Dzień pierwszy - 23 października 2024
DORA will soon be a requirement in Financial Services throughout the EU. Any Financial Services firm, wherever headquartered, will need to comply with DORA in their operations in the EU by 17 January 2025. But the adventures of DORA have already begun for most financial institutions.
DORA will bring many benefits but also many challenges. While many of the requirements of DORA are familiar and covered by other standards and regulations, new elements are introduced, and others require a higher standard and/or contain more detailed requirements.
One of the key aims of DORA is to harmonise national rules on operational resilience and cybersecurity regulation across the EU. However, already some national differences in approach are starting to appear. For example, some competent authorities have published additional guidance on DORA just for their country.
This presentation will focus on:
- What are the most significant challenges in DORA and how might they best be overcome?
- What should firms do if they can’t complete every requirement in DORA by 17 January 2025?
- How are different EU countries and nations approaching DORA, and what variations are being seen?
FS-ISAC (Financial Services Information Sharing and Analysis Center)
to organizacja, która wspiera sektor finansowy w zakresie bezpieczeństwa cybernetycznego. Działa jako platforma do wymiany informacji o zagrożeniach, incydentach i najlepszych praktykach, umożliwiając członkom lepszą ochronę przed atakami. FS ISAC organizuje także szkolenia i warsztaty, aby zwiększyć świadomość i przygotowanie na wypadek cyberzagrożeń.
Podczas prelekcji podsumujemy kluczowe wnioski płynące z przeprowadzonych u naszych Klientów analiz luki pod kątem zgodności z DORA. Omówimy główne obserwacje dotyczące dojrzałości sektora w Polsce oraz spróbujemy odpowiedzieć na pytanie, czy już na tym etapie widzimy poprawę w zakresie operacyjnej odporności cyfrowej. Na podstawie rzeczywistych doświadczeń projektowych przedstawimy największe wyzwania i trudności, jakie napotykają nasi Klienci w spełnieniu wymagań regulacji. Zaproponujemy także konkretne, kluczowe kroki przygotowawcze, które pomogą w dalszym dostosowaniu się do DORA.
W trakcie debaty eksperci podsumują najważniejsze zmiany, jakie zaszły w ciągu ostatniego roku w obszarze regulacji związanych z DORA. Omówione zostaną Regulatory Technical Standards (RTS) i Wdrożeniowe Standardy Techniczne i Implementation Technical Standards (ITS) i wyzwania, jakie napotkały firmy podczas wdrażania nowych przepisów.
DORA wymaga wielu zmian w procesach związanych z zarządzaniem ryzykiem ICT. W celu zapewnienia zgodności z rozporządzeniem, w wymaganym terminie, zmiany te będą istotnie angażowały zespoły projektowe jeszcze przez kilka kolejnych miesięcy. Co jednak dalej? Po wdrożeniu kurz opadnie, priorytet wróci do projektów biznesowych, a kwestia szerokorozumianej odporności wróci na półkę z napisem „business as usual”. Jak zapewnić, żeby wdrożone procesy, utrzymały wysoką jakość a co za tym idzie odporność nie pozostała tylko tytułem na stronach procedur? Tu z pomocą mogą przyjść kluczowe kontrole w procesach ICT.
Dobra strategia ochrony danych - wdrożona, utrzymywana i rozwijana poprawnie - umożliwia spełnienie wielu wymagań regulacji DORA w zakresie zarządzaniem ryzykiem IT i poprawy odporności operacyjnej. Opowiem o tym na czym taką strategię oprzeć (podejście, technologie) i jaka ją zaimplementować w konkretnych działaniach operacyjnych. Tak aby finalnie pomogła w zwiększeniu odporności cyfrowej. Powiemy także o tym co nasz czeka w przyszłości w zakresie ochrony danych i szyfrowania.
Zapraszam na dyskusję o konsekwencjach wdrożenia regulacji DORA w zakresie, m.in. współpracy z dostawcami zewnętrznymi i ograniczania ryzyka dostępu osób niepowołanych do kluczowych zasobów przedsiębiorstwa. A ponadto dlaczego nie pobłażać księgowym oraz dlaczego nie zaniedbywać maszyn.
Case study w sektorze finansowym, czyli dlaczego wykrycie potencjalnych ścieżek ataku jest takie ważne?
Z analizy firmy XM Cyber wynika, że u Klientów widocznych jest średnio ponad 15 000 podatności, które mogą być wykorzystane w różnych atakach, a w przypadku 79% organizacji występują problemy związane z lokalnymi danymi uwierzytelniającymi oraz uprzywilejowanymi kontami w usłudze Active Directory.
Podczas prezentacji zaprezentowane zostanie case study, które pozwoliło na wykrycie nowych z perspektywy klienta potencjalnych technik ataku.
Integracja wymagań DORA, w zakresie ram zarządzania ryzykiem IT, to pokazanie jak zmienić, zmodyfikować istniejące rozwiązania w zakresie IT Risk, aby zademonstrować zgodność z DORA. Narracja prezentacji bazuje na rozwiązaniach IT Risk w organizacjach, które stosowały wytyczne EBA w zakresie zarządzania ryzykiem IT lub zarządzanie ryzykiem IT oparte o normę ISO27005.
W trakcie prelekcji zostaną omówione elementy dotyczące zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT w rozumieniu rozporządzenia DORA oraz aktów wykonawczych. Uczestnicy otrzymają również wybrane informacje na temat planowanych i aktualnie prowadzonych działań przez Urząd Komisji Nadzoru Finansowego oraz Europejskie Urzędy Nadzoru.
W trakcie prelekcji zostaną omówione elementy dotyczące zarządzania ryzykiem ze strony dostawców usług ICT według DORA. Opisane zostaną funkcje istotne i krytyczne usługi ICT w rozumieniu DORA. Uczestnicy dowiedzą się również jak zarządzać ryzykiem w cyklu życia usług ICT oraz o sposobach sprawowania kontroli nad działalnością dostawców.
