20. konferenca - ISACA

Slovenski inštitut za revizijo
Slovenski odsek ISACA
ISACA Slovenia Chapter
Dunajska cesta 106 Dunajska cesta 106
SI-1000 Ljubljana, Slovenija
SI-1000 Ljubljana, Slovenija
info@si-revizija.si, www.si-revizija.si
info@isaca.si, www.isaca.si
Slovenski inštitut za revizijo ter
Slovenski odsek ISACA (Information System Audit and Control Association –
Združenje za revizijo in kontrolo informacijskih sistemov)
prirejata
20. mednarodno konferenco
o revidiranju in kontroli informacijskih sistemov
Konferenčni del:
torek, 25., in sreda, 26. september 2012, Grand hotel Primus, Ptuj
Delavnica:
četrtek, 27., in petek, 28. september 2012, Ljubljana
Programski in organizacijski odbor
Boža Javornik, CISA, CISM, PRIS, predsednica
Renato Burazer, CISA, CISM, CGEIT, CRISC, član
mag. Marko Jagodic, CISA, CRISC, PRIS, član
dr. Borut Jereb, CISA, CISM, CGEIT, PRIS, član
mag. Boštjan Kežmah, CISA, PRIS, član
dr. Aleš Živkovič, CISA, PRIS, član
Uroš Žust, CISA, CISM, PRIS, član
1. Informacije o konferenci
Prijave pošljite na naslov: Slovenski inštitut za revizijo, Dunajska
cesta 106, 1000 Ljubljana, po faksu (01) 568-63-32 ali po
elektronski pošti info@si-revizija.si. Prijavnice najdete tudi na
spletni strani www.si-revizija.si.
Udeležnina z DDV znaša 432,00 €; vanjo so vračunani gradivo,
skupna večerja in okrepčila med odmori. Za imetnike strokovnih
nazivov, ki jih podeljuje Slovenski inštitut za revizijo, ki
so do dneva prijave na konferenco vložili zahtevo za objavljanje
svojih podatkov v reviji Revizor oziroma na naših spletnih
straneh, in za osebe, ki imajo na dan prijave na konferenco
veljavno dovoljenje za opravljanje nalog revizorja, pooblaščenega
revizorja oziroma pooblaščenega ocenjevalca vrednosti,
znaša udeležnina skupaj z gradivom 367,20 €. 20-odstotni
davek na dodano vrednost je vračunan v obeh primerih.
Udeležnino nakažite na poslovni račun Slovenskega inštituta
za revizijo, številka je 02085-0015504554, pri Novi Ljubljanski
banki, d. d., do 20. septembra 2012. V polje za sklicevanje
na številko vpišite 00 33-12.
Nastanitev je predvidena v hotelu Grand Hotelu Primus na
Ptuju; priporočamo rezervacijo do 25. avgusta 2012, po telefonu
02-74 94 500 ali elektronski pošti rezervacije@termeptuj.si.
Ob rezervaciji navedite, da ste udeleženec konference
Slovenskega inštituta za revizijo.
Udeležba
Pričakujemo, da se bodo konference udeležili člani Slovenskega
odseka ISACA in člani Sekcije za revizijo informacijskih sistemov
(odslej IS) pri Slovenskem inštitutu za revizijo. Glede na
teme, ki bodo obravnavane na konferenci, priporočamo udeležbo
pooblaščenim revizorjem, revizorjem in preizkušenim notranjim
revizorjem. Vprašanja o varnem delovanju IS, zlasti
vprašanja o dobrem načinu kontroliranja in obvladovanja razvoja
informacijskih rešitev v praksi, ki bodo obravnavana na konferenci,
pa so zanimiva za vse vodilne delavce organizacijskih
enot za računalniško obravnavanje podatkov, katerih skrb je
oblikovanje notranjih kontrol, ki zagotavljajo varno in neprekinjeno
delovanje IS ter obvladovanje poslovnih in operativnih tveganj
na področjih informatike v bančništvu, zavarovalništvu,
državni upravi, trgovini in proizvodnji.
Nekatera predavanja na konferenci bodo v angleškem
jeziku!
Po določbah pravilnikov o priznanju dodatnega izobraževanja
se pooblaščenim revizorjem, pooblaščenim ocenjevalcem vrednosti,
preizkušenim računovodjem, preizkušenim notranjem
revizorjem, preizkušenim revizorjem informacijskih sistemov,
preizkušenim davčnikom in revizorjem za konferenco prizna
16 ur.
