Pomohu vám zavést a udržet kyberbezpečnostní opatření v pravidelném provozu

Role osoby pověřené kybernetickou bezpečností dává smysl ve chvíli, kdy už víte, co je potřeba řešit, ale potřebujete někoho, kdo bude držet priority, evidenci, dokumentaci, školení, reporting a rozhodnutí vedení v jednom pracovním rytmu.

Služba je navržená jako praktická role, ne jako formální titul

V implementaci pomáhám rozběhnout systém práce. Po dokončení implementace přechází spolupráce do menšího pravidelného provozního dohledu.

Implementační fáze

15 h / měsíc průměrný rozsah, skutečná pracnost může mezi měsíci kolísat

Provozní fáze

10 h / měsíc pravidelný dohled, reporting, kontrolní témata a menší změny

Práce nad rámec

2 000 Kč / h větší dokumenty, školení, incidenty nebo technická implementace

Kdy zvolit externí osobu pověřenou kybernetickou bezpečností

Tato služba je vhodná pro organizace, které potřebují odborně řídit kyberbezpečnostní agendu, ale nedává jim smysl hned budovat interní bezpečnostní roli na plný úvazek.

Situace Proč právě tento krok Co má být jasné potom
Máte GAP analýzu, plán opatření nebo auditní výstup a potřebujete ho převést do řízené implementace. Bez pravidelného vlastníka se opatření snadno rozpadnou do úkolů bez pořadí, termínů a odpovědnosti. Měsíční přehled priorit, úkolů, rizik, důkazů a rozhodnutí pro vedení.
Spadáte do režimu nižších povinností a potřebujete obsadit roli odborně, ale přiměřeně velikosti organizace. Externí role pokryje metodiku, koordinaci, reporting a dohled bez nákladů plného interního úvazku. Nastavený pracovní rytmus, evidence, dokumentace, školení a provozní dohled.
Vedení potřebuje pravidelně vědět, co je riziko, co je hotové a kde je potřeba rozhodnout. Kyberbezpečnost se jinak schová mezi technické detaily a nedostane se k rozhodnutím, rozpočtu a prioritám. Stručná informace pro vedení a jasné další kroky na další měsíc.

Jaký problém řešíme

Osoba pověřená kybernetickou bezpečností má držet systém práce pohromadě. Nestačí mít dokumenty, pokud se podle nich neřídí priority, změny a odpovědnosti.

01

Opatření nemají stabilního vlastníka

Někdo připraví analýzu nebo seznam úkolů, ale v běžném provozu chybí člověk, který hlídá termíny, vazby, výjimky, důkazy a rozhodnutí.

02

Vedení nedostává použitelný stav

Technické detaily jsou důležité, ale vedení potřebuje hlavně vědět, co je riziko, kde je potřeba zdroj nebo rozhodnutí a co se změnilo od minulého měsíce.

03

Dokumentace a evidence nežijí s provozem

Bez měsíční údržby se registry aktiv, rizik, dodavatelů, opatření, incidentních kontaktů a výjimek rychle stanou neaktuálními.

Co potřebuji před převzetím role

Aby role nebyla jen formální, musí být od začátku jasné, z čeho vycházíme, kdo rozhoduje a jak se budou předávat úkoly, rizika a výstupy.

Kdy tato služba sama o sobě nestačí

Role pomáhá odborně řídit a koordinovat bezpečnostní agendu. Nemůže nahradit vedení organizace, provozní odpovědnost ani technickou práci, která musí být samostatně zadána.

Vedení nechce rozhodovat

Pokud nejsou dostupná rozhodnutí o prioritách, rozpočtu, odpovědnostech a riziku, role se zablokuje v doporučeních bez dopadu.

Očekává se převzetí celé odpovědnosti

Pomáhám nastavovat, koordinovat a kontrolovat agendu. Odpovědnost za provoz, lidi, dodavatele a rozhodnutí zůstává v organizaci.

Chybí vstupní přehled stavu

Pokud není jasné, kde začít, je vhodnější nejdřív udělat GAP analýzu nebo úvodní posouzení a až potom nastavit měsíční roli.

Jak vypadá výstup spolupráce

Výstup nemá být šanon dokumentů. Smyslem je pravidelný, stručný a použitelný přehled pro řízení bezpečnosti.

Stav opatření

Přehled úkolů, rizik a důkazů

Co je hotové, co je otevřené, kdo je vlastníkem, kde chybí důkaz a které body jsou po termínu.

Vedení

Měsíční informace pro rozhodnutí

Stručný souhrn hlavních rizik, změn, doporučených rozhodnutí a priorit na další období.

Provoz

Aktualizovaná dokumentace a evidence

Dokumentace, registry, kontakty, eskalační postupy a kontrolní témata udržované podle reálného provozu.

