Για τρίτη συνεχόμενη χρονιά πραγματοποιήθηκε το ετήσιο συνέδριο του ISACA Athens Chapter (Ινστιτούτο Ελέγχου Συστημάτων Πληροφορικής – ΙΕΣΠ) στο ξενοδοχείο Intercontinental, όπου και ξεπέρασε τις διακόσιες πενήντα συμμετοχές.
Και φέτος το ετήσιο συνέδριο του ΙΕΣΠ πλαισιώθηκε με ένα εξειδικευμένο σεμινάριο (workshop) σχετικό με IT risk management και computer forensics, που πραγματοποιήθηκε το Σάββατο 2 Νοεμβρίου στις εγκαταστάσεις της Ελληνοαμερικανικής Ένωσης. Το εν λόγω σεμινάριο περιλάμβανε δύο ενότητες:
Ο κος Urs Fisher, που έλαβε μέρος στην ανάπτυξη του COBIT 5, παρουσίασε την ενότητα “IT Risk Management based on COBIT5 for Risk“, η οποία δεν εξαντλήθηκε στην παρουσίαση του προτύπου COBIT5 for Risk για την αναγνώριση, την αξιολόγηση και την ενσωμάτωση του κινδύνου πληροφορικής στο σύστημα διαχείρισης κινδύνων ενός Οργανισμού. Μεγάλη έμφαση δόθηκε στην εφαρμογή του προτύπου καθώς και στις βέλτιστες πρακτικές για την ανάπτυξη σεναρίων κινδύνου, την ανάθεση αρμοδιοτήτων και την εφαρμογή όλων των παραπάνω σε ενδεικτικές μελέτες περίπτωσης.
Στη δεύτερη ενότητα, ο Αναπληρωτής Καθηγητής του Τμήματος Ηλεκτρολόγων Μηχανικών και Μηχανικών Πληροφορικής ΔΠΘ κος Βασίλειος Κάτος παρουσίασε ζητήματα ερευνών με την αξιοποίηση ηλεκτρονικών στοιχείων (forensics investigations). Πραγματοποιήθηκε ταυτόχρονα παρουσίαση εξελιγμένων τεχνικών ηλεκτρονικών ερευνών καθώς και των σχετικών εργαλείων, ενώ παρουσιάστηκαν και ενδεικτικές περιπτώσεις που είναι δυνατό να συναντήσει ένας επαγγελματίας του χώρου, όπως η σύνδεση συντακτών με ένα κείμενο word μέσω των μετα-δεδομένων (metadata) που αποθηκεύονται στο ηλεκτρονικό αρχείο ή του εάν και πότε διαβάστηκε ένα USB stick, χρησιμοποιώντας τα μητρώα ενός υπολογιστή.
Οι εργασίες του 3rd ISACA Athens Chapter Conference ξεκίνησαν τη Δευτέρα 4 Νοεμβρίου 2013, με τους χαιρετισμούς του καθηγητή του Οικονομικού Πανεπιστημίου Αθηνών και συντονιστή του Συνεδρίου, κου Δημητρίου Γκρίτζαλη, του προέδρου του ΙΕΣΠ, κου Ιωάννη Λευκάκη και του ISACA International Director, κου Χρήστου Δημητριάδη.
Η εναρκτήρια ομιλία δόθηκε από τον πρόεδρο του ISACA International για το διάστημα 2012-2013, κο Gregory T. Grocholski και είχε τίτλο “Emerging IT Trends and their Implications to the Audit Profession”. Ο ομιλητής, ο οποίος διαθέτει εμπειρία 30 ετών στον Εσωτερικό Έλεγχο στη Dow Chemical Company, έδωσε μια νέα προοπτική σε τεχνολογικές προκλήσεις της σημερινής εποχής, όπως τα big data, ο τεράστιος όγκος πληροφορίας που δημιουργείται κάθε χρόνο από έναν Οργανισμό κ.ά.