Oznaka konference:
za pooblaščene revizorje: A
za pooblaščene ocenjevalce vrednosti: B
Povabilo udeležencem, maj 2012 Stran 1/7

20. mednarodna konferenca o revidiranju in kontroli IS, september 2012
2. Informacije o delavnici
Delavnica: COBIT 5; Izvajalec dr. Derek J. Oliver
Delavnica bo ponudila obravnavo vsebin, ki vplivajo na vodenje
in organizacijo IT, prispevala k razumevanju načel
upravljanja in vodenja ter kako lahko COBIT 5 pomaga pri
tem za doseganje posameznih ciljev. Obravnavana bodo
načela in orodja, ki jih ponuja COBIT 5. V nadaljevanju bodo
podane praktične usmeritve pri uvedbi COBIT 5, kako se le
te razlikujejo od COBIT 4.1. in kaj je smiselno storiti v primeru
prehoda.
Udeležnina za delavnico znaša 342,00 €. V ceno je vračunan
davek na dodano vrednost. Vanjo so všteti učno gradivo
ter okrepčila med odmori. Za imetnike strokovnega naziva,
ki so do dneva prijave na konferenco vložili zahtevo za
objavljanje svojih podatkov v reviji Revizor oziroma na naših
spletnih straneh, in za osebe, ki imajo na dan prijave na
konferenco veljavno dovoljenje za opravljanje nalog revizorja,
pooblaščenega revizorja oziroma pooblaščenega ocenjevalca
vrednosti, je udeležnina skupaj z gradivom 290,70 €.
20-odstotni davek na dodano vrednost je vračunan.
Udeležnino nakažite na poslovni račun Slovenskega inštituta
za revizijo, številka je 02085-0015504554, pri Novi Ljub-
ljanski banki, d. d., do 20. septembra 2012. V polje za sklicevanje
na številko za delavnico Cobit 5 – uporaba v praksi
vpišite 00 34-11.
Po določbah pravilnikov o priznanju dodatnega izobraževanja
se pooblaščenim revizorjem, pooblaščenim ocenjevalcem
vrednosti, preizkušenim računovodjem, preizkušenim notranjim
revizorjem, preizkušenim revizorjem informacijskih sistemov,
preizkušenim davčnikom in revizorjem za delavnico
prizna 14 ur.
Oznaka delavnice:
za pooblaščene revizorje: A
za pooblaščene ocenjevalce vrednosti: B
Urnik delavnice, četrtek, 27., in petek, 28. septembra
2012 (oba dneva)
9.00 – 10.30 predavanje
10.30 – 11.00 odmor
11.00 – 12.30 predavanje
12.30 – 13.30 kosilo
13.30 – 15.00 predavanje
15.00 - 15.30 odmor
15.30 – 17.00 predavanje
3. Iz vsebine konference
Zagotavljanje varnega delovanja IS postaja vse pomembnejša sestavina upravljanja poslovnih sistemov. Po Mednarodnih
standardih revidiranja je ocena zanesljivosti IS ena od pomembnih sestavin pri revidiranju računovodskih izkazov. Da je tako
tudi v Sloveniji, lahko sklepamo iz izvedbenih predpisov nadzornikov na področju bančništva, zavarovalništva in drugih finančnih
storitev, kjer je ocena IS pomembna obvezna sestavina letnega poročila, ki ga je treba predložiti regulatorjem. Slovenski
inštitut za revizijo in Slovenski odsek ISACA si prizadevata, da bi se začeli zavedati pomena obvladovanja tveganj v zvezi z
delovanjem IS v vseh okoljih. Na dosedanjih konferencah so bile predstavljene nekatere strokovne podlage za kontrolo in revizijo
IS ter nekatere izkušnje v svetu. Letos smo nosilne teme posvetili upravljanju varnosti IS s poudarkom na operativnem
preverjanju in več je prispevkov s področja revizijske prakse, nekaj prispevkov pa bo naravnanih k izzivom informacijske tehnologije
v modelu storitev v oblaku.
Da se boste laže odločili za udeležbo na 120. konferenci, vam bomo v nadaljevanju predstavili predavanja na njej.
