Top meny

Program 2016

Sikkerhetstrender 2016 – informasjon eller fiksjon?

 TIRSDAG 10. MAI

kl.09.00 Registrering og morgenbuffet
kl.10.00 Velkommen
Maria Bartnes, programkomiteen for Sikkerhet og Sårbarhet
kl.10.10 EU-US. Privacy Shield
Kim Ellertsen, Avdelingsdirektør, Datatilsynet
Er den nye avtalen melloom EU og USA redningen for den overføring som tidligere var beskyttet av Safe Harbor, som viste seg ikke å ha god nok beskyttelse av opplysninger om Europeiske borgere «over there»?
kl.10.50 Live hacking OWASP Top 10 sårbarheter
Audun Dragland, Sikkerhetsansvarlig, Computas,  og Nicholas Paulik, Kunnskapsingeniør, Computas
Mange har hørt om OWASP Top 10 sikkerhetssvakheter, men få har fått dem demonstrert live. Dette ønsker vi å gjøre noe med. Utstyrt med enkle verktøy og noen sårbare webapper vil vi vise hvordan vi kan stjele sensitiv informasjon og på andre måter kompromittere brukerne. Til slutt vil vi gi noen råd om sikkerhetstesting og hvordan sårbarhetene kan finnes tidlig.
kl.11.40 Kaffepause
kl.12.00 Hvordan ta bedre beslutninger i kaotiske situasjoner?
Mona Elisabeth Østvang, Seniorkonsulent, mnemonic
Håndtering av hendelser handler mye om å ta riktige beslutninger i en stresset og kaotisk situasjon. Hva påvirker hvilke beslutninger vi tar? Hva kan vi gjøre for å øke kvaliteten på beslutningene våre, slik at konsekvensen av hendelsene blir minst mulig for organisasjonen? I dette foredraget deler mnemonics Incident Response Team erfaringer fra håndtering av sikkerhetshendelser og forteller hvilke teknikker vi bruker for å bedre beslutningsprosessene, understøttet av forskning på hvordan menneskets hjerne fungerer.
kl.12.45 Lunsj
 Tema Lett blanding Teknisk og Helse
kl.13.45 Hvordan få ledere til å forstå viktigheten av sikkerhet
Kim Borgeteien, Security Community Lead, Sopra Steria og Eirik Gulbrandsen, Security Evangelist, Arrow ECS Norway
«Jeg får ikke gjennomslag for å fokusere på informasjonssikkerhet i bedriften jeg jobber i!». For mange som jobber med informasjonssikkerhet er dette en kjent problemstilling. Men problemet ligger kanskje ikke alltid hos mottagerne? Digitaliseringen av samfunnet gjør god informasjons-sikkerhet til en forutsetning for forretningsutvikling. Så hvordan utfordrer og engasjerer man et IT- og sikkerhetsmiljø til å bli en effektiv medspiller for bedriftens kjernevirksomhet?Foredragsholderne har jobbet med å designe, implementere og selge sikkerhetsløsninger i over ti år – og har noen tanker og erfaringer om hva som gjør sikkerhet «salgbart».
Angrepets anatomi
Erlend Oftedal, Konsulent i Blank Oslo og Leder av OWASP Norway
Et målrettet angrep mot systemene dine. Hvordan kan en angriper finne veien inn og hva gjør han når han er kommet inn?
Vi følger et angrep mot en organisasjon utenifra og ser på noen av aktivitetene angriperen kan gjøre i forskjellige faser av angrepet.
kl.14.15 Sharing is caring
Margrete Raaum, Dglig leder, KraftCERT AS

Man kan ikke drive trusseletterretning og sårbarhetsovervåking fra sin egen lille øy – uten deling er det verdiløst. Hvorfor er deling så vanskelig? Hvem skal man dele med, hva kan det medføre, hvordan skal det foregå og hva står i veien for en god og effektiv deling av trussel- og sårbarhetsinformasjon? Vi ser også på eksempeleffekter av informasjonsdeling eller mangel på sådan.
Journalen på nett – hvordan går nå det da?
Ragnhild Varmedal, Utviklings- og sikkerhetsansvarlig, 
Digitale pasienttjenester i Nord og Eva Skipenes, Sikkerhetsarkitekt, Helse Nord IKT
Helse Nord har som første helseregion tilbudt pasienten elektronisk tilgang til HELE sin sykehusjournal. Først i en pilot (2015) men nå som en tjeneste til alle innbyggere i regionen. Foredraget gir en kort innføring i erfaringer fra de første månedene med drift, samtidig som vi går inn på noen av de sikkerhetsutfordringer prosjektet har støtt på underveis i utvikling av tjenesten.
kl.14.45 Kaffepause
kl.15.00 Internkontroll for informasjonssikkerhet – en fleksibel tilnærming med høy nytteverdi
Øyvind A. Arntzen Toftegaard, Rådgiver, NVE
Det er mange teorier rundt internkontroll eller styringssystem for informasjonssikkerhet og hvordan dette skal løses i praksis. Faktum virker likevel å være at dette er vanskelig å få til og at få virksomheter lykkes med dette. En fleksibel tilnærming hvor nytteverdi står sentralt kan være nøkkelen til å få med seg virksomheten og lykkes med etablering av rutiner for styring og kontroll.
 