Στη συνέχεια, ακολούθησε θεματική συζήτηση (workshop) σχετικά με τις προκλήσεις του νέου ευρωπαϊκού εποπτικού πλαισίου για τους επόπτες αλλά και τους παρόχους τηλεπικοινωνιακών υπηρεσιών, που συντόνισαν οι κ.κ. Χρήστος Δημητριάδης και Ευάγγελος Ουζούνης. Ο κος Ουζούνης εργάζεται στον ENISA όπου είναι επικεφαλής του Τομέα Ασφαλών Υποδομών και Υπηρεσιών. Στη συζήτηση που ακολούθησε συμμετείχαν οι κ.κ. Ανάργυρος Χρυσάνθου από την Αρχή Προστασίας Προσωπικών δεδομένων, ο κος Ιωάννης Ασκοξυλάκης, Επικεφαλής της ομάδας CERT του ΙΤΕ και ο κος Γιώργος Αντωνιάδης, Information Security Manager της HOL.
Στην επόμενη ενότητα παρουσιάστηκαν από την κα Charlie McMurdie, Senior Cyber Crime Advisor της PwC, σημαντικές περιπτώσεις ηλεκτρονικών εγκλημάτων, με τις οποίες ασχολήθηκε κατά την υπηρεσία της σαν επικεφαλής της Μονάδας Αντιμετώπισης Ηλεκτρονικού Εγκλήματος της UK Metropolitan Police. Η κα McMurdie συμπέρανε ότι το ηλεκτρονικό έγκλημα ακολουθεί τις τάσεις του συνηθισμένου εγκλήματος, με τη διαφορά ότι οι εγκληματίες είναι σε θέση να προστατεύσουν καλύτερα την ανωνυμία τους και μπορούν να εξαπολύσουν από τη ζεστασιά του σπιτιού τους μεγάλο αριθμό επιθέσεων σε πληθώρα στόχων.
Ο καθηγητής του Solvay Brussels School και πρώην Διεθνής Αντιπρόεδρος του ISACA, κος Georges Ataya μίλησε για “IT Governance and Emerging Trends”. Παρουσιάστηκε μέρος του ερευνητικού του έργου σχετικά με τις τρέχουσες προκλήσεις που αντιμετωπίζουν οι CIOs, τις νέες τάσεις που έχουν διαμορφωθεί καθώς και βέλτιστες πρακτικές σχετικά με το πώς η πληροφορική από υποστηρικτική (support) λειτουργία ενός Οργανισμού μπορεί να καταστεί διευκολυντής (enabler) προκειμένου ένας Οργανισμός να καταφέρει να μετασχηματίσει τις υφιστάμενες δομές και λειτουργίες του κατάλληλα και έγκαιρα, ώστε να μπορέσει να ανταποκριθεί με επιτυχία στις προκλήσεις της σημερινής εποχής.
Ακολούθως, ο κος Βασίλειος Κάτος πραγματοποίησε την παρουσίαση “VoIP Forensics” η οποία αφορούσε στη δυνατότητα παρακολούθησης του ιστορικού κλήσεων τηλεφωνικών συσκευών που χρησιμοποιούν το πρότυπο VoIP, μέσω της εκμετάλλευσης αδυναμιών στη διαμόρφωση ασφαλείας ενεργών δικτυακών συσκευών, αλλά και εγγενών αδυναμιών του πρωτοκόλλου επικοινωνίας SIP.
O κος Ηρακλής Καναβάρης, Supervising Senior Advisor, KPMG Advisors S.A. παρουσίασε τα πλεονεκτήματα που παρέχουν τα data analytics για την υλοποίηση ενός ελεγκτικού προγράμματος σύμφωνα με τις αρχές του διαρκούς ελέγχου (continuous audit). Δόθηκαν παραδείγματα και βέλτιστες πρακτικές σχετικά με το πώς μπορεί να αξιοποιηθεί η εν λόγω τεχνολογία για την παρακολούθηση αδυναμιών υφισταμένων ελεγκτικών μηχανισμών, στην παρουσίασή του με τίτλο: “Using Data Analytics and Continuous Auditing for Effective Risk Management”.
