Bezpečnost musí skončit konkrétním rozhodnutím
Jsem Tomáš Matějíček, seniorní konzultant kybernetické bezpečnosti. Přes 25 let se pohybuji mezi vývojem aplikací, provozem IT a bezpečnostním poradenstvím. Pomáhám firmám a organizacím zjistit, co je opravdu rizikové, co musí řešit kvůli regulaci nebo zákazníkům a jak z toho udělat proveditelný plán.
Propojuji bezpečnost, provoz a srozumitelnou komunikaci
Moje práce stojí na kombinaci technické hloubky a provozní zkušenosti. Neřeším bezpečnost jako izolovaný audit, ale jako sérii rozhodnutí: co je největší riziko, co má být povinné minimum, co má udělat vedení a co má reálně provést IT tým.
Na čem moje zkušenost stojí
Podklady beru z reálné práce: vývoj a provoz systémů, dlouhodobé bezpečnostní konzultace, penetrační testování, GAP analýzy, role osoby pověřené kybernetickou bezpečností a školení zaměstnanců. Konkrétní klienty bez souhlasu nezveřejňuji, ale typ práce je pro rozhodnutí o spolupráci důležitý.
Vývoj a provoz IT
Začínal jsem u správy IT a vývoje webových aplikací. Díky tomu bezpečnostní doporučení nevznikají od stolu, ale s vědomím, co znamenají pro provoz, lidi, rozpočet a údržbu.
Bezpečnostní ověření
V projektech se opakovaně objevuje penetrační testování, security review, aplikační bezpečnost, Active Directory, Microsoft 365, infrastruktura, logování a zálohování.
ZoKB/NIS2 a řízení opatření
Pracuji s organizacemi, které potřebují převést regulatorní tlak do konkrétního seznamu opatření, odpovědností, důkazů, harmonogramu a podkladů pro vedení.
Školení a vysvětlování
Bezpečnost má fungovat i mimo IT oddělení. Umím připravit technické nálezy, manažerské shrnutí i praktické školení pro zaměstnance nebo vedení.
Jaký výstup ode mě čekat
Největší hodnota není v tom, že vznikne další dokument. Hodnota je v tom, že po spolupráci víte, co je opravdu problém, co má prioritu a jaký další krok dává smysl.
Rozhodnutí pro vedení
Stručné shrnutí stavu, rizik, priorit a dopadů bez zbytečného technického šumu.
Konkrétní zadání pro IT
Technické nálezy a doporučení formulované tak, aby z nich šlo připravit práci pro interní tým nebo dodavatele.
Prioritizovaná roadmapa
Pořadí kroků podle rizika, náročnosti, povinností a očekávaného dopadu.
Kontrola reálnosti
Pomáhám odlišit nutné minimum, rozumné doporučení a věci, které mohou počkat.
Certifikace a ověřitelná technická praxe
Certifikace nejsou samy o sobě důvod ke spolupráci. Jsou ale užitečný důkaz, že vedle provozního a manažerského pohledu mám i praktický technický základ pro bezpečnostní testování.
Certified Ethical Hacker
Certifikace CEH v10 potvrzuje znalost běžných technik, postupů a principů etického hackingu.
Kliknutím zobrazíte detail certifikátu
Offensive Security Certified Professional
OSCP je praktická bezpečnostní certifikace zaměřená na samostatné ověřování zranitelností a práci s technickými nálezy.
Kliknutím zobrazíte detail certifikátuVedle CEH a OSCP mám zkušenost i s auditní, cloudovou a Microsoft bezpečnostní oblastí. Certifikace beru jako doplněk k praxi: důležité je, aby výstup pomohl rozhodnout, co je skutečné riziko a co má přijít na řadu jako první.
Kde dávám největší smysl
Potřebujete nezávislý pohled na bezpečnostní situaci
Pošlete stručný kontext. V první odpovědi pomohu určit, jestli dává smysl GAP analýza, bezpečnostní dohled, security review, školení nebo jiný první krok.