sistemi<br />
vodenja bolj uveljavljeni. Ravno zaradi te posebnosti,<br />
pa tudi, ker je tovrstnih podjetij v Sloveniji kar 99 odstotkov,<br />
je smiselno podrobneje pogledati, kako v tem kontekstu<br />
obravnavati sistem upravljanja varovanja informacij tako s<br />
stališča uvedbe, kot tudi presoje skladnosti.<br />
Merjenja informacijske varnosti<br />
Rado Ključevšek, CISM, CRISC, CISSP, MBCP,<br />
CHFI, MBCI, K.Sec d.o.o.<br />
Vsako rešitev problema ali stanje nekega področja, za katero<br />
si upamo trditi, da smo jo dobro naredili ali je v dobrem<br />
stanju, moramo utemeljiti z neko meritvijo, drugače nam<br />
lahko vsak upravičeno očita samohvalo. Žal pa to na področju<br />
informacijske varnosti sploh ni lahka naloga. Tovrstna<br />
merjenja so v razvoju in zato zanje tipično obstaja več različnih<br />
pristopov in pogledov.<br />
Najprej bomo poskušali opredeliti, kaj merjenja sploh so,<br />
nato pa si bomo ogledali pomembne pristope na področju<br />
informacijske varnosti, kot na primer standard ISO/IEC<br />
27004 in priporočila ameriškega organa NIST. Ogledali si<br />
bomo tudi nekaj primerov, kako zgraditi primerne metrike.<br />
Računalniška forenzika – orodje pri preiskovanju<br />
prevar in izvajanju pregledov skladnosti<br />
Digital forensics – supporting fraud investigations<br />
and compliance reviews<br />
Pavel Zvolský, Certified Fraud Examiner (CFE), CISA<br />
EnCE.<br />
To predavanje bo pokrilo pregled uporabe računalniške<br />
forenzike za namene preiskovanja prevar in goljufij, kot tudi<br />
preverjanja skladnosti s predpisi.<br />
Pretežni del informacij, ki jih kreirajo organizacije se uporabljajo<br />
in so razpoložljive le v elektronski obliki. Kadar se tako<br />
izvaja preiskovanje zlorabe ali goljufije, ap tudi v primerih<br />
pregledov skladnega delovanja se je tako primarno potrebno<br />
osredotočiti na elektronske informacije, vključno z e-<br />
pošto, revizijske sledi in druge e-zapise.<br />
Obravnavane bodo pravilen metode pridobivanja elektronskih<br />
podatkov, pojasnjeni bodo standardni koraki podatkovnega<br />
obdelovanja vključno z obnovitvijo zbrisanih datotek,<br />
kako jih presejemo, očistimo dvojnih zapisov, indeksiramo.<br />
Na zaključku se bo obravnavali tudi pristop, kako preveriti,<br />
da so bili koraki ustrezni in so pridobljeni podatki neoporečni<br />
in tako veljavni za postopke pred sodišči.<br />
Forenzika v oblaku<br />
Renato Burazer, CISA, CISM, CGEIT, CRISC, CISSP;<br />
AREM d.o.o.<br />
Poslovanje v oblaku je tu in kot kaže bo tudi ostalo. Zavedanje,<br />
da je potrebno poskrbeti za varnost v oblaku je prisotno<br />
že od samih začetkov uporabe storitev v oblaku. Uporabniki<br />
smo vedno bolj naklonjeni uporabi infrastrukture, ki<br />
nam omogoča svobodo ter fokus na primarno dejavnost,<br />
kjer smo sposobni ustvarjati največjo dodano vrednost.<br />
Upravljanje IT infrastrukture vedno pogosteje prepuščamo<br />
ponudnikom storitev v oblaku v upanju, da nam bodo nudili<br />
ustrezno podporo tudi v primeru forezničnih preiskav.<br />
V prispevku se bomo dotaknili oblaka s forenzičnega zornega<br />
kota, ki pa je še vedno v povojih. Prispevek podaja pregled<br />
dilem in tveganj povezanih s forenzično obravnavo storitev<br />
v oblaku, katerih se morajo zavedati tako uporabniki<br />
storitev v oblaku kot tudi strokovnjaki s področja revizije,<br />
upravljanja tveganj in zagotavljanja skladnosti. Dotaknili se<br />
bomo vseh treh dimenzij forenzike v oblaku, ki se pojavlja v<br />
literaturi – tehnične, organizacijske in pravno formalne.<br />