Kaj so prednosti CobIT 5
(What is Added Value Moving to CobIT 5)
Derek J Oliver, Consultants, Ravenswood, UK
Predavanje se bo ukvarjalo z odgovori na vprašanji: ali je
infromacijska tehnologija »črna luknja« v kateri izginjajo
sredstva podjetja brez vidnih učinkov in kakšeno vrednosti
je pričakovati od investicij v tehnologijo? Ob tem bodo obravnavana
načela iz COBIT 5 in kako le ta obravnavajo potrebe
vseh deležnikov v zvezi z dodano vrednostjo tehnologije.
COBIT 5 ponuja orodja, ki jih je mogoče uporabiti in s tem
povečati zagotovilo za doseganje želenih učinkov investicij v
IT. V zaključku bo predstavljeno kako celoten model, ki ga
predstavlja COBIT 5 prinaša za rezultate za celovito vodenje
in upravljanje.
Varstvo osebnih podatkov in računalništvo v
oblaku – Smernice Informacijskega pooblaščenca
Andrej Tomšič, namestnik informacijske pooblaščenke
Računalništvo v oblaku obljublja dostopnost do računalniških
zmogljivosti iz katerekoli lokacije na ekonomičen, prilagodljiv
in nadgradljiv način, zato ne preseneča, da se za
oblak zanima čedalje več organizacij, ki obdelujejo osebne
podatke. To pa neizogibno poraja dvome glede skladnosti z
zakonodajo na področju varstva osebnih podatkov in zasebnosti.
Zlasti javne oblike računalništva v oblaku vzbujajo
pomisleke, ki izvirajo iz narave računalništva v oblaku, ki
prinaša specifična tveganja, ta pa se kažejo predvsem na
področju ureditve pogodbene obdelave oz. zunanjega izvajanja
storitev, informacijske varnosti oz. zavarovanja osebnih
podatkov ter izvoza podatkov v tretje države. Informacijski
pooblaščenec je zato konec leta 2011 pričel s pripravo
smernic v sodelovanju s predstavniki slovenskih odsekov
CSA in ISACA ter združenja EUROCLOUD. Smernice naj bi
pripomogle k dvigu stopnje ozaveščenosti predvsem o tveganjih,
ki jih prinaša obdelava osebnih podatkov v oblaku, s
pomočjo kontrolnega seznama pa tudi ponudile jasnejšo sliko
o zahtevah zakonodaje o varstvu osebnih podatkov.
Stran 2/7 Povabilo udeležencem, maj 2012

20. mednarodna konferenca o revidiranju in kontroli IS, september 2012
Izzivi v oblaku: Ali so revizorji pripravljeni na nove
vremenske razmere?
Damir Savanović, CISA, CISM, PRIS, CCSK, Cloud
Security Alliance, Slovenia Chapter
Prehod podjetij iz uporabe lastne tehnološke infrastrukture v
računalništvo v oblaku je eden izmed najbolj pomembnih
trendov zadnjih let. Ker pogosto predstavlja znaten prihranek,
se zanj odloča čedalje več malih in srednjih organizacij,
a tudi že velikih organizacij. Vendar pa selitev v oblak z vidika
naročnika sproža vrsto vprašanj, kot so korporativno
upravljanje, upravljanje s tveganji in skladnost (GRC), pri
čemer ima pomembno vlogo tudi revizor informacijskih sistemov.
V predstavitvi bomo povzeli mehanizme za nazor
nad ponudnikom storitev računalništva v oblaku. Poleg tega
bomo pogledali razpoložljive načine pridobivanja zagotovil o
delovanju kontrol, ki jih potrebujejo revizorji informacijskih
sistemov, notranji revizorji, revizorji računovodskih izkazov
ter različni zunanji nadzorniki in inšpektorji ter izzive, ki so s
tem povezani.
Načrtovanje in izvedba pregleda varovanja notranjega
omrežja
Peter Grasselli, CISA, PRIS, CISSP, ITAD, d. o. o.
Računalniško omrežje je najpomembnejši komunikacijski
kanal v organizaciji, prek katerega se pretakajo različne
informacije od transakcij ključnih poslovnih procesov, finančnih
transakcij, poslovne in zasebne komunikacije do strategij
in osebnih podatkov. Ob pregledu varovanja omrežja je
revizor postavljen pred izziv, kako učinkovito izvesti pregled
tega področja z velikim inherentnim tveganjem ter sočasno
zagotoviti sprejemljivo stopnjo revizijskega tveganja. Pri tem
mu, ob vedno bolj omejenih virih za izvedbo pregleda, ni
prav nič v pomoč dejstvo, da omrežja stalno rastejo in postajajo
kompleksnejša. V predavanju bo predstavljen večkrat
izveden pristop k pregledu varovanja omrežja, ki z izvedbo
revizijskih programov ISACA, podprtih z analitičnimi metodami
in avtomatiziranimi postopki lovi ravnotežje med trojico:
stroški, obseg pregleda, revizijsko tveganje.
