W dniach 13 i 14 maja 2008 r. w Centrum Konferencyjno-Szkoleniowym „Boss” w Warszawie odbyła się konferencja IT Security Management, zorganizowana przez firmę Software-Konferencje i poświęcona zarządzaniu bezpieczeństwem informacji. Wzięło w niej udział ponad 50 uczestników – głównie przedstawicieli kierownictwa oraz działów informatycznych banków, firm ubezpieczeniowych i przedsiębiorstw telekomunikacyjnych.
Głównym sponsorem konferencji była firma Comarch, specjalizująca się m.in. w integracji bankowych i ubezpieczeniowych systemów informatycznych, a pozostałymi sponsorami firmy dostarczające oprogramowanie lub rozwiązania informatyczne (D-Link, Trend Micro, HP, Evercom) oraz firma KEMA Quality, zajmująca się audytami i certyfikacją systemów zarządzania i wyrobów. Na stoiskach sponsorów, które zostały zorganizowane poza salą obrad, można było wyjaśnić wiele nurtujących uczestników kwestii. Stoiska posiadały także cztery inne firmy informatyczne uczestniczących w tej formie w konferencji (Comp Safe Support, Marken, Symantec i ed&r). Patronat honorowy nad konferencją objęły następujące organizacje: ISACA, ISSA, Krajowe Stowarzyszenie Ochrony Informacji Niejawnych i Polski Instytut Kontroli Wewnętrznej. Jednym z patronów medialnych konferencji było czasopismo „Zabezpieczenia”.
Podczas konferencji zaprezentowano łącznie 17 referatów. Ich autorzy to eksperci w dziedzinie bezpieczeństwa informacji, reprezentujący sponsorów (6 referatów), banki (3), wyższe uczelnie (3) oraz firmy audytujące (4) i ich stowarzyszenie ISACA (1). W treści lub tytułach referatów często występowały odniesienia do standardów lub norm dotyczących bezpieczeństwa informacji, których jest wiele i choć nie są obowiązujące, to uzyskanie certyfikatu zgodności z podstawowymi z nich jest sprawą priorytetową dla większości dużych przedsiębiorstw.
Dwa z referatów dotyczyły wdrażania zasad odzyskiwania sprawności (odtwarzania) systemu informatycznego po katastrofie lub awarii (pojęcie to jest znane bardziej w formie angielskojęzycznej jako Disaster Recovery, w skrócie DR). W pierwszym z nich Renata Davidson (Davidson Consulting) omówiła zasady DR zgodne z nową normą ISO/IEC 24762. W drugim swymi przemyśleniami na temat przydatności standardu COBIT do ustalenia tych zasad w powiązaniu z planami ciągłości działania (ang. Business Continuity, w skrócie BC) podzieliła się Sylwia Wystub (Bank Gospodarstwa Krajowego). O zarządzaniu ryzykiem w odniesieniu do systemów informatycznych mówili w swoich wystąpieniach Anna Słodczyk i Piotr Mąkosa (Risk Management Team Poland) oraz Piotr Welenc (NBP), który wygłosił także drugi referat – na temat ładu informatycznego (ang. IT Governance). Z tym ostatnim pojęciem wiąże się nowy termin, wchodzący do powszechnego użycia – ład bezpieczeństwa informacji (ang. IT Security Governance). O istnieniu wielu dróg prowadzących do jego uzyskania można było się przekonać słuchając wykładu Magdaleny Szeżyńskiej (Politechnika Warszawska). Zarządzania bezpieczeństwem dotyczyły dwa referaty: Pawła Nogowicza (Evercom) i Piotra Błońskiego (KEMA Quality), a inne dwa – audytowania systemów. Pierwszy z tych referatów, wygłoszony przez Piotra Wrzesińskiego (Dolnośląskie Biuro Jakości) dotyczył Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), opisanego standardem ISO/IEC 27001, a w drugim Radosław Kaczorek (ISACA) omówił zasady audytu systemów informatycznych w świetle standardów ISACA, bazujących na metodyce COBIT. Mało znany raport techniczny ISO/IEC TR 18044 na temat zarządzania incydentami bezpieczeństwa omówił Bolesław Szomański (Politechnika Warszawska).
Przedstawiciele firmy Comarch wygłosili dwie prelekcje. Pierwsza dotyczyła wymuszania polityki bezpieczeństwa i została zaprezentowana przez Ewelinę Kornaś-Zarzycką (w zastępstwie Tomasza Śnieżyńskiego), a druga, autorstwa Macieja Wolańskiego – systemu, umożliwiającego ochronę zasobów sieci firmowej „od wewnątrz” i kontrolę aktywności sieciowej pracowników (zgodnie z kontrowersyjnym założeniem „Pracownik jest największym zagrożeniem dla informacji”). Filip Demianiuk (Trend Micro) omówił problematykę zapobiegania wypływowi danych (ang. Data Leakage Prevention, w skrócie DLP) oraz osiągnięcia reprezentowanej przez siebie firmy w tym zakresie, a sprzętowe rozwiązania bezpieczeństwa sieciowego – Marcin Wójcik (D-Link). Rozwiązania firmy HP podnoszące bezpieczeństwo sieci i umożliwiające sprawne zarządzanie infrastrukturą sieciową przedstawił Kazimierz Osiński z tej firmy. Michał Gramatyka z Katedry Kryminalistyki Uniwersytetu Śląskiego przedstawił multimedialną prezentację, dotyczącą komputerowego wspomagania ekspertyzy kryminalistycznej, która, w części poświęconej badaniom emocji, wykraczającym poza klasyczne badanie poligraficzne, wywołała żywe reakcje uczestników.
Pierwszy dzień konferencji zakończyło spotkanie integracyjne jej uczestników, które stało się okazją do dyskusji nie tylko na tematy związane z bezpieczeństwem informacji.
Adam Bułaciński,
Redakcja
Zapraszamy do obejrzenia fotoreportażu (FOTOGALERIE)