Upravljanje revizijskih sledi v oblaku<br />
dr. Mina Žele, CISA, PRIS, Astec d.o.o.<br />
Različne mednarodne organizacije so prilagodile varnostne<br />
kontrole iz standardov ISO 27001/27002, COBIT, PCI, NIST<br />
in pripravile modele dobre prakse za varnost v računalništvu<br />
v oblaku. Prispevek obravnava upravljanje revizijskih sledi s<br />
stališča uporabnika in ponudnika storitev računalništva v<br />
oblaku. Uporabnik oblaka mora tipično ugotoviti, kakšna<br />
beleženja dogodkov zagotavlja ponudnik, kako se dogodki<br />
zbirajo in varujejo ter kako hitro in v kakšni obliki mu jih je<br />
ponudnik sposoben posredovati. Ponudnik storitev v oblaku<br />
pa je soočen s problemom obvladovanja velike količine<br />
beleženih dogodkov, fizičnega in logičnega omejevanja dostopa<br />
do revizijskih sledi na pooblaščene osebe, možnostjo<br />
različne dobe hranjenja logov glede na zahtevo stranke idr.<br />
Prispevek obravnava tudi tehnične možnosti, ki ponudniku<br />
omogočijo, da stranke na osnovi beleženih dogodkov pravočasno<br />
obvešča o varnostnih incidentih in zagotavlja naknadno<br />
ugotavljanje odgovornosti v primeru varnostnih incidentov.<br />
Stran 4/7 Povabilo udeležencem, maj 2012
<strong>20.</strong> mednarodna <strong>konferenca</strong> o revidiranju in kontroli IS, september 2012<br />
Revizijske sledi – nuja in mora<br />
Dušan Vezjak<br />
Beseda frustracija milo opiše občutek ljudi, ki so zadolženi<br />
za implementacijo Zakona o varstvu osebnih podatkov<br />
(ZVOP-1) v vseh njegovih niansah. Pokazali bomo, zakaj je<br />
ZVOP-1 mora, hkrati pa je lahko tudi dodana vrednost, ko<br />
gre za osebne podatke, katerih razkritje lahko vpliva na<br />
ugled podjetja. Predstavljeno bo več pristopov, kako zagotoviti<br />
podatke, ki jih zahteva ZVOP-1 ter slabosti in prednosti<br />
teh pristopov.<br />
Informacijska varnost v industrijskih okoljih<br />
Andrej Zimšek, CISA, CGEIT, PRIS, Brihteja d.o.o.<br />
Pri varovanju informacijskih okolij se ponavadi osredotočamo<br />
na zaščito podatkov v poslovnih informacijskih sistemih.<br />
Zaščiti informacijskih sistemov v industrijskih okoljih se običajno<br />
ni posvečalo velike pozornosti zaradi uporabe specializiranih<br />
naprav in izoliranosti teh okolij. S širitvijo uporabe<br />
standardnih komponent in povezovanja s poslovnimi informacijskimi<br />
sistemi se tudi na tem področju pojavlja potreba<br />
po zagotavljanju učinkovite informacijske varnosti. Zanimanje<br />
za to področje se je povečalo ob odkritju novih vrst neželene<br />
programske opreme (Stuxnet, Doqu, itd.), ki je pravzaprav<br />
zgrajena kot orožje za informacijski svet. Za obravnavanje<br />
varnosti v industrijskih okoljih je potrebno upoštevati<br />
posebnosti ter varnostne grožnje, ki se pojavljajo na tem<br />
področju.<br />
Dobrodošli v svet mobilnih naprav<br />
Borut Žnidar, CISA, CISM, CISSP, Astec d.o.o.<br />
Konec lanskega leta je <strong>ISACA</strong> objavila tri glavne trende za<br />
letošnje leto: veliki podatki, konzumerizacija ITja in prevlada<br />
mobilnih naprav. Slednja dva trenda napovedujeta na eni<br />
strani povečanje osebnih prenosnih naprav, ki jih bodo<br />
zaposleni uporabljali v službi, in po drugi strani povečanje<br />
uporabe mobilnih naprav. Uporaba pametnih telefonov in<br />
tablic v slovenskem poslovnem okolju nam pokaže na pravilnost<br />
teh napovedi. Poleg uporabnosti in poslovnih koristi<br />
pa moramo pri mobilnih napravah pogledati še drugo stran:<br />
ranljivosti in poslovna tveganja. V članku bom prikazal glavne<br />