Zarządzanie ryzykiem łańcucha dostaw jest kluczowym elementem zgodności z DORA, jednak wiele instytucji finansowych ma trudności z osiągnięciem wymaganej widoczności i kontroli nad zewnętrznymi dostawcami usług ICT. Podczas tej sesji zbadamy praktyczne wyzwania i typowe pułapki w zarządzaniu ryzykiem łańcucha dostaw w ramach DORA, w tym rzeczywiste przykłady, w których luki w widoczności mogą prowadzić do problemów ze zgodnością i zakłóceń operacyjnych. Omówimy skuteczne praktyki oceny ryzyka stron trzecich, wdrażania ciągłego monitorowania i budowania odpornego środowiska ICT, które chroni przed lukami w zabezpieczeniach łańcucha dostaw. Uczestnicy wyjdą z praktycznymi strategiami zapewniającymi odporność i gotowość do zapewnienia zgodności z przepisami.
W trakcie wdrożenia DORA w 2 zakładach ubezpieczeń w aspekcie zarządzania ryzykiem ze strony zewnętrznych dostawców ICT (outsourcing) musieliśmy się zmierzyć z wyzwaniami regulacyjnymi wynikającymi z zarówno z wymogów wynikających z ustawy ubezpieczeniowej, ale również z „niestabilnego kształtu” RTS doprecyzowującego szczegółową treść polityki w zakresie ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT (opublikowanego dopiero 25.06.2024). Dodatkowo w trakcie prac wdrożeniowych KNF wydało stanowisko z dnia 25.03.2024 dotyczące niektórych aspektów stosowania outsourcingu przez zakłady ubezpieczeń i zakłady reasekuracji, które nawiązuje do DORA i referuje do kwestii ICT w zakresie:
- przechowywania i archiwizacji danych prawnie chronionych;
- zapewniania ciągłego utrzymania i wsparcia systemów informatycznych.
W trakcie prelekcji postaram się pokazać nasze podejście do tej mozaiki regulacyjnej ze szczególnym uwzględnieniem poszukiwania wspólnych elementów, a także istotnej materii wynikającej z opublikowanego RTS.
Jak badać bezpieczeństwo AI wykorzystywanej lub tworzonej przez dostawcę? Jeszcze do niedawna tylko największe firmy mogły sobie pozwolić na wymuszenie bezpiecznych rozwiązań na dostawcach typu OpenAI, mniejsi nie korzystali (oficjalnie) z AI w ogóle z obawy o bezpieczeństwo. Za chwilę, w związku z ofertami Mety i VmWare, AI pojawi się wszędzie. Jakie kwestie sprawdzać u dostawcy gdy używa AI u siebie do świadczenia nam usługi, a jakie gdy wbudował AI w oferowany nam produkt? Opowiem czym AI różni się od standardowych systemów, jakie w niej drzemią ryzyka i jak zbadać, czy dostawca jest ich świadom i sensownie nimi zarządza.
W dobie rosnących zagrożeń cybernetycznych, proces cyber recovery staje się kluczowym elementem strategii bezpieczeństwa każdej organizacji. Nowe regulacje, takie jak NIS2 i DORA, podkreślają znaczenie skutecznego zarządzania incydentami cybernetycznymi i odzyskiwania po nich. Proces cyber recovery jest kluczowy z kilku powodów: zgodność z regulacjami, minimalizacja przestojów, ochrona reputacji, zarządzanie ryzykiem. Zapraszamy na prezentację podczas, której skupimy się na znaczeniu procesów cyber recovery w zapewnieniu ciągłości działania i ochronie przed zagrożeniami cybernetycznymi.
Ramy, strategie, filary i setki wymagań w RTSach… niełatwo to wszystko ogarnąć, a jeszcze trudniej wdrożyć w praktyce. W gąszczu wymagań biznesowych, funkcjonalnych czy bezpieczeństwa trudno jest zachować dynamikę i efektywność (także, a nawet przede wszystkim, kosztową), której oczekuje konkurencyjny rynek i klienci. Wymagania DORA z perspektywy kierownika projektu to prawdziwe wyzwanie. W obszarze zarządzania incydentami temat ma dwa oblicza: z jednej strony powinniśmy zapobiegać takim zdarzeniom z drugiej, sprawnie realizować działania naprawcze, aby łagodzić ich skutki i jeszcze dopełnić obowiązki raportowe. W świecie rozproszonych technologii, zróżnicowanych zespołów projektowych to zadanie wymaga systematycznego, ustrukturyzowanego i rozliczanego podejścia. Podczas prezentacji, wcielając się w rolę kierownika projektu, przyjrzymy się realnym wyzwaniom, z jakimi spotykają się zespoły projektowe podczas integracji, wdrażania i utrzymania usług w obszarze zarządzania incydentami ICT, zgodnie z wymaganiami DORA. Pokażemy również, jak można skutecznie im zaradzić - na poziomie strategicznym i operacyjnym - wykorzystując dostępne technologie oraz sprawdzone metody zarządzania projektami.
Uczestnicy zostaną podzieleni na równoliczne zespoły, które mają czas na wymianę opinii i odniesienie się do innych – jak widzą swoją drogą do spełnienia wymogów DORA.
4 zespoły – każdy z zespołów ma swojego moderatora.
W redukcji ryzyka kluczowy jest kontekst, ponieważ̇ nie wszystkie elementy infrastruktury mają równy wpływ na stan zabezpieczeń. Krytyczne podatności, błędy konfiguracyjne, problemy z poświadczeniami to tylko niektóre elementy, które mogą być wykorzystane w skutecznej ścieżce ataku. Jak optymalnie podejść od niekończących się̨ list zagrożeń wymagających usunięcia i zmiany ich na rzecz przejrzystego widoku realnych ryzyk? Jak wskazać na te elementy najbardziej istotne z punktu widzenia ochrony środowisk lokalnych i chmurowych?
Dzięki wykorzystaniu metodologii ciągłego zarzadzania narażeniem na zagrożenia (CTEM) można zmobilizować zespoły do blokowania atakujących w tzw. wąskich gardłach, gdzie zbiegają̨ się̨ ścieżki ataków. Takie podejście pozwala na zastosowanie precyzyjnych i opłacalnych smrodków zaradczych, które szybko poprawiają̨ stan zabezpieczeń.
- Identyfikacja wąskich gardeł i ślepych zaułków,
- Wskazówki dotyczące środków zaradczych uwzględniające kontekst,
- Ocena stanu zabezpieczeń i trendów,
- Zarządzanie najczęstszymi lukami w zabezpieczeniach i podatnościami (CVE), błędnymi konfiguracjami oraz problemami z tożsamością,
To tylko niektóre tematy jakie poruszymy podczas wspólnej rozmowy. Zapraszamy do naszego stolika.
