Tomáš Matějíček
Anonymizované situace

Typické situace a výstupy

Kvůli citlivosti bezpečnostních projektů nezveřejňuji názvy klientů. Veřejně ukazuji anonymizované situace, typ výstupu a rozhodnutí, která po spolupráci navazují.

Domluvit úvodní konzultaci Popsat situaci e-mailem

Jak tuto stránku číst

Smyslem není zveřejnit citlivé detaily klientů. Cílem je ukázat typické situace, rozsah zásahu, podobu výstupu a konkrétní dopad na další rozhodnutí.

Anonymizovaný kontext

Každý příklad popisuje výchozí problém bez údajů, které by šly přiřadit ke konkrétní organizaci.

Skutečný typ výstupu

Důležitý je artefakt nebo rozhodovací podklad, který klient po zakázce skutečně získá.

Důkaz bez veřejné reference

Každý příklad popisuje prostředí, rozsah, výstup a dopad bez nutnosti zveřejnit klienta nebo jeho interní údaje.

Případové studie

Struktura je připravená tak, aby šla průběžně doplňovat o další realizace bez nutnosti veřejně zveřejňovat klienta nebo jeho interní údaje.

Menší regulovaná organizace · ZoKB/NIS2 GAP analýza a plán implementace

GAP analýza a prioritizace pro organizaci s novou regulatorní povinností

Typ organizace: Externě regulovaná organizace bez samostatného bezpečnostního týmu

Prostředí: Desítky uživatelských účtů, cloudové služby a omezená interní IT kapacita

Rozsah: Mapování současného stavu proti požadavkům zákona, vyhlášky a minimálním provozním opatřením

Výchozí problém: Organizace potřebovala rychle určit, které požadavky řešit jako první a co už naopak v prostředí existuje.

Postup: Analýza oddělila povinné minimum, rychlé kroky a oblasti, kde bude potřeba navazující projekt nebo dodavatel.

Výstup: Prioritizovaný gap report a rozhodovací plán na nejbližší týdny a měsíce.

Dopad: Vedení získalo jasný podklad pro rozpočet, odpovědnosti a pořadí implementace.

Co šlo rozhodnout: Vedení mohlo rozhodnout, které kroky řešit interně, kde potřebuje dodavatele a co má jít do rozpočtu jako první.

Typy zjištění:

  • nejasné vlastnictví některých bezpečnostních opatření
  • rozdíl mezi formálně popsaným stavem a skutečnou provozní praxí
  • potřeba seřadit opatření podle kapacity týmu

Navazující krok: Navazovalo zpřesnění implementačního plánu a kontrola dodavatelských návrhů.

Školy a organizace s hybridním prostředím · Active Directory a Microsoft 365

Analýza identit a rolí v Active Directory a Microsoft 365 po sérii provozních změn

Typ organizace: Organizace s historicky vrstvenými účty, skupinami a externí správou

Prostředí: Hybridní AD, Microsoft 365, sdílené mailboxy a administrátorské role rozdělené mezi více stran

Rozsah: Kontrola privilegovaných účtů, MFA, rolí, skupin, externího sdílení a klíčových bezpečnostních nastavení

Výchozí problém: Tým potřeboval rychle oddělit skutečně rizikové identity a konfigurace od menších provozních nedostatků.

Postup: Analýza sjednotila technické nálezy do logického pořadí podle dopadu na kompromitaci účtů a dostupnost služeb.

Výstup: Přehled kritických slabin, rychlých kroků a plán navazujících úprav v AD a Microsoft 365.

Dopad: Organizace získala podklad pro okamžité snížení rizika u privilegovaných účtů a sdílení dat.

Co šlo rozhodnout: Technický tým získal pořadí změn, které šlo provést bez velkého projektu a s jasným dopadem na riziko.

Typy zjištění:

  • nadměrná oprávnění u historických účtů
  • nejednotná pravidla pro externí sdílení
  • chybějící oddělení některých správcovských rolí

Navazující krok: Navazovala náprava vybraných oprávnění, MFA a pravidel pro externí sdílení.

Software a SaaS firmy · Webové aplikace a API

Bezpečnostní posouzení webové aplikace před významnou verzí

Typ organizace: Vývojový tým s vlastním produkčním webem a API

Prostředí: Webová aplikace, autentizace, role, integrační API a tlak před vydáním nové verze

Rozsah: Manuální posouzení rizikových částí aplikace, logiky oprávnění, autentizace a vybraných endpointů API

Výchozí problém: Tým potřeboval nezávislý pohled na zneužitelné chyby, které by šly převést do plánu oprav před vydáním.

Postup: Posouzení pokrylo zneužitelné scénáře, prioritizaci oprav a hranici mezi kritickými a odložitelnými nálezy.

Výstup: Technický report s prioritami, doporučením oprav a prostorem pro navazující ověření změn.

Dopad: Release rozhodnutí šlo opřít o konkrétní nálezy a plán oprav místo obecné nejistoty.

Co šlo rozhodnout: Vývojový tým mohl oddělit blokující nálezy od oprav, které šly zařadit do dalšího vývojového cyklu.

Typy zjištění:

  • slabší kontrola oprávnění u části API
  • nejasné chování aplikace při změně rolí
  • potřeba doplnit regresní bezpečnostní testy

Navazující krok: Navázala oprava vybraných endpointů a ověření změn před vydáním.

Další odborné výstupy

Veřejné technické výstupy a vlastní projekty doplňují představu o praktické práci, způsobu dokumentace a technickém kontextu.

Zobrazit veřejné odborné výstupy a další projekty

GitHub

Veřejné repozitáře s ukázkami technické práce v bezpečnosti, automatizaci a provozu.

PerfMon

Vlastní projekt pro monitoring a správu zařízení z praxe provozního dohledu.

2FA.cz

Praktický rozcestník k dvoufaktorovému ověření pro uživatele i správce.

Navazující veřejné podklady

Pokud chcete vedle referencí vidět i podobu spolupráce, výstupu nebo vstupní orientační kontroly, pokračujte přes tyto veřejné podklady.

Průběh spolupráce

Jak probíhá spolupráce

Vysvětlení rozsahu, práce s podklady a navazujícího kroku od prvního kontaktu po finální výstup.

Podoba výstupu

Jak vypadá výstup

Přehled toho, co dostane vedení, správce nebo technický tým a jak se z výstupu stává plán další práce.

Chcete podobný výstup pro vlastní prostředí?

Pošlete stručný popis organizace, prostředí a hlavní obavy. Navrhnu vhodný vstupní rozsah a podobu výstupu.

Přejít na kontakt Zavolat