ranljivosti pri uporabi mobilnih naprav ter načine za<br />
obvladovanje poslovnih tveganj, povezanih z njihovo uporabo.<br />
Kvantitativna obrambna tehnika pred naprednimi<br />
napadi na gesla<br />
Iztok Starc, Univerza v Ljubljani, Fakulteta za računalništvo<br />
in informatiko<br />
Overjanje z geslom je vodilna tehnika identifikacije uporabnika.<br />
Uporablja se za pridobitev dostopa do informacijskih<br />
sistemov (IS). Uporabniki in IS se vedno v večji meri povezujejo<br />
preko interneta zaradi večje učinkovitosti dela in stroškov.<br />
Prav tako pa so zaradi internetne povezanosti tudi bolj<br />
izpostavljeni oddaljenim grožnjam. Za preprečitev nepooblaščenega<br />
dostopa je pogosto uporabljena kontrola ustreznosti<br />
gesla. Le-ta omejuje možnost izbire šibkih gesel in<br />
tako zmanjša tveganje napadov z ugibanjem gesel na sprejemljivo<br />
raven. V tem prispevku bomo pokazali, da ta kontrola<br />
ni dovolj učinkovita v primeru napada naprednega nasprotnika,<br />
ki kombinira metode družbenega inženiringa in<br />
ugibanja gesel. Podali bomo lastnosti nove kvantitativne<br />
obrambne tehnike za odkrivanje teh napadov. Obrambna<br />
tehnika naj meri približevanje poskusov napadalca k skrivnemu<br />
geslu in naj obvesti uporabnika samo, če je presežen<br />
prag sprejemljive ravni tveganja.<br />
Dva pogleda na kontrolo in zaupanje: direktor<br />
informatike in revizor informacijskih sistemov<br />
Goran Šušnjar, PRIS<br />
Čeprav sta kontrola in zaupanje pomembna v vsakem<br />
odnosu med dvema poslovnima partnerjema kot podlaga in<br />
zagotovilo uspešnega sodelovanja, je v odnosu med predstavnikom<br />
poslovodstva (direktorjem informatike) in revizorjem<br />
(informacijskih sistemov) vloga kontrole in zaupanja<br />
odvisna od narave poslovnega odnosa. Revizor se sicer<br />
vedno pojavlja kot izvajalec, ampak enkrat za potrebe zunanjega<br />
nadzora, drugič pa za potrebe poslovodstva samega.<br />
Narava odnosa je povezana hkrati z drugačnimi etičnimi dilemami<br />
na strani revizorja IS in direktorja informatike, ki jih v<br />
prispevku obravnavam z vidika teorije etičnega odločanja.<br />
Poleg samega modela etičnega odločanja predstavim tudi<br />
pomembnejša dognanja o povezavah med njegovimi ključnimi<br />
deli ter navajam nekaj mehanizmov, z katerimi naj bi zagotovili<br />
etično ravnanje revizorja IS in direktorja informatike.<br />
Hektivizem<br />
Maja Hmelak, PRIS, CIA, Pavel Golob, CISA, PRIS<br />
Hektivizem je posebna oblika tradicionalnega hekerstva, v<br />
katero so vključeni nekateri izmed najboljših trenutno delujočih<br />
hekerjev. Prve odmevnejše epizode hektivizma so bili<br />
napadi na spletne strani PayPala in MasterCarda kot maščevanje<br />
za ustavitev plačil spletni strani Wikileaks, v 2012<br />
pa je čedalje več političnih dejanj povezan tudi s hektivističnim<br />
napadom.<br />
V prispevku povzemava ključne značilnosti in faze hektivističnih<br />
napadov, njihove cilje in tipične udeležence, predstavljava<br />
nekatere znane primere napadov v 2011 in 2012 ter<br />
podajava priporočila za zmanjšanje izpostavljenosti ter hitrejše<br />
okrevanje v primeru uspešno izvedenih napadov.<br />
Povabilo udeležencem, maj 2012 Stran 5/7
<strong>20.</strong> mednarodna <strong>konferenca</strong> o revidiranju in kontroli IS, september 2012<br />
Program konference<br />
Torek, 25. september 2012<br />
Otvoritev<br />
9.009.30 Otvoritveni nagovor Boža Javornik<br />
9.3011.00<br />
11.0011.30<br />
Kaj so prednosti CobIT 5 (What is Added Value of<br />
