Meny tidlg. års konf.

Program 19.10.16

Ønsker du å skrive ut programmet? Last ned pdf-versjon her

09:00 Velkommen
09:15 Rikets tilstand
NorSIS og Telenor Security Operations Centre har førstehånds kjennskap til utviklingen i trusselbildet. De gir oss et oppdatert bilde av it-sikkerhetshendelser og -trusler som rammer norske virksomheter og enkeltpersoner i 2016. Angripernes kreativitet øker, og vårt økende behov for tjenester på nett gjør oss mer sårbare, blant annet for DDoS-angrep. Foredraget vil gjennomgå typiske angrepsvektorer, og samtidig gi gode råd for å utvikle en bedre sikkerhetskultur og lære de ansatte sikrere bruk av internett.
Bjarte Malmedal, NorSIS Se presentasjon her – Malmedal
Christian Flørenes, Telenor Security Operations Centre
Se presentasjon her – Flørenes
10:10 Pause
Spor 1: Maskin og teknologi
Spor 2: Menneske og prosess
10:30 PKI og TLS i den virkelige verden
PKI-modellen baserer seg på at hver enkelt bruker har et bevisst forhold til hvilke sertifikatutstedere (CA) man har tillit til.  I virkeligheten kommer nettlesere med en lang liste rot-sertifikater ferdig installert som man implisitt stoler på, utstedt av CAer man ikke aner noe om.  Vi ser på noen eksempler der CAer har innført tvilsom praksis i sin virksomhet og ett eksempel på at mange PCer har blitt solgt med falske rot-sertifikater installert hos produsent.  Eksemplene illustrerer gapet mellom PKI-modellen og den virkelige verden.  Konklusjonen er at når forretningsmodellen kommer i konflikt med PKI-modellen så er det forretningsmodellen som vinner, med eller uten hjelp av CAer.
Håvard Raddum, Simula Research Laboratory
Se presentasjon her
Hvordan forberede forretningssiden på IT-angrep
Dette er foredraget IT-sikkerhet kan ta med seg forretningsledelsen på! Fokus på å forberede seg teknisk, lære opp sluttbrukere og å sikre at IT-verktøyene er robuste når man utsettes for elektroniske angrep er viktig, grunnleggende og ofte konkrete oppgaver. Men «det er viktig å engasjere ledelsen» er ofte en utfordring som er utydelig definert og vanskelig å omfavne. Det hjelper heller ikke at bransjen selv elsker å omgi seg med begreper som zerodays, malware og phishing. Foredragsholderne bruker sin fartstid fra IT-bransjen til å illustrere og eksemplifisere hvordan man kan gjøre IT-sikkerhet relevant for ledelsen og å engasjere forretningssiden på deres egne premisser!
Eirik Gulbrandsen, Arrow ECS
Kim Borgeteien, Sopra Steria
Se presentasjon her
11:10 Pause
11:20 Tette gapet mellom hendelseshåndtering og digital etterforskning
Dette foredraget vil ta for seg hvordan man håndterer større datamengder i forbindelse med håndtering av informasjonssikkerhetshendelser. Vi vil ta for oss et eksempel på en større hendelse utført av en avansert trussel aktør og hvordan man kan gå frem uten å miste beviser. Kort fortalt hvordan analysere større datasett fra mange maskiner på en effektiv måte med begrensede ressurser. Vi vil se på hvordan bedømme omfang, verktøy og datakilder fra et perspektiv av en ukjent organisasjon og nettverk. Ikke et optimalt scenario, men ofte virkelighetens scenario!
Erik Alexander Løkken, Mnemonic
Se presentasjon her
Cyberforsikring – når lønner det seg?
Cyberforsikring er stadig mer populært og forsikringsselskapene har kommet inn som en ny aktør i hendelseshåndteringen ved et cyberangrep. Det kan imidlertid være krevende for en virksomhet å vurdere cyberforsikring opp mot andre risikoreduserende tiltak: Hva dekker egentlig cyberforsikringen? Når bør man velge å forsikre? Hvilke erfaringer har cyberforsikrings-tilbydere og kunder gjort seg?
Marie Moe, PhD, Sintef
Se presentasjon her
12:00 Lunsj
13:00 Angrepets anatomi