Revidiranje družbenih medijev
(Auditing social media)
Matjaž Pušnik, CISA, CRISC, PRIS
Družbeni mediji (angl. social media) so mediji, ki se uporabljajo
za izmenjavo novic, mnenj in izkušenj med uporabniki
spleta. Družbeni mediji so postali del vsakdanje uporabe
podjetij. Podjetja uporabljajo družbene mediji za komunikacijo,
trženje, prodajo, podporo uporabnikom in druge poslovne
namene. Uporaba družbenih medijev ima prednosti in
slabosti. Pred tveganji in možnimi zlorabami niso varna
niti podjetja, niti zasebni uporabniki. Revizorji pomena in
vpliva družbenih medijev v revizijah ne smemo zanemariti.
Pri revidiranju družbenih medijev si lahko pomagamo z
okvirjem COBIT za revidiranje družbenih medijev. V prispevku
bo predstavljeno revidiranje družbenih medijev, kot so
WordPress, Twitter, AOL Instant Messenger, Skype, Flickr,
Youtube, Facebook, Myspace, LinkedIn.
Revizija IS kot revizija smotrnosti
Anica Bratanič Grandovec, PRIS, preizkušena državna
revizorka, Računsko sodišče RS
Revizijo informacijskih sistemov lahko na računskem sodišču
izvajamo tudi kot revizijo smotrnosti. V skladu z zakonodajo
računsko sodišče v njej lahko izreka mnenje o gospodarnosti,
učinkovitosti ali uspešnosti poslovanja. Pri načrtovanju
in izvajanju revizij smotrnosti poslovanja se uporabljajo
revizijski standardi INTOSAI in evropske smernice, za
revizije smotrnosti poslovanja pa se uporabljajo tudi Implementacijske
smernice za revizijo smotrnosti poslovanja
ISSAI 3000, ki v dodatku 5 Revizija smotrnosti in informacijska
tehnologija vsebujejo napotila za revidiranje informacijskih
sistemov.
Na vrhovnih revizijskih institucijah revidirajo in poročajo o IT
v revizijskih poročilih na različne načine, predstavljen bo
način poročanja v NAO 1 in GAO 2 .
Vpliv motiviranosti revizorjev IS
na njihovo učinkovitost
mag. Igor Karnet, CISA, CIA, CGEIT, CISM, CRISC,
PRIS
Kot izhodišče bodo predstavljene konkretne ovire in težave,
s katerimi se srečujejo tako revidiranci, kakor vsi tisti, ki najemajo
storitve revizorjev IS, zaradi česar vedno ne uspejo zagotoviti,
da bi od revizorjev dobili to in toliko kot pričakujejo.
Podoben problem imajo tudi predstojniki (notranje)revizijskih
služb, ki morajo zagotoviti čim večjo dodano vrednost revizijske
službe kot celote.
V prispevku bo predstavljeno kaj na učinkovitost revizorjev
IS vpliva, kaj lahko za povečanje njihove motiviranosti in posledično
učinkovitosti naredi njihov predstojnik, revidiranci in
tudi revizorji IS sami, torej kako je mogoče te ovire preseči.
ISO 27007 – revidiranje IS…
in primerjava z ISO 27006
Mladen Terčelj, PRIS, CIS; Nova Ljubljanska banka d.d.
mag. Boštjan Delak, CISA, PRIS, CIS;
ITAD, revizija in svetovanje d.o.o.
Sistem upravljanja varovanja informacij (SUVI) se vedno
bolj uveljavlja tudi v slovenskih organizacijah. Vedno več je
osveščanja poslovodij in lastnikov, da so informacije organizacije
velik kapital, ki ga je potrebno ustrezno varovati. Po
drugi strani pa postajajo informacijski sistemi ter njihova
obdelava bolj in bolj kompleksni. Naš izziv je, kako s pomočjo
različnih standardov preveriti pravilnost implementiranih
ukrepov varovanja informacij, kot jih zahteva ISO/IEC
27001:2005.