Rozporządzenie DORA wprowadza nowe wymagania dotyczące odporności operacyjnej w sektorze finansowym. Celem jest zapewnienie, że instytucje finansowe są w stanie skutecznie zarządzać ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT) oraz szybko i efektywnie reagować na incydenty cybernetyczne. Przygotowanie się na wymagania DORA wymaga kompleksowego podejścia do zarządzania ryzykiem ICT i cyberodporności. Organizacje muszą inwestować w odpowiednie narzędzia, procedury i szkolenia, aby sprostać nowym regulacjom i zapewnić ciągłość działania w obliczu rosnących zagrożeń cybernetycznych. Zapraszamy do dyskusji, o tym jak w praktyce przygotować się na DORA.
Zapewnienie zgodności z regulacjami takimi jak DORA jest procesem a nie projektem, co wymaga ciągłej pracy i odpowiedniego dokumentowania jej wyników.
Z uwagi na zbliżający się czas stosowalności DORA należy już teraz pomyśleć o tym czy Państwa organizacja jest gotowa do wykazania się przed audytem wewnętrznym bądź regulatorem w kwestii stanu zgodności z tą regulacją.
W ramach dyskusji podejmiemy m.in. następujące zagadnienia:
- W jaki sposób udokumentować przyjęte wewnętrznie podejścia do interpretacji nieoczywistych zagadnień w DORA?
- Jak przygotować się do wykazania, że wymagania regulacyjne nie są jedynie treścią dokumentów, ale również wprowadzone są do bieżącego funkcjonowania organizacji?
- Co zrobić, jeśli dostawcy ICT nie zgadzają się na aktualizację zapisów umownych?
- Jakie są priorytetowe obszary, które organizacje powinny wewnętrznie skontrolować przed ogłoszeniem sukcesu projektu DORA.
- Co zrobić, jeśli nie zdążymy się dostosować w terminie?
Sednem wymogów rozporządzenia DORA jest dysponowanie przez podmiot finansowy solidnymi, kompleksowymi i dobrze udokumentowanymi ramami zarządzania ryzykiem ICT, obejmującymi w szczególności ryzyko ze strony zewnętrznych dostawców usług ICT. Tak ogólnie postawione zadanie raczej nie budzi wątpliwości z punktu widzenia nadrzędnego celu, jakim jest zapewnianie oczekiwanej operacyjnej odporności cyfrowej podmiotów finansowych. Gdy jednak zagłębimy się w szczegóły realizacji tego zadania w zgodzie z nowymi przepisami, to ujawni się prawdopodobnie wiele rozbieżności w rozumieniu poszczególnych pojęć, uznawaniu poszczególnych kwestii za bardziej lub mniej priorytetowe, etc. Podczas wspólnej dyskusji spróbujemy zidentyfikować tego typu rozbieżności, które warto wziąć pod uwagę rozważając zgodność ram zarządzania ryzykiem ICT własnej organizacji z wymogami DORA. W szczególności podejmiemy próbę odpowiedzi na poniższe pytania:
- czy nie dokonujemy zbytniego uproszczenia zakładając, że rozporządzenie DORA silnie wspiera podejście "risk-based" pozwalając podmiotowi finansowemu wprowadzać mechanizmy postępowania z ryzykiem stosownie do przeprowadzonej jego oceny (w tym w oparciu o zasadę proporcjonalności), gdy tymczasem nakłada ono dużą liczbę konkretnych wymogów, które trzeba jednoznacznie spełnić (niezależnie od wielkości i ogólnego profilu ryzyka danej organizacji)?
- czy mówiąc o zarządzaniu ryzykiem technologicznym zgodnym z DORA w równym stopniu myślimy o skutecznych narzędziach i procesach służących zapewnieniu bezpieczeństwa sieci i systemów informatycznych, jak i o samym pomiarze ryzyka ICT, obejmującym m.in. wymagane przez rozporządzenie ewidencjonowanie zmian ryzyka w czasie oraz zatwierdzanie poziomu tolerancji tego ryzyka?
- czy definicja usługi ICT w rozumieniu DORA dotyka sedna łańcucha dostaw mających wpływ na bezpieczeństwo sieci i systemów informatycznych, z których korzysta podmiot finansowy, czy też być może pomija ważny obszar ryzyka operacyjnego, który mogą stwarzać ogólniej rozumiani dostawcy kluczowych mediów i usług?
- jak właściwie podejść do procesu testowania co najmniej raz w roku planów ciągłości działania ICT oraz planów reagowania i naprawy ICT w odniesieniu do systemów ICT obsługujących wszystkie funkcje?
- jakie kluczowe czynniki ryzyka mogą obecnie zakłócić naszą gotowość do dysponowania od 17 stycznia 2025 roku ramami zarządzania ryzykiem ICT spełniającymi wymogi DORA (duża skala wymagań, niejasność przepisów i różny status RTS/ITS do rozporządzenia, ograniczenia budżetowe, negocjacje umów z dostawcami usług ICT, etc.)?
Debata ta będzie koncentrować się na wnioskach wyciągniętych z dotychczasowej implementacji DORA oraz na planach na przyszłość. Eksperci przedstawią kluczowe spostrzeżenia, omówią najważniejsze wyzwania i korzyści oraz zaprezentują, jakie kolejne kroki powinny podjąć organizacje, aby zapewnić zgodność z przepisami i bezpieczeństwo cyfrowe na podstawie najnowszego pakietu RTS i ITS.
Pobieranie biorgamu... Proszę czekać...

Dzień drugi - 24 października 2024
Dołącz do warsztatów skupionych na dogłębnej analizie, tego co oznacza "testowanie" cyberodporności zgodnie z najlepszymi praktykami, jak to jest określone w artykule 24. Aktu o Cyfrowej Odporności Operacyjnej (DORA), który nakłada na sektor finansowy wymóg testowania cyberodporności. Warsztaty obejmą cztery kluczowe komponenty, które wdrażają organizacje o najwyższych standardach:
1) fundamenty: dobrze zaprojektowane scenariusze zagrożeń, z wyraźnym uwzględnieniem krytycznych zasobów
2) planowanie awaryjne: rozszerzanie planów na wypadek zagrożeń niekonfrontacyjnych z disaster recovery
3) symulacje i ćwiczenia: przygotowanie na skrajne, ale prawdopodobne scenariusze
4) symulacje działań atakujących: ciągłe i w warunkach rzeczywistych.