Moving to CobIT 5)<br />
Odmor<br />
Računalništvo v oblaku in varstvo osebnih podatkov<br />
11.3013.00 Varstvo osebnih podatkov in računalništvo v oblaku –<br />
Smernice Informacijskega pooblaščenca<br />
13.0014.30<br />
14.3016.00<br />
16.0016.30<br />
Izzivi v oblaku: Ali so revizorji pripravljeni na nove<br />
vremenske razmere?<br />
Kosilo<br />
Revizijska praksa<br />
Načrtovanje in izvedba pregleda varovanja notranjega<br />
omrežja<br />
Odmor<br />
Revizijska praksa<br />
Derek Oliver,<br />
<strong>ISACA</strong> London Chapter<br />
Andrej Tomšič –<br />
Informacijski pooblaščenec RS<br />
Damir Savanovič, Slovenski odsek CSA<br />
(Cloud Security Alliance)<br />
Peter Grasselli<br />
16.3018.00 Revidiranje socialnih medijev Matjaž Pušnik<br />
16.3018.00<br />
Revizija informacijskih sistemov kot revizija smotrnosti<br />
Vpliv motiviranosti revizorjev IS na njihovo učinkovitost<br />
ISO 27007 – revidiranje IS…<br />
in primerjava z ISO 27006<br />
ISMS v malih podjetjih<br />
Merjenja informacijske varnosti<br />
<strong>20.</strong>00 Družabno srečanje<br />
ISO 2700x izzivi<br />
Anica Bratanič<br />
Igor Karnet<br />
Mladen Terčelj, Boštjan Delak<br />
Jure Pranjič<br />
Rado Ključevšek<br />
9.0010.30<br />
10.3011.00<br />
Sreda, 26. september 2012<br />
Prevare in goljufije z izrabo informacijskih sredstev<br />
Računalniška forenzika – orodje pri preiskovanju<br />
prevar in izvajanju pregledov skladnosti<br />
Odmor<br />
Varnost<br />
Pavel Zvolský<br />
11.0012.30 Forenzika v oblaku Renato Burazer<br />
12.3013.40<br />
Upravljanje revizijskih sledi v oblaku<br />
Revizijske sledi – nuja in mora<br />
Kosilo<br />
Zagotavljanje varnosti<br />
Mina Žele<br />
Dušan Vezjak<br />
14.0015.30 Pomen zagotavljanja varnosti v industrijskih okoljih Andrej Zimšek<br />
15.3016.00<br />
16.0017.30<br />
Mobilne naprave<br />
Kvantitativna obrambna tehnika pred naprednimi<br />
napadi na gesla<br />
Odmor<br />
Kontrolirati ali zaupati<br />
Dva pogleda na kontrolo in zaupanje: direktor informatike<br />
in revizor informacijskih sistemov<br />
Hektivizem<br />
Borut Žnidar<br />
Iztok Starc<br />
Goran Šušnjar<br />
Pavel Golob, Maja Hmelak<br />
Podrobnosti iz vsebine prispevkov na konferenci in delavnici si lahko ogledate tudi na www.si-revizija.si ali www.isaca.si.<br />
Stran 6/7 Povabilo udeležencem, maj 2012
<strong>20.</strong> mednarodna <strong>konferenca</strong> o revidiranju in kontroli IS, september 2012<br />
PRIJAVNICA<br />
za <strong>20.</strong> mednarodno konferenco o reviziji in kontroli informacijskih sistemov,<br />
25. in 26. september 2012, Grand hotel Primus, Ptuj<br />
Podjetje:<br />
Udeleženci:<br />
Kraj in poštna številka:<br />
Ulica in hišna številka:<br />
Telefonska številka:<br />
Davčna številka:<br />
Ali ste zavezanec za DDV? DA NE<br />
Pri plačilu udeležnine v polje za sklicevanje na številko vpišite 00 33-12.<br />
Datum prijave:<br />
Žig in podpis pooblaščene osebe<br />
__________________________________________________________________________________________<br />
Podjetje:<br />
PRIJAVNICA<br />
za delavnico COBIT 5,<br />
27. in 28. september 2012, Slovenski inštitut za revizijo, Ljubljana<br />
Udeleženci:<br />
Kraj in poštna številka:<br />
Ulica in hišna številka:<br />
Telefonska številka:<br />
Davčna številka:<br />
Ali ste zavezanec za DDV? DA NE<br />
Pri plačilu udeležnine v polje za sklicevanje na številko vpišite 00 34-12.<br />
Datum prijave:<br />
Žig in podpis pooblaščene osebe<br />
Povabilo udeležencem, maj 2012 Stran 7/7