Στη συνέχεια ο κος Urs Fisher έκανε παρουσίαση με τίτλο “Geo-Location: Risks, Strategies and Audit Aspects”. Ο εντοπισμός της γεωγραφικής μας θέσης μέσω πληροφοριών που αποστέλλουν οι φορητές συσκευές που έχουμε στην κατοχή μας είναι πάρα πολύ εύκολος, αφού ακόμη και στην Ελλάδα οι εταιρείες παροχής οδικής βοήθειας έχουν αξιοποιήσει 4G tablets που επιτρέπουν τον εντοπισμό της θέσης και της ταχύτητας του στόλου των οχημάτων τους. Ωστόσο, η τεχνική αυτή δεν είναι πανάκεια και θα πρέπει να υλοποιείται κάτω από αυστηρές προϋποθέσεις και μόνο όταν πληρούνται τα κριτήρια που παρατίθενται στο ISACA whitepaper “Geolocation: Risk, Issues and Strategy”.
O κος Γιώργος Γερογιάννης, Datacenter & Cloud Solutions Manager της εταιρείας Unisystems παρουσίασε το πώς μπορεί η μεταφορά ενός datacenter στο cloud να βοηθήσει την κανονιστική συμμόρφωση. Ειδικότερα, παρουσιάστηκε περίπτωση εταιρείας e-invoicing που κατάφερε να πιστοποιηθεί κατά ISO 27001, ενώ είχε μεταφέρει το Κέντρο Πληροφορικής της στο Uni|Cloud της εν λόγω εταιρείας.
Ο κος Nικόλαος Βιρβίλης, Information Assurance Scientist στο NATO Communications & Information Agency, πραγματοποίησε την παρουσίαση με τίτλο “Advanced Persistent Threat vs. Defenders: Why we keep losing this game”. Παρουσιάστηκε πώς οι ελλείψεις σε επενδύσεις ασφάλειας και σε εκπαίδευση προσωπικού είναι δυνατό να οδηγήσουν σε σοβαρά περιστατικά ασφαλείας, όπως το Stuxnet, καθώς με τον όρο APT υπονοούμε φορείς που διαθέτουν χρήμα, τεχνογνωσία και τεχνολογία προκειμένου να προκαλέσουν μεγάλη ζημιά σε αυτόν που θα βάλουν στο στόχαστρό τους.
Ο κος Εμμανουήλ Σερρέλης πραγματοποίησε την παρουσίαση “Protecting from NextGen Hacking Targets: From Information-Driven Security to the Assurance of Everyday Life” στην οποία αναφέρθηκαν οι κίνδυνοι που αντιμετωπίζουμε από τη σύνδεση στο Internet όλο και περισσότερων ηλεκτρονικών συσκευών.
Ο κος Κωνσταντίνος Ελευθεράτος, Business Development Manager, Marketing, Enterprise & Business Customers, καθώς και ο κος Κωνσταντίνος Παπαπαναγιώτου, Information Security Services Team Leader, που εργάζονται στον ΟΤΕ, πραγματοποίησαν την παρουσίαση με τίτλο “Everything We Do About Security is Wrong” όπου και παρέθεσαν μια σειρά από συχνά λάθη και παραλείψεις που αφορούν στην ασφάλεια πληροφοριών.
Το συνέδριο έκλεισε με τη θεματική συζήτηση “ISACA Round Table Discussion: Emerging Trends – Have they emerged or the wave has yet to come?” στην οποία τέθηκαν στους ομιλητές κ.κ. Gregory Grocholski, Χρήστο Δημητριάδη, Georges Ataya και Urs Fischer ερωτήσεις σχετικά με big data, cloud computing, business agility, risk management, BYOD κ.ά.