25 listopada 2015 r. odbyła się już XI konferencja PolCAAT. IIA Polska kontynuuje 11 letnią tradycję wsparcia audytorów wewnętrznych w obszarach związanych technologiami IT. Tym razem cała konferencja dotyczyła tematyki szeroko rozumianego bezpieczeństwa IT, a motywem przewodnim był temat „Modele ochrony w dobie cyber-zagrożeń oraz rola audytu w systemie bezpieczeństwa”. Dobór tematyki, jak i prelegentów nie był przypadkowy, gdyż rok 2015 obfitował w znaczące wydarzenia z tego obszaru zarówno w kraju, jak i na świecie. Najwyższa Izba Kontroli przeprowadziła i opublikowała raporty dotyczące stanu cyberbezpieczeństwa RP, jak również ochrony bezpieczeństwa IT w wybranych jednostkach sektora finansów publicznych. Urząd Komisji Nadzoru Finansowego wzmógł działania związane z nadzorem ryzyk bezpieczeństwa IT zarówno w sektorze bankowym (związanym z wymogami Rekomendacji D), jak i ubezpieczeniowym (związanym z Wytycznymi dotyczącymi zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji). Instytut Kościuszki wydał raport pt. „Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny”. NASK na zlecenie Ministerstwa Administracji i Cyfryzacji przygotował Ekspertyzę dotycząca rekomendowanego modelu organizacji systemu bezpieczeństwa cyberprzestrzeni w Polsce. Jednocześnie ostatnie wydarzenia tj. skompromitowanie algorytmu SHA1, czy wskazanie przez NSA potrzeby rozważenia odejścia od koncepcji szyfrowania w oparciu o krzywe eliptyczne z uwagi na potencjalną możliwość przełamania oraz rosnące zagrożenie związane z atakami ATP wskazują na zmieniające się profile ryzyka w codziennej działalności organizacji i potrzebę adaptowania się działów audytu do nowych wyzwań.

W pierwszej części konferencji przedstawiciele NIK, KNF, Instytutu Kościuszki, Ogólnopolskiego Stowarzyszenia Pełnomocników Ochrony Informacji Niejawnych oraz ISACA Katowice dyskutowali na temat stanu bezpieczeństwa RP oraz niezbędnych działań zaradczych. Wskazano na potrzebę utworzenia dedykowanej ustawy, ustanowienia podmiotu koordynującego, wskazania jednoznacznych uprawnień i odpowiedzialności w systemie oraz alokacji odpowiednich zasobów finansowych na realizację tych zadań.

W kolejnej części konferencji zaproszeni eksperci zarówno z sektora publicznego, prywatnego, firm technologicznych oraz doradczych omawiali stan i kierunki rozwoju cyber-zagrożeń. Konkluzją było stwierdzenie, iż obecnie i w przyszłości nikt nie jest i nie będzie bezpieczny. Organizacje niezależnie od wielkości muszą być przygotowane na wystąpienie znacznego incydentu, natomiast zapotrzebowanie na usługi specjalistów ds. bezpieczeństwa IT dwukrotnie przekroczy ich dostępne zasoby rynkowe.

W odpowiedzi na zmieniające się trendy oraz nowe wyzwania w obszarze IT w trzeciej części konferencji dyskutowano o potrzebie transformacji pionów audytu, jak również ich roli w systemach bezpieczeństwa. Zaproszeni eksperci jednogłośnie wypowiedzieli się, iż rola audytu w systemach bezpieczeństwa jest tożsama z rolą związaną z oceną systemu kontroli wewnętrznej, jedynie różniąc się specyficznymi ryzykami z danych obszarów. Podkreślono potrzebę silnej funkcji audytu w organizacji, jak również udziału audytu, jako doradcy w budowie systemów bezpieczeństwa. Zwrócono uwagę na umiejętność rozumienia przez audyt wymogów biznesu, jak i wymogów bezpieczeństwa, co pozwala na budowę systemu dopasowanego do specyfiki danej organizacji. Prelegenci nie byli zgodni, co do modelu przemiany kwalifikacji audytu i rozwoju umiejętności IT. Wskazywano zarówno na możliwości outsourcingu specjalistycznych kwalifikacji, jak i budowy centrów kompetencyjnych w samym pionie audytu.

Na zakończenie konferencji przedstawiono prezentację, pod przewrotnym tytułem „Idealny system bezpieczeństwa – w poszukiwaniu jednorożca”, jak również omówiono zagadnienia testowania oprogramowania, jako jednego z elementów zapewnienia bezpieczeństwa organizacji na przykładzie branży ubezpieczeniowej, w tym spełnienia wymogów Wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji.