Sikkerhetssymposiet 2020 holdes 28.-29. oktober
Meld deg på DND nyhetsbrev her
15. Oktober |
|||
| 18:00-22:30 | Hackers Pub med Capture the flag Du trenger ikke være Mr. Robot for å være med på denne Capture The Flag. Hva er Capture The Flag? Hva er et flagg? Kom og finn ut! I korte trekk: Capture The Flag er en konkurranse hvor deltakere blir utfordret med tekniske problemstillinger, gjerne sikkerhetsrelaterte. Hver utfordring du løser gir deg poeng, så jo mer du hacker, jo mer poeng får du. De tekniske sårbarhetene vil involvere utfordringer innenfor IT-Drift, Reverse-Engineering, Server-hacking, Web-applikasjoner og mye mer. Kom ikke for å vinne, men for å lære! Historien bak Tanken bak plattformen er å trigge interesse for IT sikkerhet for de som aldri har vært borti det, men også gi de mer erfarne sikkerhetsfolkene oppgaver som de kan bryne seg på. Hovedmålet er å skape forståelse, og øke kunnskapen innenfor IT sikkerhet. Opplegget ble opprinnelig laget i samarbeid med Det vestenfjeldske sikkerhetskompaniet til en høstkonferanse for noen år siden. Vi har nå holdt dette opplegget på flere konferanser og på et par høgskoler med stor suksess. Tid: Tirsdag 15. oktober 2019 kl. 18:00 – 22:30 OBS Nytt sted: Biblioteket Bar (https://www.biblioteketbar.no/) Adresse: Kjøttbasaren, Vetrlidsallmenningen 2, 5014 Bergen Levert av Netsecuritys Red Team |
||
16. oktober |
|||
| 10:00-15:00 | Beredskapsworkshop: Øvelse gjør mester! IT hendelser skjer daglig – noen langt mer alvorlige enn andre. Enkelte ganger blir det førstssideoppslag i mediene – og i verste fall krise! Er din organisasjon egentlig forberedt på å håndtere omfattende IT-/cyberhendelser som kan ramme virksomhetens omdømme, lønnsomhet og fremtid? Workshopen “Øvelse gjør mester” innledes med en kort gjennomgang av: Forutsetninger for beredskap og krisehåndtering Ulike varianter av beredskapsøvelser Hvordan forberede, planlegge og gjennomføre slike øvelser. Introduksjonen vil krydres med praktiske erfaringer og oppgaver – samt eksempler på maler og verktøy for beredskap og krisehåndtering. Noen av disse vil bli brukt under den praktiske delen av workshopen. Det vil også belyses hvordan Red/Blue/Purple Team-øvelser bidrar til å øve på cyberberedskap som ledd i virksomhetens overordnede beredskap. Deretter vil en scenario-beskrivelse presenteres, med hvilke forutsetninger som gjelder. Deltagerne vil bli fordelt i grupper, og gruppevis vil de få litt tid til å forberede seg før den praktiske gjennomføringen av en “avansert” tabletop øvelse. Scenarioet vil dreie seg rundt digital beredskap for en IT intensiv virksomhet, der man presenteres for en innledende situasjon – før deltagerne med sin innlevelse i ulike roller vil bidra til øvelsens forløp. Temaer som cyber trusler, hendelseshåndtering, GDPR, ny sikkerhetslov, supply chain risk management og styringssystemer vil kunne bli omfattet. Workshoplederne vil underveis bidra med veiledning og forslag. Deltagerne vil få bruke sine evner til kreativitet, improvisasjon og “thinking on your feet”. Gjennom dialog og samarbeid settes fokus på beredskapsforberedende tiltak i egen virksomhet. Workshopen forutsetter ikke spesifikke/tekniske kunnskaper – eller bruk av PC-verktøy – og er like egnet for ledere som teknokrater. Kursledere: Fredrik Galtung og Hans Peter Østrem (presenteres nærmere her) |
||
| 16:00-18:00 | Sikkerhetstoppmøtet i regi av NorSIS Tema: Hva er god sikkerhetsopplæring?Det er anerkjent at opplæring av ansatte innen ulike aspekter av sikkerhet generelt og informasjonssikkerhet spesielt, er nødvendig. Opplæring bidrar til bedre forståelse for de sikkerhetstiltak virksomheten har tatt i bruk, eller planlegger å implementere. Slik sett skal opplæring i seg selv være et risikoreduserende tiltak. Men hvordan skal man få best mulig opplæring igjen for de ressursene som benyttes? I høstens sikkerhetstoppmøte legger vi opp til å diskutere hva er god sikkerhetsopplæring, og hvilke erfaringer er gjort med sikkerhetsopplæring. Innledere til diskusjonen er: Morten Somby, Equinor Dagfinn Buset, BDO |