Standardi družine ISO/IEC 270xx, ki opredeljujejo to področje,
se razvijajo in mednarodna organizacija izdaja nove in
nove standarde, ki s svojimi določili dopolnjujejo in povezujejo
različne aktivnosti na tem področju.
Prispevek v prvem delu predstavlja nov standard ISO/IEC
27007:2011 - Informacijska tehnologija – Tehnike varovanja
Povabilo udeležencem, maj 2012 Stran 3/7
1
National Audit Office, Velika Britanija.
2
U. S. Government Accountability Office, Združene
države Amerike.

20. mednarodna konferenca o revidiranju in kontroli IS, september 2012
– Usmeritve za revizijo sistema upravljanja varovanja informacij.
V drugem delu prispevek na kratko predstavi ISO/IEC
27006:2007 – Informacijska tehnologija – Tehnike varovanja
– Zahteve za organe, ki izvajajo presoje in postopke certificiranja
sistemov upravljanja varovanja informacij v smislu
sinergije pri uporabi ISO/IEC 27007:2011.
V tretjem delu je predstavljen praktičen primer pregleda slovenske
organizacije po standardu ISO/IEC 27007:2011;
podane so izkušnje presojevalcev in revizorjev pri teh aktivnostih
ter razlike in odstopanja od revizijskega pregleda
informacijskih sistemov po celovitem pristopu COBIT.
ISMS v malih podjetjih
Jure Pranjić, CISA
Podjetja vseh velikost so v veliki meri odvisna od informacijske
tehnologije, kar pomeni, da morajo informacijski varnosti
nameniti vsaj določeno mero pozornosti. Uvedba in vzdrževanja
sistema za upravljanje informacijske varnosti, ki ga je
moč certificirati po standardu ISO 27001, je zaradi različnih
razlogov zanimiva za podjetja vseh velikosti. Sicer pa imajo
mala in srednja podjetja, tista z do 250 zaposlenimi, specifične
probleme, različne od tistih v večjih podjetjih, kjer so sistemi
vodenja bolj uveljavljeni. Ravno zaradi te posebnosti,
pa tudi, ker je tovrstnih podjetij v Sloveniji kar 99 odstotkov,
je smiselno podrobneje pogledati, kako v tem kontekstu
obravnavati sistem upravljanja varovanja informacij tako s
stališča uvedbe, kot tudi presoje skladnosti.
Merjenja informacijske varnosti
Rado Ključevšek, CISM, CRISC, CISSP, MBCP,
CHFI, MBCI, K.Sec d.o.o.
Vsako rešitev problema ali stanje nekega področja, za katero
si upamo trditi, da smo jo dobro naredili ali je v dobrem
stanju, moramo utemeljiti z neko meritvijo, drugače nam
lahko vsak upravičeno očita samohvalo. Žal pa to na področju
informacijske varnosti sploh ni lahka naloga. Tovrstna
merjenja so v razvoju in zato zanje tipično obstaja več različnih
pristopov in pogledov.
Najprej bomo poskušali opredeliti, kaj merjenja sploh so,
nato pa si bomo ogledali pomembne pristope na področju
informacijske varnosti, kot na primer standard ISO/IEC
27004 in priporočila ameriškega organa NIST. Ogledali si
bomo tudi nekaj primerov, kako zgraditi primerne metrike.
Računalniška forenzika – orodje pri preiskovanju
prevar in izvajanju pregledov skladnosti
Digital forensics – supporting fraud investigations
and compliance reviews
Pavel Zvolský, Certified Fraud Examiner (CFE), CISA
EnCE.
To predavanje bo pokrilo pregled uporabe računalniške
forenzike za namene preiskovanja prevar in goljufij, kot tudi
preverjanja skladnosti s predpisi.
Pretežni del informacij, ki jih kreirajo organizacije se uporabljajo
in so razpoložljive le v elektronski obliki. Kadar se tako
izvaja preiskovanje zlorabe ali goljufije, ap tudi v primerih
pregledov skladnega delovanja se je tako primarno potrebno
osredotočiti na elektronske informacije, vključno z e-
pošto, revizijske sledi in druge e-zapise.
Obravnavane bodo pravilen metode pridobivanja elektronskih
podatkov, pojasnjeni bodo standardni koraki podatkovnega
obdelovanja vključno z obnovitvijo zbrisanih datotek,
kako jih presejemo, očistimo dvojnih zapisov, indeksiramo.