Uczestnicy wezmą udział w interaktywnych sesjach, aby opracować skuteczne strategie testowania i wrócą do swoich organizacji przygotowani do radzenia sobie z incydentami związanymi z ICT i utrzymaniem ciągłości działania.
Po warsztatach uczestnicy otrzymają certyfikat ukończenia kursu.
Pobieranie biorgamu... Proszę czekać...

Gość Specjalny DORA Forum 2024
Wśród Prelegentów DORA Forum 2024
Francesco Chiarini
ISSA Global Head Cyber Resilience SIG
Damian Jagusz
ERGO Hestia
Rada Programowa DORA Forum 2024
Damian Jagusz
ERGO Hestia
ORGANIZATOR
Evention
Evention to firma z 11-letnią historią, znana z tworzenia programów wymiany wiedzy i rozwoju społeczności (poprzez organizację regularnych spotkań i konferencji) dla dyrektorów, menedżerów i ekspertów odpowiedzialnych za obszar technologii, bezpieczeństwa i cyfryzacji. Firma Evention realizuje od lat uznane na rynku konferencje branżowe, cykliczne spotkania dedykowane dla managerów oraz publikacje specjalne (raporty, projekty badawcze). Robimy w Evention rzeczy wyjątkowe i niepowtarzalne – a w swoim obszarze rynku jesteśmy liderem. Potwierdzeniem tego są zdobyte wyróżnienia i nagrody: Gazeli Biznesu 2023 (przyznawany przez Puls Biznesu) oraz Diamenty Forbesa 2023. To prestiżowe rankingi pokazujące najbardziej dynamicznie rozwijające się firmy MŚP, gotowe sprostać współczesnym wyzwaniom rynku. Więcej o nas na stronie: www.evention.pl.
PATRONAT HONOROWY
Ministerstwo Cyfryzacji
Polski urząd administracji rządowej obsługujący ministra właściwego do spraw działu administracji rządowej – informatyzacja. W kwietniu 2023 r. powołany na stanowisko ministra cyfryzacji został Janusz Cieszyński, który w latach 2021‒2023 pełnił funkcję sekretarza stanu ds. cyfryzacji w Kancelarii Prezesa Rady Ministrów.
PARTNER GENERALNY
PwC Polska
PwC jest jedną z największych firm doradztwa biznesowego i technologicznego w zakresie chmury obliczeniowej. PwC zostało nazwane liderem według badania IDC MarketScape: Worldwide Cloud Professional Services 2022 Vendor Assessment. Naszym celem jest budowanie społecznego zaufania i odpowiadanie na kluczowe wyzwania współczesnego świata. Jesteśmy siecią firm działającą w 152 państwach. Zatrudniamy ponad 327 tysięcy osób, które dostarczają naszym klientom najwyższej jakości usługi w zakresie doradztwa biznesowego, technologicznego, podatkowo-prawnego oraz audytu.
W Polsce PwC posiada biura w 7 miastach oraz Financial Crime Unit w Gdańsku i Warszawie, dwa Centra Usług Wspólnych w Katowicach i Opolu oraz oddział PwC IT Services w Lublinie. Polskie spółki PwC zatrudniają ponad 6000 osób, w tym niemal 2000 w zespołach technologicznych.
PARTNERZY STRATEGICZNI
Commvault
Commvault jest czołowym dostawcą rozwiązań do ochrony danych i zarządzania informacjami. Pomaga przedsiębiorstwom na całym świecie wykorzystywać dane i wyodrębniać z nich cenne informacje biznesowe oraz przekształcać współczesne środowiska danych. Commvault dostarcza usługi i rozwiązania bezpośrednio, a także poprzez światową sieć partnerów i dostawców usług. Commvault jest liderem w branży w zakresie ochrony i odzyskiwania danych, chmury obliczeniowej, wirtualizacji, archiwizacji, synchronizacji i udostępniania danych. Zyskał uznanie klientów i wpływowych ekspertów za swoją wizję technologii, liczne innowacje oraz udane wdrożenia. Firma cieszy się opinią niezależnego i zaufanego eksperta. Wyłącznym obszarem jej zainteresowania jest zarządzanie danymi. Rozwiązania Commvault są stosowane przez firmy różnej wielkości, we wszystkich gałęziach przemysłu. Rozwiązania wdrażane są w środowiskach fizycznych na platformach mobilnych, w chmurze, a także w formie usługi Metalllic w modelu as-a-service.
XM Cyber
XM Cyber is a leader in hybrid cloud exposure management that’s changing the way organizations approach cyber risk. XM Cyber transforms exposure management by demonstrating how attackers leverage and combine misconfigurations, vulnerabilities, identity exposures, and more, across AWS, Azure, GCP and on-prem environments to compromise critical assets. With XM Cyber, you can see all the ways attackers might go, and all the best ways to stop them, pinpointing where to remediate exposures with a fraction of the effort. Founded by top executives from the Israeli cyber intelligence community, XM Cyber has offices in North America, Europe, Asia Pacific and Israel.
PARTNER MERYTORYCZNY
Akamai
Akamai wzmacnia i chroni społeczności online. Wiodące firmy z całego świata wybierają Akamai, powierzając jej planowanie, realizację i ochronę ich działań w internecie, co oznacza codzienne wsparcie dla miliardów ludzi w życiu prywatnym, pracy i rozrywce. Akamai Connected Cloud, szeroko rozproszona platforma technologii brzegowych i usług w chmurze, sprawia, że aplikacje i świat wirtualny są jeszcze bliżej użytkowników, a zagrożenia omijają ich z daleka. Więcej informacji o rozwiązaniach Akamai w obszarze przetwarzania w chmurze, zabezpieczeń i dostarczania treści znajdziesz na stronach Akamai.com i akamai.com/blog. Zapraszamy też do obserwowania Akamai Technologies na X, dawniej znany jako Twitter, i w LinkedIn.
CyberArk
CyberArk to światowy lider w dziedzinie bezpieczeństwa tożsamości. Znany z wszechstronnego podejścia do bezpieczeństwa kont uprzywilejowanych, kompleksowo podchodzący do transformacji cyfrowej i zapewniający narzędzia automatyzujące uwierzytelnienie i zarządzanie uprawnieniami. Rozwiązanie sprawdza się w infrastrukturze lokalnej oraz wszystkich możliwych środowiskach chmurowych, dostarcza dostęp lokalny i zdalny do krytycznych zasobów - nie tylko IT - ale również OT/SCADA.