||
17. oktober – Sikkerhetssymposiet |
|||
| 09:00 | Velkommen | ||
| 09:10 | Keynote: Roar Thon, NSM Presentasjon: Roar Thon - Sikkerhet og tillit |
||
| 09:45 | Keynote: Zero Trust John Kindervag, PaloAlto |
||
| 10:20 | Pause og omrigging | ||
Spor 1: Teknisk – for deg som utfører | Spor 2: Ledelse – for deg som styrer | Spor 3: KPMG Personvernforum |
|
| 10:40 | En sparebanks reise i sikkerhet Sparebanken Vest har igjennom flere år jobbet med å ta et stort eierskap for kundeopplevelsen. I 2018 lanserte vi at vi også skulle konkurrere som en ny bank, BulderBank, og at vi samarbeider med fintech selskaper som Folio for å levere banktjenester på en ny måte. Foredraget ser gir innsyn i hvordan vi har jobbet med dette i et sikkerhetsperspektiv på denne reisen så langt, og hvordan vi tenker videre innenfor sikkerhet i enn mer åpen bank verden. Kjetil Sørtun, Sparebanken Vest | Strategic Zero Trust All too often, business leaders struggle with the security jargon thrown at them, but a Zero Trust model is uniquely strategic yet a tactically implementable model to achieve the highest levels of security- and will still resonate at the highest levels of your organization. Other security approaches often fail because they’re merely tactics that fail as soon as something changes. Zero Trust on the other hand is a strategy that defines HOW you are going to approach your security, and HOW you are going to define your critical assets and data- and only then do the tactical elements like segmentation and policies come into play. John Kindervag | GDPR i teori og praksis hos Nordic Choice Hotels Med over 200 hoteller i 6 land og millioner av kunder fra hele verden har vi hatt våre utfordringer og funnet løsninger for å ivareta GDPR. I denne presentasjonen vil vi snakke om vårt GDPR prosjekt i forkant av at loven trådte i kraft, og hvordan vi i dag har systemer og rutiner på plass for å håndtere GDPR i ulike deler av vår konsernorganisasjon. Vi har gjort oss mange erfaringer, fra prosjekt til realiteter, og flere overraskelser har vi også fått. Per Thorsheim og Torill Seter Bråthe, Nordic Choice Hotels Presentasjon: Per Thorsheim og Torill Seter Bråthe - GDPR Nordic Choice Hotels |
| 11:20 | Pause | ||
| 11:30 | Zero trust i skyen Zero Trust er en sikkerhetsstrategi. Derfor er det ikke vanskelig. Hva må man allikevel tenke på for å få til dette når man etablerer seg i skyen, være seg Azure, AWS eller GCP. Vi kommer med konkrete, deriblant noen kundeeksempler, på hvordan dette er gjort, og tilbakemeldingene fra foretak og brukere. Gøran Tømte, Data Equipment Presentasjon | Fra null til full…. Null tillit er fint, det er viktig og vi forstår at det er nødvendig, men! Hvem er det egentlig vi skal ha null tillit til? La oss se på hvordan vi kan knytte vurdering av verdier opp mot interessenter, og hvordan vi kan bruke personas som metode til å beskrive både null- og fulltillitsaktører. Gøran Breivik, Transcendent Group Presentasjon: GøranBreivik_Fra Null Til Full | Personvern i skyen og overføring over landegrensene IT og teknologi er globalt, og hvor personopplysningene lagres, behandles og overføres er i liten grad avhengig av geografiske grenser og land. Men juridisk har det betydning om personopplysninger overføres mellom land, og spesielt til land som ikke har de samme kravene til personvern som Norge og Europa. Hva er lov å overføre til andre land, og hvordan skal man gjøre det om det skal overføres personopplysninger over landegrensene eller det skal brukes skyløsninger? Jan Sandtrø, som har lang erfaring med personvern i internasjonale forhold, går gjennom reglene og mulighetene Jan Sandtrø, advokat Presentasjon: Jan Sandtrø - Personvern i skyen og overføring over landegrensene |