Na zaključku se bo obravnavali tudi pristop, kako preveriti,
da so bili koraki ustrezni in so pridobljeni podatki neoporečni
in tako veljavni za postopke pred sodišči.
Forenzika v oblaku
Renato Burazer, CISA, CISM, CGEIT, CRISC, CISSP;
AREM d.o.o.
Poslovanje v oblaku je tu in kot kaže bo tudi ostalo. Zavedanje,
da je potrebno poskrbeti za varnost v oblaku je prisotno
že od samih začetkov uporabe storitev v oblaku. Uporabniki
smo vedno bolj naklonjeni uporabi infrastrukture, ki
nam omogoča svobodo ter fokus na primarno dejavnost,
kjer smo sposobni ustvarjati največjo dodano vrednost.
Upravljanje IT infrastrukture vedno pogosteje prepuščamo
ponudnikom storitev v oblaku v upanju, da nam bodo nudili
ustrezno podporo tudi v primeru forezničnih preiskav.
V prispevku se bomo dotaknili oblaka s forenzičnega zornega
kota, ki pa je še vedno v povojih. Prispevek podaja pregled
dilem in tveganj povezanih s forenzično obravnavo storitev
v oblaku, katerih se morajo zavedati tako uporabniki
storitev v oblaku kot tudi strokovnjaki s področja revizije,
upravljanja tveganj in zagotavljanja skladnosti. Dotaknili se
bomo vseh treh dimenzij forenzike v oblaku, ki se pojavlja v
literaturi – tehnične, organizacijske in pravno formalne.
Upravljanje revizijskih sledi v oblaku
dr. Mina Žele, CISA, PRIS, Astec d.o.o.
Različne mednarodne organizacije so prilagodile varnostne
kontrole iz standardov ISO 27001/27002, COBIT, PCI, NIST
in pripravile modele dobre prakse za varnost v računalništvu
v oblaku. Prispevek obravnava upravljanje revizijskih sledi s
stališča uporabnika in ponudnika storitev računalništva v
oblaku. Uporabnik oblaka mora tipično ugotoviti, kakšna
beleženja dogodkov zagotavlja ponudnik, kako se dogodki
zbirajo in varujejo ter kako hitro in v kakšni obliki mu jih je
ponudnik sposoben posredovati. Ponudnik storitev v oblaku
pa je soočen s problemom obvladovanja velike količine
beleženih dogodkov, fizičnega in logičnega omejevanja dostopa
do revizijskih sledi na pooblaščene osebe, možnostjo
različne dobe hranjenja logov glede na zahtevo stranke idr.
Prispevek obravnava tudi tehnične možnosti, ki ponudniku
omogočijo, da stranke na osnovi beleženih dogodkov pravočasno
obvešča o varnostnih incidentih in zagotavlja naknadno
ugotavljanje odgovornosti v primeru varnostnih incidentov.
Stran 4/7 Povabilo udeležencem, maj 2012

20. mednarodna konferenca o revidiranju in kontroli IS, september 2012
Revizijske sledi – nuja in mora
Dušan Vezjak
Beseda frustracija milo opiše občutek ljudi, ki so zadolženi
za implementacijo Zakona o varstvu osebnih podatkov
(ZVOP-1) v vseh njegovih niansah. Pokazali bomo, zakaj je
ZVOP-1 mora, hkrati pa je lahko tudi dodana vrednost, ko
gre za osebne podatke, katerih razkritje lahko vpliva na
ugled podjetja. Predstavljeno bo več pristopov, kako zagotoviti
podatke, ki jih zahteva ZVOP-1 ter slabosti in prednosti
teh pristopov.
Informacijska varnost v industrijskih okoljih
Andrej Zimšek, CISA, CGEIT, PRIS, Brihteja d.o.o.
Pri varovanju informacijskih okolij se ponavadi osredotočamo
na zaščito podatkov v poslovnih informacijskih sistemih.
Zaščiti informacijskih sistemov v industrijskih okoljih se običajno
ni posvečalo velike pozornosti zaradi uporabe specializiranih
naprav in izoliranosti teh okolij. S širitvijo uporabe
standardnih komponent in povezovanja s poslovnimi informacijskimi
sistemi se tudi na tem področju pojavlja potreba
po zagotavljanju učinkovite informacijske varnosti. Zanimanje
za to področje se je povečalo ob odkritju novih vrst neželene
programske opreme (Stuxnet, Doqu, itd.), ki je pravzaprav
zgrajena kot orožje za informacijski svet. Za obravnavanje
varnosti v industrijskih okoljih je potrebno upoštevati
posebnosti ter varnostne grožnje, ki se pojavljajo na tem
področju.