ISCG
Jesteśmy wiodącą firmą na rynku IT z 20-letnim doświadczeniem, specjalizującą się w obszarze integracji środowisk i cyberbezpieczeństwa. Współpracujemy ze ścisłą czołówką producentów w obszarze Cyber, takimi jak Microsoft, Thales, Quest, Delinea, Trend Micro, Sentinel One, oraz Recorded Future. To co nas wyróżnia to bardzo silne kompetencje w obszarze Microsoft, tytuł Country Partner of The Year, oraz 4 nagrody Microsoft Partner of the Year, liczne specjalizacje i certyfikacje w obszarze Microsoft Security. Dzięki temu mamy możliwość swobodnej integracji rozwiązań w zakresie bezpieczeństwa z istniejącą już w wielu organizacjach infrastrukturą IT. Przeprowadzamy naszych klientów przez cały proces budowania cyberodporności od audytów i health checków, poprzez doradztwo i wdrożenia technologiczne do wsparcia w formie Managed Security Services i usług MDR/SOC. Naszą misją jest zapewnienie naszym klientom najwyższego poziomu bezpieczeństwa i zgodności z regulacjami w dynamicznie zmieniającym się krajobrazie cyberzagrożeń.
Thales
Thales jest światowym liderem w dziedzinie ochrony danych, dostarczając wszystko, czego organizacje potrzebują do ochrony danych, tożsamości i własności intelektualnej oraz zarządzania nimi – poprzez szyfrowanie, zaawansowane zarządzanie kluczami, tokenizację oraz uwierzytelnianie i zarządzanie dostępem. Niezależnie od tego, czy chodzi o zabezpieczanie chmury, płatności cyfrowych, blockchain czy Internet rzeczy, specjaliści ds. bezpieczeństwa na całym świecie polegają na tym, że firma Thales przyspieszy cyfrową transformację ich organizacji.
MECENASI
IMNS
IMNS funkcjonuje od 2003 roku, specjalizując się w zaawansowanych rozwiązaniach bezpieczeństwa informacji.
Pomagamy organizacjom w zarządzaniu cyberryzykiem w obszarze technicznym i organizacyjnym. Nasze kompetencje obejmują pomoc we wdrożeniu efektywnego, zgodnego z regulacjami procesu zarządzania ryzykiem oraz rozwiązań technicznych, które umożliwiają realizację wymagań regulacyjnych i wprowadzenie organizacji na wyższy poziom bezpieczeństwa.
Oferowane przez nas rozwiązania techniczne pozwalają na pomiar i komunikację ryzyk IT wewnątrz organizacji, zarówno do właścicieli technicznych, jak i do kierownictwa w formie informacji zarządczej.
Posiadamy wysokie kompetencje w zakresie audytów bezpieczeństwa teleinformatycznego i zgodności z uznanymi standardami ISO oraz pokrewnymi regulacjami branżowymi.

RED INTO GREEN
RED INTO GREEN - Innowacyjne rozwiązanie dla zarządzania ryzykiem cybernetycznym.
RED INTO GREEN to zaawansowana platforma do zarządzania ryzykiem, stworzona z myślą o spełnieniu wymogów rozporządzenia DORA przy pomocy dedykowanego modułu RIG DORA. Moduł to kompleksowe narzędzie, które automatyzuje analizę ryzyka i umożliwia tworzenie i raportowanie rejestru informacji o umowach z dostawcami ICT.
W aplikacji RED INTO GREEN:
• Automatyzujesz procesy oceny ryzyka
• Raportujesz ryzyka w czasie rzeczywistym
• Dynamicznie analizujesz ryzyka z możliwością integracji z narzędziami do skanowania podatności
• Zarządzasz procesami i zasobami w jednym systemie
• Wykazujesz zgodność z wymogami DORA.
Trecom
Trecom Enterprise Solutions zajmuje się dostarczaniem zaawansowanych rozwiązań IT, skoncentrowanych głównie na obszarach cyberbezpieczeństwa, nowoczesnej infrastruktury sieciowej i aplikacyjnej, monitoringu wydajności procesów IT i biznesowych a także automatyzacji procesów oraz zarządzaniu danymi. Firma specjalizuje się w projektowaniu, wdrażaniu i integracji systemów informatycznych dla dużych organizacji z segmentu enterprise, takich jak banki, sektor publiczny i przemysł.
Kluczowe obszary działalności Trecom Enterprise Solutions obejmują:
- Cyberbezpieczeństwo – firma oferuje kompleksowe systemy ochrony infrastruktury IT, zarządzanie tożsamościami, kontrolę dostępu oraz monitoring i przeciwdziałanie zagrożeniom w sieci i chmurze.
- Centra danych, systemy hybrydowe i chmurowe, nowoczesne sieci kampusowe – projektuje i wdraża nowoczesne rozwiązania centrów danych opartych na software-defined networking w wydaniu on-prem, hybrydowych czy cloud-native a także objęte jednolitą polityką bezpieczeństwa i zarządzania sieci kampusowe oraz rozwiązania klasy Secure Edge.
- Observability – to szeroki zakres rozwiązań zapewniający klientom możliwość nie tylko obserwowania, ale i skutecznego proaktywnego reagowania na wszelakie zdarzenia w środowiskach dostarczania aplikacji a także ich wpływ na procesy biznesowe.
Firma współpracuje z czołowymi dostawcami technologii, co pozwala jej na oferowanie rozwiązań dopasowanych do indywidualnych potrzeb klientów. Dzięki zespołowi wykwalifikowanych inżynierów zapewnia wsparcie na każdym etapie realizacji projektów, od wstępnej analizy, przez wdrożenie, po długoterminowe utrzymanie systemów.
