Služba 01
Zjistíme, kde skutečně stojíte — vůči standardům, zákonům i reálným hrozbám.
Bezpečnostní zralost není číslo v reportu. Je to schopnost organizace skutečně odolat útoku.
Mnoho firem si myslí, že bezpečnost mají pokrytou — protože mají firewall, antivirus a zálohy. Security Assessment je o tom zjistit, jak moc to skutečně platí. Ne jestli máte nástroje, ale jestli fungují správně, v celém kontextu vašeho prostředí.
Posuzujeme stav vůči uznávaným standardům — NIST CSF, ISO 27001 nebo CIS Controls — a dáváme výsledky do reálného kontextu vašeho oboru a velikosti. Nejde o shodu s papírem, ale o to, jestli jste opravdu připraveni.
Výstupem není jen report. Dostanete prioritizovaný seznam toho, co řešit jako první — seřazený podle rizika, dopadu a realizovatelnosti v rámci vašeho rozpočtu.
Co zahrnuje služba
Posoudíme váš aktuální stav vůči NIST CSF, ISO 27001 nebo CIS Controls. Výstupem není tabulka čísel, ale srozumitelný obraz toho, co funguje a co ne.
Začínáme rozhovory s klíčovými lidmi — IT, management, provoz. Procházíme dokumentaci, technická řešení a stávající procesy. Výsledkem je přehledná mapa aktuálního stavu a konkrétní srovnání s vybraným standardem. Celý proces zvládneme s minimálním zásahem do vašeho provozu — obvyklý rozsah je 2–3 týdny.
Zkontrolujeme připravenost na ZoKB, NIS2 a DORA. Víte, co zákon vyžaduje — my vám řekneme, jak daleko od toho jste.
Pro každý regulatorní rámec projdeme konkrétní požadavky a zmapujeme, kde jste splnění, kde máte mezery a kde potřebujete urgentní pozornost. Výsledkem je gap analýza s jasnou prioritizací — co řešit nejdřív a co lze odložit. Vždy bereme v potaz reálné kapacity vaší organizace, ne jen formální shodu s textem zákona.
Projdeme vaši síťovou a systémovou architekturu. Hledáme slabá místa v návrhu, ne jen v konfiguraci.
Zaměřujeme se na návrh — jak jsou systémy propojené, jak jsou segmentovány sítě, jak je řízený přístup. Problémy v architektuře se neopravují patchem — proto je důležité je odhalit dřív, než se projeví jako incident. Review probíhá bez nutnosti přístupu k produkčním systémům, na základě dokumentace a řízeného workshopu.
Testujeme vaše systémy způsobem, jakým by to udělal útočník. Rozsah a hloubku nastavíme podle vašeho kontextu.
Pracujeme s jasně definovaným scope — zaměřujeme se na konkrétní aplikace, infrastrukturu nebo jejich kombinaci. Výstup není jen seznam CVE z nástroje — jde o realistický popis rizika a doporučení opravy, která interní tým zvládne implementovat. Nabízíme i opakované testování po nápravě, abychom ověřili, že fix skutečně funguje.
Pomůžeme vám vytvořit nebo revidovat IRP. Když něco nastane, nechcete přemýšlet, co dělat — chcete podle plánu jednat.
IRP zahrnuje role a zodpovědnosti, eskalační postupy, komunikační šablony a playbooks pro nejčastější typy incidentů — ransomware, phishing, únik dat. Plán přizpůsobíme vaší velikosti a kontextu. Volitelně plán i testujeme prostřednictvím tabletop cvičení, kde projdeme simulovaný scénář s klíčovými lidmi.
Na základě hodnocení navrhneme konkrétní kroky. Seřazené podle priority, realizovatelnosti a vašeho rozpočtu.
Roadmapa je 12–18měsíční plán s jasně definovanými milníky, vlastníky a odhadem zdrojů. Každá iniciativa je zdůvodněna rizikem, ne módou. Dokument je navržen tak, aby byl srozumitelný i pro management bez technického zázemí — slouží jako základ pro rozhodování o investicích i pro komunikaci s regulátory.
Cílová skupina
01
ISO 27001, NIS2 nebo jiné regulatorní požadavky — chcete vědět, kde stojíte, než zaplatíte za audit.
02
Potřebujete pochopit, co se stalo, proč se to mohlo stát a jak zajistit, aby se to neopakovalo.
03
Bezpečnost vnímáte jako prioritu, ale nevíte, co řešit jako první. Assessment dá vašim úsilím správný směr.
Časté otázky
Záleží na rozsahu. Základní posouzení zralosti zvládneme za 2–3 týdny. Komplexní assessment včetně pentestingu může trvat 4–8 týdnů. Vždy se domluvíme předem.
Vždy konkrétní kroky. Report bez prioritizace je zbytečný papír. Výstup vždy obsahuje seznam doporučení seřazených podle naléhavosti a dopadu.
Ne. Hodnocení dává smysl v jakékoliv fázi — i když žádnou certifikaci nemáte a ani neplánujete. Jde o to vědět, kde stojíte.
Začněme
Zavolejte nám nebo napište — probereme rozsah, odpovíme na otázky a navrhneme přístup šitý na míru vašemu prostředí.