Desatero kyberbezpečnosti pro malé a střední firmy

desatero-bezpecnosti
29. 09. 2025
Připravili jsme stručné „desatero“, které firmám pomůže rychle zhodnotit stav bezpečnosti a udělat první (nebo další) konkrétní kroky – od přístupů a MFA přes IAM a zálohy až po monitoring a krizový plán. Tento článek rozšiřuje jednotlivé body o praktické tipy, typické chyby a doporučení, jak začít. Digitalizace zrychluje byznys, ale zároveň otevírá víc dveří, než kolik jich stíháme hlídat. Útočníci dnes často míří na menší a střední firmy, protože přes ně se snadno dostanou k větším hráčům v dodavatelském řetězci. Následky přitom nebývají jen technické: odstávky, zpožděné zakázky, smluvní sankce, poškozená pověst i tlak auditorů a pojišťoven. Připravili jsme proto praktický tahák, který pomůže rychle zmapovat aktuální stav a určit, co má smysl udělat jako první — bez složité terminologie a bez „velkých“ projektů. Cíl je jednoduchý: snížit pravděpodobnost průšvihu, zkrátit dobu obnovy a mít jasno, kdo co dělá, když se něco děje. Materiál je určen pro firmy, které chtějí rozumné minimum a které potřebují srozumitelný rámec pro společnou domluvu IT, managementu i dodavatelů.

Proč řešit digitální bezpečnost právě teď ?

Digitalizace přináší rychlost a efektivitu — zároveň ale zvyšuje plochu útoku. Nejde jen o „velké“ hráče. Menší firmy jsou dnes častým cílem, protože přes ně se útočníci dostávají do větších organizací v dodavatelském řetězci. Následky nebývají jen technické: výpadky provozu, smluvní pokuty, reputační škody, pojišťovny vyžadující základní opatření, tlak auditorů i zákazníků.
Dobrá zpráva: základní kroky jsou jasné, proveditelné a v mnoha případech levnější než jeden incident:

1) Řízení přístupů a hesel

  • MFA pro e-mail, VPN, cloud, administrátorské účty.
  • Správce hesel a zákaz sdílených účtů.
  • Čtvrtletní revize oprávnění; okamžité odebrání přístupů při odchodu.

Účty jsou nejčastější vstupní brána. MFA a unikátní hesla dramaticky snižují šanci, že se někdo dostane dovnitř „jen“ přes přihlašovací údaje.

2) Identity a účty (IAM)

  • Jedno „místo pravdy“ pro identity (napojení na HR).
  • Princip nejmenších oprávnění a schvalování přístupů.
  • Logování vytvoření/změn/zrušení účtů.

Jasně vedené identity brání chaosu v oprávněních a umožní zpětně dohledat, kdo, kdy a proč k čemu získal přístup.

3) Aktualizace a záplaty

  • Centrální patch management pro OS, aplikace i síťové prvky.
  • Kritické záplaty v definovaném okně (např. do 7 dní).
  • Evidence EOL/EOS technologií a plán náhrady.

Většina útoků cílí na známé zranitelnosti. Pravidelné záplatování a plán náhrad starých systémů zavírá jednoduché zkratky pro útočníky.

4) Zálohy a obnova

  • 3–2–1 pravidlo, ideálně s offline/immutable kopií.
  • Pravidelné testy obnovy (RTO/RPO).
  • Jasně popsané „kdo a jak“ spouští obnovu (včetně kontaktů mimo kancelář).

Záloha je užitečná jen tehdy, když se z ní opravdu umíte vrátit. Krátký test obnovy jednou za čas ušetří dny práce při incidentu.

5) Ochrana koncových zařízení

  • EDR/antivirus i na noteboocích a mobilech.
  • Šifrování disků, auto-lock, centrální správa.
  • Přehled o stavu ochrany a reakcích (dashboard).

Notebook nebo mobil často cestují mimo firemní síť. Základní ochrana a dohled zajistí, že ztracené zařízení neznamená ztracená data.

6) Síť a perimetr

  • Segmentace (uživatelé/servery/OT/hosté).
  • „Deny by default“, dočasné výjimky s expirací.
  • Evidované změny firewall pravidel.

Segmentace zpomalí útočníka, i když se dovnitř dostane. Omezené propojení zón brání rychlému šíření problému celou firmou.

7) Logy, monitoring, SIEM

  • Centralizace logů a korelace typických scénářů.
  • Sledování přihlášení, změn práv, admin akcí.
  • Kritické alerty posílat i mimo e-mail (SMS/app).

Co nevidíte, neřídíte. Základní signály a smysluplné upozornění dávají čas reagovat dřív, než z drobnosti vznikne odstávka.

8) Lidé a školení

  • Krátká, pravidelná školení + simulace phishingu.
  • Jednoduchý proces hlášení incidentu.
  • Pravidla pro práci s daty (sdílení, externí úložiště, AI nástroje).

Nejrychlejší posílení bezpečnosti bývá u lidí. Jasná pravidla a trénink snižují počet chyb a zkracují dobu, než se incident vůbec zaregistruje.

9) Vzdálený přístup a mobilita

  • Firemní zařízení pod MDM, šifrování, VPN s MFA.
  • Oddělení osobních a firemních dat (containerization).
  • Vynucené aktualizace a možnost vzdáleného smazání.

Hybridní práce je standard. Správně nastavený vzdálený přístup drží komfort i bezpečnost bez improvizací.

10) Krizový plán a odpovědnosti

  • Role a kontakty: vedoucí zásahu, komunikace, IT obnova, právní/HR.
  • Scénáře: ransomware, únik dat, výpadek klíčové služby.
  • „Tabletop“ cvičení 2–3× ročně.

V krizi rozhodují minuty a klid. Jednoduchý plán a vyzkoušené kroky snižují zmatky i škody, když jde do tuhého.

 


Další kroky a regulace

Podrobnější přehled k NIS2, DORA a nové české legislativě včetně praktických kroků najdete zde: cleverbee.com/regulace.
Nejde ale jen o „papíry“ – většina kroků výše zvyšuje reálnou odolnost firmy bez ohledu na regulace 

Týká se to každé firmy

Ať jste výrobní firma, pojišťovna nebo dodavatel služeb, jste součástí digitálního ekosystému svých zákazníků. Silná základní hygiena bezpečnosti chrání nejen vás, ale i vaše partnery v řetězci. Potřebujete s něčím pomoci? Rádi s vámi desatero projdeme a navrhneme konkrétní minimum, které dává smysl pro vaše prostředí.

Další čtení a související služby