PATRONAT MERYTORYCZNY
CSO Council
CSO Council to społeczność dyrektorów bezpieczeństwa informacji tworzona przez stowarzyszenie ISSA Polska oraz Evention. Zadaniem CSO Council jest integracja środowiska, budowa platformy wymiany wiedzy i doświadczeń oraz networkingu wśród szefów bezpieczeństwa informacji i cyberbezpieczeństwa w dużych firmach oraz instytucjach działających w Polsce. CSO Council swoją działalność realizuje poprzez zaplanowane cykliczne spotkania oraz inne formy sprzyjające integracji środowiska. Zapraszamy do uczestnictwa w społeczności. Udostępniamy platformę, której bardzo do tej pory brakowało, a której zbudowanie pozwoli menadżerom bezpieczeństwa informacji, CSO oraz CISO na zawodowe rozmowy, budowanie relacji oraz dostęp do unikalnej wiedzy i doświadczeń. Więcej na stronie: www.csoc.pl.
Cyber Women Community
Cyber Women Community to aktywna społeczność pań łącząca ekspertki z dziedziny Cybersecurity z kobietami, które chcą rozwijać swoje kompetencje w tej dziedzinie. Społeczność ma na celu dzielenie się wiedzą, promocję oraz wsparcie kobiet w odkrywaniu ich drogi zawodowej w dziedzinie cyberbezpieczeństwa oraz w nowych technologiach poprzez spotkania, webinaria i mentoring. Dzięki paniom z Rady Programowej i tzw. Loży Ekspertek dostarczamy rzetelną i praktyczną wiedzę, która pomoże czonkiniom społeczności zrealizować plany i rozwinąć się zawodowo. Dołącz do Cyber Women Community.

Stowarzyszenie ISACA Warszawa
Stowarzyszenie ISACA powstało w 1967, gdy grupa osób wykonujących podobną pracę – polegającą na audytach mechanizmów kontrolnych w systemach komputerowych, które w tamtym czasie stawały się coraz istotniejsze dla funkcjonowania ich firm – spotkała się, by omówić potrzebę stworzenia jednego źródła informacji i wytycznych w tej dziedzinie. W 1969 roku grupa formalnie zarejestrowała EDP Auditors Association (Stowarzyszenie audytorów EPD). W 1976 roku Stowarzyszenie powołało fundację edukacyjną, by podjąć szeroko zakrojony wysiłek badawczy zmierzający do poszerzenia wiedzy o nadzorze i kontroli IT oraz ich wartości. Stowarzyszenie znane wcześniej jako Information Systems Audit and Control Association (Stowarzyszenie ds. audytu i kontroli systemów informatycznych), obecnie używa jedynie akronimu ISACA, by zaznaczyć, że służy szerokiemu gronu osób zawodowo zajmujących się ogólnie pojętym nadzorem IT. Obecnie ISACA liczy ponad 145 000 specjalistów w 180 krajach, którzy pełnią różne funkcje w tym związane z bezpieczeństwem informacji i zarządzaniem ryzykiem informatycznym.
PATRONAT SPOŁECZNOŚCIOWY
(ISC)² Poland Chapter
(ISC)² jest jednym z najbardziej znanych na świecie stowarzyszeń skupiających osoby zainteresowane szeroko pojętym obszarem bezpieczeństwa informacji. Obecnie stowarzyszenie posiada ponad 80.000 członków na całym świecie. Poza działalnością edukacyjną (ISC)² jest najlepiej znana z prowadzonych programów certyfikacji, z których wiodącym jest certyfikacja CISSP (Certified Information Systems Security Professional). Wszystkie programy certyfikacyjne (ISC)² od początku swojego istnienia są projektowane i rozwijane w sposób niezależny od dostawców i producentów branżowych. W efekcie certyfikaty (ISC)² potwierdzają realną wiedzę i kompetencje z zakresu bezpieczeństwa IT, a nie umiejętności obsługi konkretnych systemów czy urządzeń. Aby ułatwić zrzeszanie się i wymianę wiedzy pomiędzy członkami spoza USA, (ISC)² uruchomiła został program „local chapter” – pozwalający na organizowanie afiliowanych przy (ISC)² stowarzyszeń, skupiających członków z danego kraju lub regionu. W ten sposób w 2012 roku zawiązany został (ISC)² Chapter Poland. Zachęcamy do dołączenia do naszej grupy na LinkedIn: https://www.linkedin.com/groups/4865474 lub odwiedzin naszej strony http://isc2chapter-poland.com.
Instytut Audytorów Wewnętrznych IIA Polska
Instytut Audytorów Wewnętrznych IIA Polska jest częścią The Institute of Internal Auditors i należy do European Confederation of Institutes of Internal Auditing (ECIIA). Od ponad 20 lat jest największą w kraju organizacją zajmującą się kompleksowo problematyką audytu wewnętrznego, umacnianiem rangi zawodowej audytorów oraz integracją środowiska audytorskiego. Instytut Audytorów Wewnętrznych IIA Polska oferuje certyfikaty zawodowe potwierdzające międzynarodowe kwalifikacje audytora wewnętrznego.
Lider w propagowaniu wiedzy o audycie oraz najlepszych praktykach i standardach zarządzania. Lider w zakresie usług edukacyjnych w obszarze audytu wewnętrznego w Polsce. Lider szkolenia z zakresu certyfikowanych kursów dla audytorów Wewnętrznych oraz obszarów niezbędnych do prowadzenia skutecznego i efektywnego audytu wewnętrznego. Partner dla instytucji publicznych oraz sektora prywatnego w obszarze wiedzy eksperckiej o audycie oraz najlepszych praktykach i standardach zarządzania.
ISACA Katowice Chapter
Stowarzyszenie audytu, kontroli i bezpieczeństwa systemów informacyjnych powstało w 2011 roku z inicjatywy członków ISACA z Małopolski i Śląska, a w lutym 2012 r. uzyskało afiliację jako ISACA Katowice Chapter. W wyniku intensywnego rozwoju w roku 2013 Chapter Support Committee przyznał ISACA Katowice nagrodę dla małego oddziału za osiągnięcie 42% wzrostu liczby członków – 2013 GROWTH AWARD WINNER for Small Chapter, która została wręczona prezesowi zarządu na międzynarodowej konferencji liderów ISACA w Las Vegas w 2014 r. Jednocześnie przekraczając liczbę stu członków ISACA Katowice przesunęła się do grupy Medium Chapters.
ISSA Polska
ISSA Polska to elitarne, ogólnoświatowe Stowarzyszenie osób zajmujących się zawodowo bezpieczeństwem informacji oraz bezpieczeństwem systemów informatycznych. ISSA jest 100 oddziałem (chapterem) ISSA International, i należy do jednych z najszybciej rozwijających się oddziałów w Europie.