| 12:10 | Lunsj | ||
| 13:10 | Hacking a cat – Alternate Attack Vectors The future is now. Implants the size of a grain of rice are being used by people to open doors, hold payment information and where a handshake can literally exchange digital business cards. We now need to look at the connected human and see how the threat landscape is changing Niall Merrigan, Capgemini | “Lag et passord” – Et svakt øyeblikk Store og små systemer stoler på passord for å beskytte verdier som resurser, forretningen og personopplysninger. Samtidig vet vi at brukere er dårlige på å lage passord som gjør systemene sårbare.Presentasjonen ser nærmere på det øyeblikket en bruker skal laget et passord. Hva er det egentlig som foregår fra brukeren sitt ståsted? Og hva kan vi gjøre for å forbedre dette? Cecilie Wian, Knowit Consulting | GDPR=Zero Trust? Hva er Zero Trust overført på personvern? Hvordan treffe balanserte valg? La risikoanalyser avgjøre hva som er «gullet» ditt. Beskytt det. GDPR skal skape ensartet behandling og kan skape forretning. Den er ikke etablert for å gjøre ting vanskelig, men for å stramme inn noe som hadde glidd for mye ut. Stian Petersen og Elin Sarai, EY Presentasjon: Stian Petersen og Elin Sarai - Zero Trust og personvern |
| 13:50 | Pause | ||
| 14:00 | Hvordan vite om en finansiell transaksjon er til å stole på – Bruk av maskinlæring og andre verktøy. Hvorfor overvåke transaksjoner, trender og hvordan det virker. Hva er angrepsvektorene, og eksempel på hvordan man kan bruke AI til å bygge nye signaler og klassifisering. Eksempel på hvordan interaktivt UI kan underbygge og samspille med en AI løsning. Haakon Dybdahl, EVRY Presentasjon ikke tilgjengelig | Security Strategy in, on and for the Cloud Can we trust the cloud? Organisations continue to move to the cloud because of benefits like cost-savings, scalability, and higher flexibility. Unfortunately, security is all too often an afterthought or not thought of at all. However, by directly connecting your cloud security strategy to your business goals, you can ensure that security functions as an enabler for your business, and not as a roadblock. Come and take part in Alonso’s interactive presentation inspired by Black Mirror: Bandersnatch. How it ends, you choose yourself! Angel Alonso, mnemonic Presentasjon: Angel Alonso - Security Strategy in on and for the Cloud | Felles behandlingsansvar med Facebook – hva så? EU-domstolen har i flere avgjørelser statuert felles behandlingsansvar. Hva betyr det for vår virksomhet sin bruk av Facebook? Veronica Jarnskjold Buer er fagdirektør Digitalisering og innebygd personvern ved Datatilsynet. Hun vil blant annet fortelle hvilke praktiske problemstillinger du bør være oppmerksom på. Veronica Buer, Datatilsynet Presentasjon: Veronica Buer - Delt behandlingsansvar med Facebook |
| 14:40 | Pause og omrigging | ||
| 15:00 | Keynote: GDPR og informasjonssikkerhet Med personvernforordningen (GDPR) ble det innført et omfattende regelverk som også har betydning for kravene til informasjonssikkerhet. Men hva sier egentlig personvernforordningen om kravene til informasjonssikkerhet, og hva kreves etter forordningen og personopplysningsloven for å være i overensstemmelse med regelverket? Jan Sandtrø, som har lang erfaring med regelverket knyttet til informasjonssikkerhet og personvern skal klargjøre. Jan Sandtrø, advokat Presentasjon: Jan Sandtrø - GDPR og informasjonssikkerhet |
||
| 15:45 | Kahoot, og takk for i dag | ||