Přeskočit na obsah
Securent

Gap analýza

Gap analýza je strukturované posouzení stavu vaší firmy v oblasti informační a kybernetické bezpečnosti, ICT a AI.

Tento healthcheck vám odpoví na otázky o regulaci NIS2 a ZoKB, stavu procesů a dokumentace, organizačních i technických opatření, ICT prostředí a navazujících oblastí, jako jsou dodavatelé, GDPR, vzdělávání, fyzická ochrana nebo AI.

Pro koho je vhodná?

Gap analýza dává smysl firmám, které potřebují pojmenovat aktuální stav předtím, než plánují další kroky. Typicky jde o organizace pod regulací NIS2 / ZoKB bez interní bezpečnostní funkce nebo o společnosti s víceletým ICT prostředím bez systematického review.

  • Firmy regulované NIS2 / ZoKB
  • Organizace bez interního manažera nebo architekta kybernetické bezpečnosti
  • Společnosti s víceletým ICT prostředím bez systematického review
  • Sektory: výroba, energetika, finanční služby, ICT, veřejná správa, vodárenství, doprava

Připravíme vás na tyto hrozby

Bez auditu firma neví, kde má slabá místa. Gap analýza adresuje čtyři typy rizik.

  • Regulatorní postih z NIS2 a ZoKB

    Při kontrole NÚKIBu se nedostatky v dokumentaci, procesech a opatřeních promítnou do sankcí. Bez gap analýzy nevíte, zda regulaci podléháte a v jakém režimu.

  • Bezpečnostní incident kvůli mezerám v procesech

    Když chybí vlastníci procesů, řízená dokumentace a měřitelné kontroly, incident eskaluje rychleji, než ho dokážete zachytit. Audit slabá místa pojmenuje dřív, než je útočník zneužije.

  • Skryté zranitelnosti v ICT prostředí

    Servery, sítě, identity, e-mail a další provozní oblasti, kde v dlouho neprověřeném prostředí narůstají zranitelnosti. Bez systematického přehledu o nich víte až ze ztracených dat.

  • Slepá místa v dodavatelském řetězci a nových oblastech

    Třetí strany s přístupem do systémů, AI nástroje bez governance, mezery v ochraně osobních údajů. Oblasti, které moderní regulace explicitně vyžaduje pokrýt.

Ověřte, že jste v souladu s bezpečnostními požadavky IKB

IKB (informační a kybernetická bezpečnost) je termín, kterým ZoKB i NIS2 zastřešují celou disciplínu. Healthcheck pokrývá tři oblasti, ve kterých vyhodnocujeme stav vůči směrnici NIS2 a navazujícímu ZoKB.

  • Soulad s bezpečnostními požadavky IKB (dle NIS2 / ZoKB)
  • ICT procesy, kompetence a dokumentace
    • Správa koncových zařízení
    • Správa serverové infrastruktury a zálohování
    • Správa síťové infrastruktury
    • Správa uživatelů, přístupů a externích přístupů
    • Správa SW vybavení a licencí
    • Správa TELCO prostředí
    • Správa elektronické pošty
  • SW audit základních aplikací pro provoz organizace
    • Využívané SW, licenční zajištění, distribuce aktualizací
    • Proprietární a specifické aplikace, API, datové pumpy, zásadní XLS databáze apod.

Co získáte?

Z analýzy odchází tři navazující dokumenty pro různé úrovně rozhodování.

  • Manažerský reporting

    Souhrn pro vedení. Stav firmy, hlavní rizika, doporučené priority na další období.

  • Důvodová zpráva, GAP analýza

    Detailní rozbor rozdílu mezi aktuálním stavem a požadavky NIS2 a ZoKB. Pro každou oblast vysvětluje, kde a proč mezera existuje.

  • Roadmapa dalšího doporučeného postupu

    Konkrétní pořadí kroků na nejbližší období.

Časté otázky

Časté otázky: Gap analýza

Manažerský report s identifikovanými mezerami v procesech, řízené dokumentaci a organizačních i technických opatřeních. Součástí je důvodová zpráva a roadmapa dalšího doporučeného postupu.
Závisí na velikosti firmy, komplexitě ICT prostředí a regulačním režimu. U organizací s více lokalitami nebo složitějším portfoliem služeb se proces přiměřeně protáhne. Konkrétní harmonogram zpřesníme po úvodní konzultaci.
Ano. Vyhodnotí, zda spadáte pod regulaci NIS2 / ZoKB a v jakém režimu, a identifikuje, kde nejvíc chybí ke splnění požadavků.
Typicky před plánovanou kontrolou NÚKIB nebo deadline na splnění NIS2 / ZoKB povinností, kdy potřebujete znát skutečný výchozí stav. Dále při nástupu nového bezpečnostního lídra, který potřebuje rychlou orientaci v zděděném prostředí, nebo po významném bezpečnostním incidentu jako součást lessons-learned.
Manažerský report a roadmapa zůstávají v platnosti, dokud se výrazně nezmění regulační kontext (např. nová prováděcí vyhláška ZoKB), ICT prostředí (akvizice, migrace) nebo organizační struktura. Detailní technical findings starnou rychleji, protože konfigurace a verze software se mění průběžně.

Související služby

Mohlo by vás zajímat

Všechny služby

Další služby

Základ vaší bezpečnosti

Doplňkové bezpečnostní služby