Co role typicky pokrývá

Rozsah se liší podle fáze. Implementační fáze nastavuje systém práce, provozní fáze ho udržuje a pravidelně kontroluje.

01

Implementační fáze

Převzetí výstupů GAP analýzy, návrh priorit, nastavení odpovědností, evidence aktiv, rizik, dodavatelů a opatření, základní dokumentace, incidentní postup, školení a měsíční reporting.

02

Provozní fáze

Měsíční koordinační schůzka, aktualizace opatření, rizik a úkolů, stručná informace pro vedení, konzultace změn v IT, procesech a dodavatelích, údržba dokumentace a kontrolní téma měsíce.

03

Roční rytmus kontrolních témat

Postupné vracení se k prioritám, rozsahu, aktivům, dodavatelům, incidentům, dokumentaci, školení, přístupům, zálohám, logování, rozpočtu a ročnímu shrnutí.

04

Práce nad rámec

Větší dokumentační práce, rozsáhlejší školení, auditní podpora, významný incident, rozsáhlé dodavatelské změny nebo technická implementace se řeší samostatně.

Typický první krok

Nejdřív je potřeba potvrdit, zda se má navázat na existující GAP analýzu, nebo zda je nutné vstupní stav nejdřív zmapovat.

Vyjasnění režimu, výstupů a měsíčního rytmu

Projdu dostupné podklady, potvrdíme režim povinností, očekávání vedení, kontaktní osoby, hlavní rizika a rozsah měsíční práce. Potom navrhnu implementační nebo provozní model spolupráce.

Orientační cena

Vycházím ze sazby 1 900 Kč/h u pravidelné spolupráce. Paušál má odpovídat reálnému rozsahu práce, ne vytvořit neomezenou dostupnost.

Implementační fáze od 28 500 Kč / měsíc

Typicky průměrně 15 hodin měsíčně. Skutečný rozsah se může mezi měsíci lišit podle implementace; nejde o pevný strop pro každý měsíc.

Provozní fáze od 19 000 Kč / měsíc

Po dokončení implementace typicky 10 hodin měsíčně pro běžný dohled, aktualizace, reporting, kontrolní témata a konzultace menších změn.

Práce nad rámec od 2 000 Kč / hod

Používá se pro větší samostatné výstupy, rozsáhlejší školení, významné incidenty, technickou implementaci nebo práci mimo sjednaný měsíční rozsah.

Konkrétní nabídku potvrzuji až podle fáze, rozsahu, očekávaných výstupů a toho, co už má organizace připravené.

Jak spolupráce probíhá

Spolupráci stavím tak, aby bylo zřejmé, co se řeší pravidelně, co je práce nad rámec a kdy má vedení udělat rozhodnutí.

01

Potvrdíme vstupní stav

Projdu GAP analýzu, audit, existující dokumentaci a seznam otevřených opatření. Pokud přehled chybí, navrhnu nejdřív úvodní posouzení.

02

Nastavíme implementační plán

Určíme priority, odpovědnosti, evidence, reporting, školení, incidentní kontakty a způsob schvalování práce nad rámec.

03

Držím měsíční rytmus

Každý měsíc aktualizuji stav opatření, rizik a úkolů, připravím stručnou informaci pro vedení a řeším konzultace změn.

04

Přechod do provozní fáze potvrdíme

Jakmile jsou hlavní implementační práce hotové, spolupráce se zmenší na provozní dohled, kontrolní témata a podporu běžných změn.

Pro koho je služba vhodná

Navazující situace a služby

Časté otázky

Je lepší začít touto službou, nebo GAP analýzou?

Pokud už máte použitelnou GAP analýzu nebo plán opatření, lze navázat rovnou. Pokud ne, je rozumnější nejdřív zjistit stav a priority.

Znamená tato role převzetí odpovědnosti za kyberbezpečnost organizace?

Ne. Jde o odbornou, metodickou, koordinační a poradenskou roli. Rozhodnutí vedení, provoz systémů, zaměstnanci, rozpočet a realizace opatření zůstávají na organizaci.

Co když v některém měsíci vyjde práce výrazně nad paušál?

Běžné výkyvy v implementační fázi jsou očekávané. Pokud bude zřejmé, že práce významně překročí sjednaný rozsah, upozorním na to a další práci odsouhlasíme jako práci nad rámec.

Patří do služby i školení?

Ano, přiměřené základní školení nebo bezpečnostní povědomí je součástí implementační i provozní práce. Větší školení pro více skupin se řeší jako samostatný rozsah.

Potřebujete obsadit roli osoby pověřené kybernetickou bezpečností prakticky a udržitelně?

Pošlete mi stručný kontext organizace, režim povinností, dostupné podklady a představu o měsíčním rozsahu. Navrhnu vhodný první krok.