Nasza misja to krzewienie wiedzy na temat bezpieczeństwa systemów informacyjnych oraz promowanie zasad i praktyk, które zapewniają poufność, integralność, niezaprzeczalność, autentyczność i dostępność zasobów informacyjnych, a także promowanie i rozwój swoich członków poprzez podnoszenie ich umiejętności zawodowych związanych z ochroną systemów informacyjnych, a w szczególności poprzez:
- Dostarczanie wiedzy, edukację i promowanie standardów dotyczących bezpieczeństwa systemów informacyjnych
- Wsparcie merytoryczne wydarzeń i rozwiązań z zakresu bezpieczeństwa systemów informacyjnych
Wartość z członkostwa w ISSA Polska:
- Budowanie i rozwój relacji zawodowych oraz własnej kariery
- Prestiż i rozpoznawalność na rynku
- Udział w ciekawych projektach i szkoleniach
- Dostęp do bieżących informacji i materiałów edukacyjnych
- Dostęp do wiedzy i zbioru dobrych praktyk
- Preferencyjne warunki udziału w konferencjach
- Punkty edukacyjne
- Budowanie społeczności security i własnej
- Oferty pracy
W ramach działalności realizujemy program Cybersecurity Career Lifecycle (CSCL) – niezbędny do wyznaczenia pięciu etapów kariery dla specjalistów z dziedziny bezpieczeństwa. Przyłącz się do światowej sieci profesjonalistów związanych z bezpieczeństwem systemów informacyjnych. Zachęcamy wszystkie osoby zajmujące się ochroną informacji do współpracy – razem możemy więcej! Materiały edukacyjne oraz deklarację członkowską możesz znaleźć na naszej stronie: https://www.issa.org.pl/
Polski Klaster Cyberbezpieczeństwa #CyberMadeInPoland
Klaster #CyberMadeInPoland powstał jako platforma do współpracy oraz promocji polskiego przemysłu cyberbezpieczeństwa, którego celem jest kształtowanie i rozwój bezpiecznej cyberprzestrzeni w Polsce oraz promowanie polskich firm poza granicami kraju. Klaster stymulować ma także współpracę sektora z instytucjami naukowymi, podmiotami administracji publicznej, międzynarodowymi korporacjami, izbami branżowymi i handlowymi, oraz innymi partnerami. Członkami Klastra #CyberMadeInPoland są polskie firmy oferujące produkty oraz usługi z branży cyberbezpieczeństwa.
PATRONAT MEDIALNY
Gazeta Ubezpieczeniowa
„Gazeta Ubezpieczeniowa” to wiodący tygodnik w sektorze ubezpieczeń, który od 1999 roku służy zarówno wyższej i średniej kadrze zarządzającej, specjalistom, brokerom, multiagentom, jak i agentom wyłącznym oraz innym pasjonatom ubezpieczeń, a także firmom około rynkowym (IT, likwidacja szkód, assistance).
Krajowy Związek Banków Spółdzielczych
Krajowy Związek Banków Spółdzielczych jest sektorową izbą gospodarczą zrzeszającą polskie banki spółdzielcze. Został utworzony w celu reprezentowania interesów ekonomicznych spółdzielczości bankowej w kraju i za granicą oraz prowadzenia działań na rzecz jej rozwoju. KZBS jest oficjalnym reprezentantem środowiska wobec organów władzy i administracji państwowej. Ważnym aspektem działalności Związku jest promowanie modelu biznesowego bankowości spółdzielczej opartego na współpracy, wzajemnej pomocy i równości oraz tworzenie pozytywnego i nowoczesnego wizerunku spółdzielczości bankowej w Polsce.
Polska Izba Informatyki i Telekomunikacji
PIIT to platforma firm działających na rzecz cyfrowej transformacji gospodarki i modernizacji państwa. Współtworzymy fundamenty cyfrowego rozwoju, realizując następujące działania:
• opiniujemy akty prawne istotne z punktu widzenia firm teleinformatycznych
• współtworzymy w konsultacjach i grupach roboczych warunki do uzgodnień sektorowych dotyczących wspólnych stanowisk oraz nowych inicjatyw branży (poprzez działalność komitetów, grup roboczych, animowanie prac członków nad konkretnymi zagadnieniami)
• budujemy trwałe relacje z administracją publiczną, poprzez organizowanie spotkań oraz inicjowanie nowych, wspólnych projektów
• reprezentujemy interesy polskich firm teleinformatycznych na poziomie europejskim, poprzez organizację DIGITALEUROPE oraz Gaia-X
Nasze cele
1. Sprzyjające warunki dla rozwoju przemysłu teleinformatycznego
2. Racjonalne regulacje i inicjatywy wspierające wdrażanie cyfrowych innowacji
3. Partnerska współpraca przemysłu teleinformatycznego i administracji publicznej
Risk & Compliance Platform Europe
Risk & Compliance Platform Europe jest transgraniczną interaktywną platformą dla wszystkich specjalistów zajmujących się ryzykiem i zgodnością, zarówno w świecie prawa i finansów, w dużych i średnich przedsiębiorstwach, jak i w sektorze publicznym. Ciekawe treści znajdą tam nie tylko kierownicy/ kierownicy ds. ryzyka i zgodności, ale także klienci biznesowi i generalni, którzy w swojej codziennej pracy są narażeni na zwiększone ryzyko oraz presję regulacyjną ze strony krajowych i międzynarodowych organów. Artykuły na platformie Risk & Compliance Platform Europe są również przedmiotem zainteresowania organów nadzoru, księgowych, kontrolerów, audytorów i prawników. Poza tematycznymi artykułami, na portalu znajdują się także white papers, polecane książki oraz zbliżające się ważne wydarzenia branżowe.
Security Magazine
“W służbie bezpieczeństwu” - to hasło, którym kieruje się redakcja “Security Magazine”, tworząc pierwszy na rynku e-miesięcznik dostępny dla współczesnego czytelnika. Czytelnika korzystającego głównie z nowych technologii i poszukującego wiedzy na temat security. Gwarantujemy, że wiedza na łamach magazynu, która dostępna jest w sieci, bezpłatnie to zbiór najlepszych praktyk i doświadczeń ekspertów związanych z bezpieczeństwem IT, bezpieczeństwem fizycznym i bezpieczeństwem organizacji w firmach. Dlatego, poświęcając czas na lekturę “Security Magazine” masz pewność, że dawka rzetelnej, kompleksowej i zaprezentowanej w przystępnym języku wiedzy przyniesie Ci wymierne korzyści. Jakie? Pomoże Ci rozwijać Twoją firmę na stabilnym fundamencie, jakim jest jej bezpieczeństwo.