Dobrodošli v svet mobilnih naprav
Borut Žnidar, CISA, CISM, CISSP, Astec d.o.o.
Konec lanskega leta je ISACA objavila tri glavne trende za
letošnje leto: veliki podatki, konzumerizacija ITja in prevlada
mobilnih naprav. Slednja dva trenda napovedujeta na eni
strani povečanje osebnih prenosnih naprav, ki jih bodo
zaposleni uporabljali v službi, in po drugi strani povečanje
uporabe mobilnih naprav. Uporaba pametnih telefonov in
tablic v slovenskem poslovnem okolju nam pokaže na pravilnost
teh napovedi. Poleg uporabnosti in poslovnih koristi
pa moramo pri mobilnih napravah pogledati še drugo stran:
ranljivosti in poslovna tveganja. V članku bom prikazal glavne
ranljivosti pri uporabi mobilnih naprav ter načine za
obvladovanje poslovnih tveganj, povezanih z njihovo uporabo.
Kvantitativna obrambna tehnika pred naprednimi
napadi na gesla
Iztok Starc, Univerza v Ljubljani, Fakulteta za računalništvo
in informatiko
Overjanje z geslom je vodilna tehnika identifikacije uporabnika.
Uporablja se za pridobitev dostopa do informacijskih
sistemov (IS). Uporabniki in IS se vedno v večji meri povezujejo
preko interneta zaradi večje učinkovitosti dela in stroškov.
Prav tako pa so zaradi internetne povezanosti tudi bolj
izpostavljeni oddaljenim grožnjam. Za preprečitev nepooblaščenega
dostopa je pogosto uporabljena kontrola ustreznosti
gesla. Le-ta omejuje možnost izbire šibkih gesel in
tako zmanjša tveganje napadov z ugibanjem gesel na sprejemljivo
raven. V tem prispevku bomo pokazali, da ta kontrola
ni dovolj učinkovita v primeru napada naprednega nasprotnika,
ki kombinira metode družbenega inženiringa in
ugibanja gesel. Podali bomo lastnosti nove kvantitativne
obrambne tehnike za odkrivanje teh napadov. Obrambna
tehnika naj meri približevanje poskusov napadalca k skrivnemu
geslu in naj obvesti uporabnika samo, če je presežen
prag sprejemljive ravni tveganja.
Dva pogleda na kontrolo in zaupanje: direktor
informatike in revizor informacijskih sistemov
Goran Šušnjar, PRIS
Čeprav sta kontrola in zaupanje pomembna v vsakem
odnosu med dvema poslovnima partnerjema kot podlaga in
zagotovilo uspešnega sodelovanja, je v odnosu med predstavnikom
poslovodstva (direktorjem informatike) in revizorjem
(informacijskih sistemov) vloga kontrole in zaupanja
odvisna od narave poslovnega odnosa. Revizor se sicer
vedno pojavlja kot izvajalec, ampak enkrat za potrebe zunanjega
nadzora, drugič pa za potrebe poslovodstva samega.
Narava odnosa je povezana hkrati z drugačnimi etičnimi dilemami
na strani revizorja IS in direktorja informatike, ki jih v
prispevku obravnavam z vidika teorije etičnega odločanja.
Poleg samega modela etičnega odločanja predstavim tudi
pomembnejša dognanja o povezavah med njegovimi ključnimi
deli ter navajam nekaj mehanizmov, z katerimi naj bi zagotovili
etično ravnanje revizorja IS in direktorja informatike.
Hektivizem
Maja Hmelak, PRIS, CIA, Pavel Golob, CISA, PRIS
Hektivizem je posebna oblika tradicionalnega hekerstva, v
katero so vključeni nekateri izmed najboljših trenutno delujočih
hekerjev. Prve odmevnejše epizode hektivizma so bili
napadi na spletne strani PayPala in MasterCarda kot maščevanje
za ustavitev plačil spletni strani Wikileaks, v 2012
pa je čedalje več političnih dejanj povezan tudi s hektivističnim
napadom.
