W dniach 22 i 23 stycznia 2008 odbyła się kolejna edycja konferencji Semafor, współorganizowanej przez Wydawnictwo IDG (www.idg.pl), ISACA Warsaw Chapter (www.isaca.org.pl) oraz ISSA Polska – Stowarzyszenie ds. bezpieczeństwa systemów informacyjnych (www.issa.org.pl).

fot. Przemysław Pokrycki   

Tym razem program konferencji skupiał się na następujących blokach zagadnień:

- Outsourcing a bezpieczeństwo.

- Incydenty bezpieczeństwa.

- Mierniki bezpieczeństwa.

- Zarządzanie bezpieczeństwem informacji.

- Audytowanie bezpieczeństwa informacji. 

Jednym z szerzej omawianych tematów był outsourcing, podkreślano duże znaczenie umów, które zawierane kilka lat wcześniej i głęboko analizowane jak na ówczesne czasy nie do końca przystają do wymagań współczesności. Zagadnienia związane z outsourcingiem były omawiane z różnych perspektyw - występowali zarówno przedstawiciele firm korzystających z takich usług, ich dostawcy, prawnicy oraz przedstawiciele jednostek certyfikacyjnych. Poruszane były kwestie dużych obciążeń finansowych związanych z bezpieczeństwem IT (instalacja poprawek bezpieczeństwa, utwardzanie /ang. Hardening/ systemów i aplikacji) dla firm, które zdecydowały się wy-outsorcować własną infrastrukturę informatyczną.

Gość specjalny ISSA Polska - Mary Ann Davidson, CSO z Oracle Corporation zwracała uwagę na skuteczność stosowania mierników w bezpieczeństwie IT jako metody na stopniową poprawę jakości w usługach związanych z bezpieczeństwem. Duże zainteresowanie wywołała prezentacja Wojciecha Świątka z Motoroli na temat potrzeby pragmatycznego i zdroworozsądkowego podejścia do IT Security, a w szczególności słabego powiązania bezpieczeństwa informacji z bezpieczeństwem systemów. W trakcie swojej prezentacji p. Świątek przedstawił również aktualny stan oraz perspektywy ewolucji różnych kategorii zagrożeń dla bezpieczeństwa informacji w roku 2008 i w latach następnych. 

Jak co roku szeroko omawiane były standardy i sposoby zarządzania bezpieczeństwem informacji, wśród nich pierwszy raz na konferencji pojawił się PCI DSS – standard zabezpieczania danych z kart kredytowych, któremu podlegają banki, agenci rozliczeniowi i merchanci, SABSA – metodyka budowania architektury bezpieczeństwa w oparciu o analizę biznesową, SAS70 - międzynarodowy standard AICPA do prowadzenia audytu organizacji świadczących usługi informatyczne. Często komentowano rodzinę norm serii ISO/IEC 27k – m.in. dr Janusz Cendrowski z Asseco Polska przedstawiał praktyczne aspekty zarządzania bezpieczeństwem informacji w polskiej spółce giełdowej w kontekście wymagań normy ISO/IEC 27001. 

Na konferencji podkreślano, że Polska jest obecnie jednym z najbardziej interesujących krajów w Europie pod względem tworzenia offshoringowych centrów bezpieczeństwa globalnych korporacji. Stanisław Strelnik z ABN Amro podzielił się doświadczeniami z działania takiego centrum w Polsce, w szczególności zaś mówił o jakości usług - oferowanych na takim samym poziomie jak w Europie zachodniej, problemach związanych z różnicami kulturowymi czy barierami językowymi oraz o dużej efektywności całego przedsięwzięcia z punktu widzenia korporacji. W trakcie kolejnej prezentacji poświeconej temu zagadnieniu Daniel Barriuso z Credit Suisee zwracał uwagę na wyzwania stojące przed firmą przymierzającą się do stworzenia pankorporacyjnej sieci offshoringowych centrów bezpieczeństwa. 

Zainteresowanie budziła też sesja dotycząca zarządzania incydentami, podczas której Patryk Królikowski z Compfort Meridian Polska omawiał zagadnienia związane z charakterystyką oraz klasyfikacją śladów elektronicznych na gruncie praktyki prawa polskiego. Następnie prezentowano praktyczne rozwiązania do celów informatyki śledczej, oraz przedstawiono wnioski z obserwacji trendów w zakresie wystąpień incydentów zaobserwowanych w Polsce na przestrzeni roku 2007. 

Dużym zainteresowaniem cieszył się panel dyskusyjny na temat praktycznych aspektów współpracy biznesu z organami ścigania. Gośćmi moderatora – Piotra „VaGla” Waglewskiego – byli przedstawiciele biznesu, policji i administracji państwowej. Dyskusja jak zawsze przy tego typu tematach była dosyć burzliwa, co spowodowało (pomimo późnych godzin wieczornych) przedłużenie panelu prawie o godzinę! 

Ostatnim akordem konferencji była sesja poświęcona karierze zawodowej w dziedzinie IT Security. W trakcie prezentacji gościa specjalnego ISSA Polska, Johna Colley’a – Dyrektora Zarządzającego na obszar EMEA w (ISC)2, słuchacze mogli zapoznać się z ogólnoświatowymi trendami w zakresie przebiegu karier zawodowych w obszarze audytu i ochrony informacji. Uzupełnieniem było wystąpienie Karoliny Kuhn z DK Group, która przedstawiła aktualną sytuację na rynku pracy dla specjalistów IT Security w Polsce i Europie zachodniej. 

Program konferencji został oceniony jako interesujący i przydatny w codziennej pracy, otrzymaliśmy sporo pozytywnych opinii na temat organizacji konferencji i zaproszonych prelegentów, jak również ciekawe propozycje udoskonalenia konferencji w przyszłości za które dziękujemy.

Zarząd ISSA Polska