Cyber Resilience Masterclass: Praktyczne strategie testowania
24 października 10.00 - 12.00 | 2h
Lokalizacja
Online, platforma Zoom
Opis
Dołącz do warsztatów skupionych na dogłębnej analizie, tego co oznacza "testowanie" cyberodporności zgodnie z najlepszymi praktykami, jak to jest określone w artykule 24. Aktu o Cyfrowej Odporności Operacyjnej (DORA), który nakłada na sektor finansowy wymóg testowania cyberodporności. Warsztaty obejmą cztery kluczowe komponenty, które wdrażają organizacje o najwyższych standardach:
1) fundamenty: dobrze zaprojektowane scenariusze zagrożeń, z wyraźnym uwzględnieniem krytycznych zasobów
2) planowanie awaryjne: rozszerzanie planów na wypadek zagrożeń niekonfrontacyjnych z disaster recovery
3) symulacje i ćwiczenia: przygotowanie na skrajne, ale prawdopodobne scenariusze
4) symulacje działań atakujących: ciągłe i w warunkach rzeczywistych.
Uczestnicy wezmą udział w interaktywnych sesjach, aby opracować skuteczne strategie testowania i wrócą do swoich organizacji przygotowani do radzenia sobie z incydentami związanymi z ICT i utrzymaniem ciągłości działania.
Po warsztatach uczestnicy otrzymają certyfikat ukończenia kursu.
Cel warsztatów
Wyposażenie uczestników w praktyczne strategie testowania odporności cybernetycznej, zgodne z artykułem 24. ustawy Digital Operational Resilience Act (DORA) i wprowadzenie kluczowych kontroli, takich jak testowanie planu awaryjnego, integralność kopii zapasowej, próbkowanie odzyskiwania i testowanie penetracyjne.
Wprowadzenie
Przegląd odporności cybernetycznej i ustawy DORA
- Krótki przegląd artykułu 24 ustawy Digital Operational Resilience Act (DORA).
- Wymagania dotyczące przeprowadzania testów odporności operacyjnej cyfrowej.
- Cele kursu i oczekiwane wyniki, w tym skupienie się na kluczowych kontrolach testowania wykorzystujących Secure Control Framework (SCF) i NIST.
Agenda
Część 1: Podstawy testowania odporności cybernetycznej
Zrozumienie scenariuszy zagrożeń
- Znaczenie projektowania scenariuszy zagrożeń w testowaniu odporności cybernetycznej.
- Identyfikowanie i definiowanie krytycznych zasobów.
- Testowanie narzędzi i systemów ICT w celu zapewnienia, że działania na rzecz odporności obejmują odpowiednie infrastruktury.
- Najlepsze praktyki tworzenia realistycznych i wykonalnych scenariuszy zagrożeń.
- Aktywność interaktywna: Uczestnicy wymieniają się pomysłami na potencjalne scenariusze zagrożeń dla swoich organizacji.
Część 2: Planowanie awaryjne i odzyskiwanie cybernetyczne
Rozszerzanie planowania awaryjnego
- Wyjście poza planowanie nieantagonistyczne: integrowanie strategii odzyskiwania cybernetycznego.
- Mechanizmy oceny skuteczności i gotowości planu awaryjnego.
- Weryfikacja niezawodności, integralności i dostępności kopii zapasowych.
- Próbkowanie w celu testowania możliwości odzyskiwania w ramach ciągłości działania.
- Kluczowe elementy solidnego planu awaryjnego dostosowane do rzeczywistych scenariuszy antagonistycznych.
- Studium przypadku: Przegląd planu odzyskiwania cybernetycznego i dyskusja na temat tego, jak można go ulepszyć.
Część 3: Ćwiczenia i symulacje symulacyjne
Przygotowanie na ekstremalne, ale prawdopodobne
- Znaczenie ćwiczeń symulacyjnych w przygotowaniu się na incydenty cybernetyczne.
- Projektowanie ćwiczeń symulacyjnych w celu przetestowania skuteczności planu awaryjnego.
- Tworzenie ćwiczeń odzwierciedlających ekstremalne, ale prawdopodobne scenariusze.
- Angażowanie interesariuszy w te ćwiczenia w celu lepszego przygotowania.
- Aktywność grupowa: Uczestnicy projektują ćwiczenie symulacyjne istotne dla swojego sektora.
Część 4: Testowanie bezpieczeństwa ofensywnego
Continuous Assurance z emulacją przeciwników
- Zaawansowane testowanie narzędzi, systemów i procesów ICT w oparciu o testowanie penetracyjne oparte na zagrożeniach (TLPT).
- Rola emulacji przeciwników w odporności cybernetycznej.
- Przeprowadzanie testów penetracyjnych systemów i aplikacji internetowych.
- Ciągłe testowanie: jak wdrożyć emulację przeciwników, która odzwierciedla rzeczywiste warunki.
- Narzędzia i metody skutecznej symulacji przeciwników.
- Demonstracja lub symulacja: krótka demonstracja techniki emulacji przeciwnika.
Część 5: Podsumowanie i dystrybucja certyfikatów
Kluczowe wnioski
- Podsumowanie kluczowych punktów z sesji, ze szczególnym uwzględnieniem czterech kluczowych kontroli.
- Ostatnia sesja pytań i odpowiedzi.
Dystrybucja certyfikatów
- Wyjaśnienie certyfikatu Cyber Resilience Academy i jego związku z szerszym kursem podstawowym (część 1: Projekt, część 2: Budowa, część 3: Test).
- Omówienie dostępu do zasobów online Cyber Resilience Academy w celu dalszej nauki i materiałów informacyjnych, takich jak: Szablony scenariuszy zagrożeń, Cyber Resilience Blueprint, Cyber Recovery Plan Checklist, Cyber Resilience Analysis Handbook, Critical Asset Business Impact Analysis i inne.
Limit uczestników:
Brak
Prowadzenie
ISSA Global Head Cyber Resilience SIG