CISO Forum
W dniu 17 września 2010 w ramach konferencji ISSA w Atlancie odbyło się spotkanie ISSA CISO Executive Forum w którym miałem przyjemność uczestniczyć. Tematem przewodnim spotkania było bezpieczeństwo aplikacji i trendy w branży bezpieczeństwa. Na szczególną uwagę zasłużyły prezentacja Jack’a Danahy (Senior Security Executive, Office of the CTO, IBM) zatytułowana „Application Security for a Smarter Planet”, podkreślone zostało przesunięcie ataków na warstwę aplikacyjną z systemowej oraz stosunkowo niski poziom organizacji użytkujących i tworzących aplikacje. Kolejną prezentacją zasługującą na uwagę była prezentacja Cassio Goldschmidt’a (Senior Manager, Product Security, Office of the CTO, Symantec Corporation) „Fundamental Practices and Tools to Implement a Security Development Lifecycle”. Prezentacja łącząca aspekty wynikające z cyklu rozwoju aplikacji jak i kwestie typowo praktyczne, jak zalecenia co do dobrych praktyk tworzenia i nadzorowania kodu oraz poruszająca sprawy praktyczne, takiej jak walidacja danych wejściowych. Z ciekawostek na ile sposobów można wprowadzić adres strony tak aby był ciągle poprawnie interpretowany? Okazuje się że nawet tak prosta kwestia jest nie-trywialna. Nie można też zapomnieć o prelekcji Jeremiah Grossman’a „2,000 Websites Later” oraz panelu dyskusyjnym „Governance and Compliance Perspective on Application Security: Panel Discussion”. Od strony praktycznej może i dzielą nas tysiące kilometrów ale problemy są wspólne. Całość doprawiona klimatem networkingu i wymiany doświadczeń pomiędzy uczestnikami. Na pewno warto bywać na tego rodzaju spotkaniach i dowiedzieć się również jak sobie inni radzą z problemami które sami mamy. Poza tym doskonała okazja do poznania ludzi i środowiska. Ze swojej strony mam nadzieję na ponowne udział w forum w przyszłym roku a w najbliższej przyszłości planuję udział w kolejnych spotkaniach ISSA Polska.
Pozdr.
Adam Danieluk