Vi ser på detaljene i noen angrep som har skjedd det siste året, og ser hvordan angriperen går frem. Hva er de forskjellige fasene i et angrep? Hvilke virkemidler kan angriper bruke? Kan vi gjøre noe av dette selv for å teste og eventuelt begrense vår egen angrepsflate?
Erlend Oftedal, Blank Oslo
Se presentasjon her
Beredskapsledelse – hvordan bedre effektivitet og samvirke?
Noe har skjedd som gjør at dere mønstrer. Beredskapsledelse kan være stressende i seg selv; beslutningstaking, situasjonsforståelse, ansvar, roller, samhandling og gjennomføringsevne er viktige stikkord. Hvilke grep kan organisasjonen ta for å sikre at beredskapsledelsen optimaliseres i forhold til behovet dere har? Foredraget bruker relevante eksempler og gir konkrete tips på viktige elementer innen beredskapsledelse med blikk på kompetanse, kultur og struktur/systemer. Det handler om å gjøre ting enkelt og å være forberedt.
Jo Tidemann, Proactima
Se presentasjon her
13:40 Pause
13:50 Go hack yourself… or someone else will
How automation and bug bounties can help you work proactively with security
This talk will guide you through web security best practices that will help you start working proactively with security. Frans Rosén, a successful white hat hacker, will explain how companies can benefit from independent security researchers and ethical hacking – the people you will never be able to recruit to a regular 9 to 5 job. He will guide you through the White hat vs Black hat community, Responsible Disclosure Policies and Bug Bounties, and also explain why automation is crucial in order to stay on top of web security and be “Always Prepared”.
Frans Rosén, Detectify
Se presentasjon her
Effektiv kriseplanlegging – klar for utfordringen?
Foredraget inneholder en beskrivelse av hva Business Continuity Management er og hva det betyr for hele virksomheten. Videre ser vi på ulike utfordringer i virksomheten, også i forholdet mellom forretningssiden og IT, øvelser mv,  samt forslag til viktige tiltak for å være bedre forberedt om eller når krisen inntreffer.
Tone Thingbø, EY
Se presentasjon her
14:30 Pause
14:50 Alltid beredt? Det hjelper å være forberedt!
Når krisen inntreffer er det for sent å legge gode planer. Dette foredraget vil handle om hvordan vi kan drive proaktivt sikkerhetsarbeid som bedre gjør oss i stand til å lykkes med det reaktive arbeidet når en hendelse inntreffer. Du vil i foredraget få høre om prinsippene for å lykkes med innebygd informasjonssikkerhet og innebygd personvern. Du vil få med deg noen gode tips og råd som bygger både på internasjonale anbefalinger og foredragsholders egne praktiske erfaringer.
Lillian Røstad, Sopra Steria
Se presentasjon her
Lærdom fra hackingen av Ashley Madison
Ashley Madison, datingtjenesten med slagordet «Life is short. Have an affair.» ble hacket i juli 2015. Titalls millioner brukere fikk sine intime detaljer lekket på nett offentlig i august, etter at selskapet bak tjenesten nektet å la seg presse til å legge ned. Som det største tilfellet av personsensitive opplysninger på avveie noensinne, så er det mye lærdom å hente fra denne hendelsen rundt sikring av informasjon, hacktivisme, krisehåndtering, mediehåndtering og feil man absolutt bør unngå.
Per Thorsheim, God Praksis
15:30 Pause
15:40 Det holder ikke å være teoretisk forberedt!
Sikkerhetsstyring, standarder, grunnlagsdokument for sikkerhet og beredskapsplaner! Er det nok?
Noen av oss som arbeider med sikkerhet kan ofte ha en tendens til å like definisjoner, standarder, orden og strukturer mer enn vi liker å drive med mennesker. Jeg hevder det siste er like viktig!
Roar Thon, NSM
Se presentasjon her

 

Share This