Security Information and Event Management (SIEM) i praksis
Roger Skjetlein, Senior konsulent, Basis Consulting og Thomas Tinglum, System Administrator, Zedge
Hvordan finne, analysere og aggregere sikkerhetsrelaterte hendelser i store systemer. Store systemer betyr også langt større mengder data som skal analyseres, samt at man ser det klassiske perimeter at forsvaret ikke gir godt nok forsvar mot moderne angrep. Forklaring og eksempler av SIEM basert på Elasticsearch i to ulike settinger, hhv. hosting- og webapplikasjonsmiljø.
kl.15.30 Ettermiddagsbuffet
kl.16.00 Sikkerhetskultur i Bufetat med bruk av dilemmatrening, gadgets og mer!
Silje Grid Stakston, Barne- ungdoms og familietaten, senter for administrasjon og utvikling (BSA)
Foredraget forteller om arbeidet med sikkerhetskultur i Bufetat, med egenutviklede trykksaker og bruk av Difis dilemmatrening.
«En innbygger – én journal» skal gi tilgang til helseopplysninger om deg!
Bjarte Aksnes, Seniorrådgiver, Direktoratet for e-helse
Hovedmålet med «En innbygger – én journal» er at helsepersonell skal ha enkel og sikker tilgang til pasientopplysninger, innbyggere skal ha tilgang til enkle og sikre digitale tjenester, og data skal være tilgjengelig for kvalitetsforbedring, helseovervåking, styring og forskning. Løsningene skal ivareta innbyggeres rettigheter ift. personvern og ivareta krav til informasjonssikkerhet og beskytte helseopplysningne på en tilfredsstillende måte med hensyn til konfidensialitet, integritet og tilgjengelighet.
kl.16.30 Sikkerhetskultur; hvorfor og hvordan skape det?
Lars Egil Sætrang, COO, CTRLe AS
Sikkerhetskultur er fokusområde for svært mange organisasjoner nå. Mange forveksler «security awareness» med «security culture». Foredraget vil forklare forskjellen, hva sikkerhetskultur er og hvordan gå frem for å bygge i egen organisasjon. Utgangspunktet bygger på den åpne Security Culture Framework defacto standarden som allerede benyttes av hundrevis av organisasjoner verden over.
Digitale beviser i norsk rett
Stein Møllerhaug, Digital Bevisanalyse AS
Politiet beslaglegger i dag rutinemessig elektroniske lagringsmedia som mobiltelefoner, nettbrett og PCer når de går til pågripelser. Gjennomgang av det beslaglagte utstyret kan ofte så vel bekrefte som avkrefte en mistenkts forklaringer.Hva er det man leter etter i databeslag? Hvordan sikres et databeslag? Hva kan gjenoppbygges? Hvor sikre er opplysningene som kan fremskaffes?
kl.17.00 Servering i utstillerområdet
kl.18.30 Felles avgang til Dokkhuset

kl.19.00 Middag

 

ONSDAG 11. MAI

kl.09.15 Sikkerhetstrender 2016 – informasjon eller fiksjon?
Lillian Røstad, Leder av Informasjonssikkerhet, Sopra Steria Norge
Hvert år publiseres det en rekke rapporter, undersøkelser og lister med årets viktigste sikkerhetsutfordringer og trender. I utgangspunktet er dette nyttige verktøy og viktig informasjon for oss som jobber med sikkerhet. Men, all informasjon er ikke god informasjon. Hvordan vet vi hvilke kilder vi kan stole på? Og er det egentlig så store forskjeller fra år til år som en del av disse rapportene legger opp til? I dette foredraget ser vi med et skråblikk på alle rapportene, hva de sier og om det egentlig er god informasjon.
kl.10.00 Morgenbuffet
kl.10.30 Cyberforsikring – Når lønner det seg?
Marie Moe, Forsker SINTEF IKT
Cyberforsikring er stadig mer populært og forsikringsselskapene har kommet inn som en ny aktør i hendelseshåndteringen ved et cyberangrep. Det kan imidlertid være krevende for en virksomhet å vurdere cyberforsikring opp mot andre risikoreduserende tiltak: Hva dekker egentlig cyberforsikringen? Når bør man velge å forsikre? Hvilke erfaringer har cyberforsikrings-tilbydere og kunder gjort seg?
kl.11.00 Tenk personvern! Bruk hjelm!
Knut Joar Eggen, Sikkerhetsansvarlig og personvernombud,
Sarpsborg kommune
Begreper innen fagfeltet informasjonssikkerhet er ofte abstrakte og kan av og til være forvirrende for brukerne. En nylig gjennomført studie indikerer en betydelig begrepsforvirring på dette området. Hvordan kan vi komme oss bort fra stammespråket og kommunisere med våre kolleger om informasjonssikkerhet på forståelig norsk?
kl.11.30 Lunsj
kl.12.30 Prosjektveiviser for sikkerhet
Jens Lien, Rådgiver, Bouvet
For bygge informasjonssikkerhet inn i løsninger og rutiner må det fokuseres på sikkerhet allerede før det konkrete utviklingsprosjektet starter opp. Men hvordan får vi det til? Prosjektveiviseren er Difis anbefalte prosjektmodell for digitaliseringsprosjekter og foredraget vil vise hvordan og (og hvorfor) en kan/bør integrere fornuftige og gode sikkerhetsaktiviteter i utviklingsprosjektene.
kl.13.00 Humor i sikkerhetsarbeidet – morsomt eller bare latterlig?
John Arild A. Johansen, Informasjonssikkerhetsleder/CISO, Helsedirektoratet og Direktoratet for e-helse
Det er en kjensgjerning vi sikkerhetsfolk jobber med et av de meste usexy områdene i bransjen. Kan humor hjelpe? Er humor og sikkerhet forenelig? Hvor grensen? Når blir det useriøst? Hva fungerer og hva fungerer absolutt ikke? Vil de ansatte ta sikkerhet seriøst etter dette? Et ubetinget og rungende «ja» mener nå foredragsholder John Arild Johansen (som ikke er standup-komiker, men sikkerhetssjef).
kl.13.45 Avslutning av konferansen
Maria Bartnes, programkomiteen for Sikkerhet og Sårbarhet
kl.14.00 Slutt

 

Share This