[PL] Ryzyko, bezpieczenstwo, informacja…

Dawno, dawno temu odbywały się spotkania ISSA Wrocław pod przewodnictwem Michała Sobiegraja {LINKEDIN}. Na spotkaniach (który były bardziej lub mniej regularne) spotykało się sporo osób. Potem Michał “oddelegował się do innych zadań” a grupa lekko przymarła. Na całe szczęście po kilkunastu miesiącach rozpoczęła się swoista reaktywacja.

W miniony wtorek, dwudziestego drugiego lipca, około godziny osiemnastej rozpoczęło się pierwsze (organizacyjne) spotkanie nowej grupy społecznościowej: Technology Risk & Information Security Wrocław. Spotkanie to zgromadziło około pięćdziesieciu osób obracających się w kręgach specjalistów od bezpieczeństwa, audytorów, specjalistów od testów penetracyjnych i wielu podobnych zagadnień. Michał i kilku jego kolegów z Credit Suisse, przy wsparciu ISSA Polska, ISACA Polska, OWASP oraz Cloud Community Alliance zaprosił poprzez LinkedIn oraz mailing wszystkich ewentualnie zainteresowanych. Grupa zorganizowała się przede wszystkim na portalu branżowym i liczy na chwilę obecną stu dwudziestu czterech członków. Spotkanie wtorkowe było głównie spotkaniem organizacyjno-integracyjnym. Na podstawie wcześniejszej ankiety na portalu organizatorzy wybrali cztery główne domeny, w których grupa ma zamiar się poruszać, organizując spotkania co miesiąc lub dwa.

Audyt, Analiza Ryzyka, Zarządzanie Bezpieczeństwem Informacji, Bezpieczeństwo Sieci, Bezpieczeństwo Aplikacji – to i wiele innych tematów grupa chce poruszyć na spotkaniach. Ze swojej strony mam nadzieję, że dużo prelegentów oraz dużo tematów będzie się pojawiać w najbliższych miesiącach. mam też nadzieję, że grupa ta podejmie też współpracę z Polskim Towarzystwem Informatycznym, a konkretnie z działającą we Wrocławiu Sekcją Bezpieczeństwa Informacji: http://www.sbi.pti.org.pl/

Post Scriptum I: Zapomniałbym dodać, że poza uczestnikami na miejscu mieliśmy okazję podyskutować z przedstawicielami zainteresowanych instytucji, takich jak OWASP, ISACA czy ISSA Polska (ta ostatnia w osobie Julii Juraszek, która mam nadzieję przekona się do krótkiego skoku do Wrocławia na następne spotkanie).

Post Scriptum II: Chwilę temu zorientowałem sie że na profilu grupy pojawił się opis/podsumowanie spotkania. I tak. Najważniejsze to wyodrębnienie pierwszych czterech domen do omówienia/zaprezentowania (na podstawie ankiety zorganizowanej przed spotkaniem) oraz ich liderów wiodących. Efektem zaś pracy w podgrupach – związanych z tymi właśnie domenami – są wstępne deklaracje prezentacji na kolejnych spotkaniach. Szczegóły ogólnie poniżej, szczegółowo na LinkedIn.

1. Audyt IT i zarządzanie bezpieczeństwem informacji
Osoba wiodąca: Paweł Pietrzyński
Prezentacje, które zostały zgłoszone przez członków grupy:
– audytor czyli kto?
– assessment projektów IT (sposoby prowadzenia projektów)
– IT Governance / CGEIT
– audyt stron trzecich z perspektywy audytora i jednostki audytowanej, co wolno audytorowi?

2. Bezpieczeństwo sieci
Osoba wiodąca: Piotr Krzyżanowski
Prezentacje, które zostały zgłoszone przez członków grupy:
– Edu ROAM (Global Authorization)
– jak przejść od klasycznego firewalla do aplikacyjnego firewalla
– BYOD

3. Ewolucja zagrożeń
Osoba wiodąca: Artur Maciąg, Przemysław Dyk
Prezentacje, które zostały zgłoszone przez członków grupy:
Cybersecurity framework – NIST
Prezentacja dot. ataków

4. Bezpieczeństwo systemów i aplikacji
Osoba wiodąca: Borys Łącki
Prezentacje, które zostały zgłoszone przez członków grupy:
– frameworki PHP, Python (ewolucja – szybkie przejścia, zmiany – czy nie zapominamy o bezpieczeństwie?)
– pentesty jako takie (metodyki), manual vs. automatyzacja – wady i zalety
– analiza kodu binarnego, pisanie exploitów