V prispevku povzemava ključne značilnosti in faze hektivističnih
napadov, njihove cilje in tipične udeležence, predstavljava
nekatere znane primere napadov v 2011 in 2012 ter
podajava priporočila za zmanjšanje izpostavljenosti ter hitrejše
okrevanje v primeru uspešno izvedenih napadov.
Povabilo udeležencem, maj 2012 Stran 5/7

20. mednarodna konferenca o revidiranju in kontroli IS, september 2012
Program konference
Torek, 25. september 2012
Otvoritev
9.009.30 Otvoritveni nagovor Boža Javornik
9.3011.00
11.0011.30
Kaj so prednosti CobIT 5 (What is Added Value of
Moving to CobIT 5)
Odmor
Računalništvo v oblaku in varstvo osebnih podatkov
11.3013.00 Varstvo osebnih podatkov in računalništvo v oblaku –
Smernice Informacijskega pooblaščenca
13.0014.30
14.3016.00
16.0016.30
Izzivi v oblaku: Ali so revizorji pripravljeni na nove
vremenske razmere?
Kosilo
Revizijska praksa
Načrtovanje in izvedba pregleda varovanja notranjega
omrežja
Odmor
Revizijska praksa
Derek Oliver,
ISACA London Chapter
Andrej Tomšič –
Informacijski pooblaščenec RS
Damir Savanovič, Slovenski odsek CSA
(Cloud Security Alliance)
Peter Grasselli
16.3018.00 Revidiranje socialnih medijev Matjaž Pušnik
16.3018.00
Revizija informacijskih sistemov kot revizija smotrnosti
Vpliv motiviranosti revizorjev IS na njihovo učinkovitost
ISO 27007 – revidiranje IS…
in primerjava z ISO 27006
ISMS v malih podjetjih
Merjenja informacijske varnosti
20.00 Družabno srečanje
ISO 2700x izzivi
Anica Bratanič
Igor Karnet
Mladen Terčelj, Boštjan Delak
Jure Pranjič
Rado Ključevšek
9.0010.30
10.3011.00
Sreda, 26. september 2012
Prevare in goljufije z izrabo informacijskih sredstev
Računalniška forenzika – orodje pri preiskovanju
prevar in izvajanju pregledov skladnosti
Odmor
Varnost
Pavel Zvolský
11.0012.30 Forenzika v oblaku Renato Burazer
12.3013.40
Upravljanje revizijskih sledi v oblaku
Revizijske sledi – nuja in mora
Kosilo
Zagotavljanje varnosti
Mina Žele
Dušan Vezjak
14.0015.30 Pomen zagotavljanja varnosti v industrijskih okoljih Andrej Zimšek
15.3016.00
16.0017.30
Mobilne naprave
Kvantitativna obrambna tehnika pred naprednimi
napadi na gesla
Odmor
Kontrolirati ali zaupati
Dva pogleda na kontrolo in zaupanje: direktor informatike
in revizor informacijskih sistemov
Hektivizem
Borut Žnidar
Iztok Starc
Goran Šušnjar
Pavel Golob, Maja Hmelak
Podrobnosti iz vsebine prispevkov na konferenci in delavnici si lahko ogledate tudi na www.si-revizija.si ali www.isaca.si.
Stran 6/7 Povabilo udeležencem, maj 2012

20. mednarodna konferenca o revidiranju in kontroli IS, september 2012
PRIJAVNICA
za 20. mednarodno konferenco o reviziji in kontroli informacijskih sistemov,
25. in 26. september 2012, Grand hotel Primus, Ptuj
Podjetje:
Udeleženci:
Kraj in poštna številka:
Ulica in hišna številka:
Telefonska številka:
Davčna številka:
Ali ste zavezanec za DDV? DA NE
Pri plačilu udeležnine v polje za sklicevanje na številko vpišite 00 33-12.
Datum prijave:
Žig in podpis pooblaščene osebe
__________________________________________________________________________________________
Podjetje:
PRIJAVNICA
za delavnico COBIT 5,
27. in 28. september 2012, Slovenski inštitut za revizijo, Ljubljana
Udeleženci:
Kraj in poštna številka:
Ulica in hišna številka:
Telefonska številka:
Davčna številka:
Ali ste zavezanec za DDV? DA NE
Pri plačilu udeležnine v polje za sklicevanje na številko vpišite 00 34-12.
Datum prijave:
Žig in podpis pooblaščene osebe
Povabilo udeležencem, maj 2012 Stran 7/7