IT bez žargonu

Pokročilý antivirus, který nejen blokuje, ale i sleduje chování a detekuje neznámé hrozby.

EDR rozšířený o pohled na e-mail, identitu, cloud a síť — vidí útok napříč celým prostředím.

Externí tým specialistů řeší bezpečnostní incidenty 24/7 za vás.

Tým bezpečnostních analytiků sledujících bezpečnostní výstrahy 24/7.

Centrální systém, který sbírá logy ze všech zdrojů a hledá v nich podezřelé vzorce.

Bezpečnostní přístup, kde se nikomu a ničemu nedůvěřuje automaticky.

Podvodné napodobení důvěryhodné stránky nebo zprávy s cílem získat hesla nebo data.

Malware, který zašifruje data ve firmě a požaduje výkupné za jejich rozšifrování.

Šifrování celého disku ve Windows — ukradený notebook je pro útočníka bezcenný.

Bodové hodnocení zabezpečení Microsoft 365 tenantu od Microsoftu.

Bezpečnostní řešení od Microsoftu pro firmy do 300 uživatelů — antivirus + EDR.

Pokročilejší enterprise verze Defenderu (P1 / P2) pro velké organizace.

Ochrana e-mailu a kolaborace v M365 (P1 / P2).

Funkce, která při kliknutí na odkaz v e-mailu zkontroluje, zda cíl není phishing.

Přílohy se před doručením otevřou v izolovaném pískovišti — pokud jsou škodlivé, e-mail se zablokuje.

Detekce snahy vydávat se za vedení firmy nebo známé kontakty (CEO fraud).

Adresářová služba Microsoftu provozovaná na vlastním serveru — spravuje uživatele a oprávnění.

Windows server, na kterém běží Active Directory.

Cloudová obdoba Active Directory od Microsoftu (dříve Azure AD).

Také: Azure AD, AAD

Tři úrovně Entra ID — Free základ, P1 v Business Premium, P2 enterprise.

Software, který synchronizuje uživatele z on-premise AD do cloudového Entra ID.

Také: AAD Connect

Novější odlehčená alternativa Entra Connect — konfigurace v cloudu, na serveru jen drobný agent.

Dva způsoby, jak je počítač spojen s identitou — hybridní (AD + cloud) nebo čistě cloudový.

Sada pravidel — kdo, odkud, na čem a za jakých podmínek smí přistoupit.

Jednoduchá vše-nebo-nic náhrada Conditional Access pro Free licence.

Přihlášení vyžaduje kromě hesla i druhý prvek — kód v aplikaci, otisk prstu, hardwarový klíč.

Mobilní aplikace pro generování MFA kódů a push notifikace.

MFA, které se nedá obelhat ani falešnou stránkou — hardware klíče, Windows Hello, passkey.

Standard pro přihlašování bez hesla pomocí kryptografického klíče v zařízení nebo USB tokenu.

Microsoftí passkey integrovaná do Windows — přihlášení otiskem, obličejem nebo PIN.

MFA přes SMS — dnes považováno za nejslabší formu (SIM swap, odposlech).

Uživatel se přihlásí jednou a má přístup do všech navazujících aplikací bez dalšího hesla.

Životní cyklus zaměstnance v IT systémech — nástup, přesun, odchod.

Předplatná služba Microsoftu — Office aplikace, e-mail, úložiště, komunikace.

Nejnižší úroveň pro firmy — webové verze Office aplikací, Exchange, SharePoint, OneDrive, Teams.

Mezistupeň — přidává plnohodnotné desktopové verze Office aplikací.

Nejvyšší SMB licence — Standard + Intune, Entra P1, Defender, Purview, DLP.

Standalone licence jen pro desktopové Office aplikace bez e-mailu a Teams.

Cloudový e-mailový server od Microsoftu — náhrada on-premise Exchange Serveru.

Cloudové úložiště dokumentů a kolaborační platforma.

Osobní cloudové úložiště uživatele v Microsoft 365.

Kolaborační aplikace pro chat, hovory, videokonference a sdílení souborů.

Cloudová správa zařízení a aplikací (MDM + MAM) od Microsoftu.

Platforma pro klasifikaci dat, ochranu před únikem (DLP), retenci, eDiscovery a audit.

Pravidla, která brání úniku citlivých dat — např. zablokují odeslání rodného čísla mimo firmu.

Štítky pro klasifikaci dokumentů (veřejné, interní, důvěrné) s navázanými pravidly šifrování.

Jedna izolovaná instance Microsoft 365 patřící jedné organizaci.

First-party zálohovací služba Microsoftu pro SharePoint, OneDrive a Exchange.

Cloudová tisková služba Microsoftu — nahrazuje on-premise tiskové servery.

Microsoft nástroj pro automatizaci úloh bez programování.

Add-on pro Business Premium — Defender Endpoint P2, Office P2, Entra P2.

Vyhledání dat napříč Microsoft 365 (e-mail, dokumenty, chat) podle kritérií — pro právní účely.

Pravidla, jak dlouho se data povinně uchovávají a kdy se mažou.

Správa celého zařízení — firma má kontrolu nad konfigurací, aplikacemi, šifrováním.

Správa jen firemních aplikací a dat v nich — vhodné pro BYOD.

MAM bez nutnosti registrovat zařízení do MDM — Microsoft preferovaná varianta pro BYOD.

Pravidla v Intune pro MAM — např. PIN k Outlooku, zákaz copy-paste do osobních aplikací.

Pravidla, která zařízení musí splňovat, aby bylo vyhovující — BitLocker, aktualizovaný OS, heslo.

Princip, kdy uživatel pracuje na vlastním zařízení — levnější, ale složitější na bezpečnost.

Automatická počáteční konfigurace nového Windows zařízení — uživatel zadá jen účet.

Proces registrace zařízení do firemní správy (MDM nebo MAM).

Tradiční mechanismus, kterým on-premise AD vynucuje nastavení Windows.

Nástroj třetí strany pro migraci uživatelského profilu Windows mezi doménami.

Komplexní zálohování + bezpečnost (anti-ransomware, antivirus) pro on-premise i cloud.

3 kopie dat, 2 různá média, 1 mimo lokalitu.

Maximální čas, do kterého se musí systém po havárii znovu rozběhnout.

Maximální množství dat, o které lze přijít.

Plán a technologie pro obnovu IT po závažné havárii — víc než jen záloha.

IT služby provozované na vlastních serverech ve vlastních prostorách. Opak cloudu.

Pronajaté virtuální servery v cloudu — Azure VM, AWS EC2.

Software jako služba — uživatel platí předplatné, infrastrukturu řeší poskytovatel.

Pět speciálních rolí v Active Directory, které musí v doméně držet jediný server.

Sdílená složka v Active Directory, která obsahuje GPO a přihlašovací skripty.

Řízené vyřazení staré technologie z provozu — projektová aktivita s checklistem.

Internetový telefonní seznam — překládá srozumitelná jména na IP adresy.

Šifrovaný tunel přes internet — přístup do firemní sítě jako z kanceláře.

Virtuální oddělení sítě — jeden fyzický switch hostí více virtuálních sítí.

Bezpečnostní čip v moderních počítačích, který bezpečně uchovává šifrovací klíče.

Aplikace třetích stran, kterým uživatel udělil oprávnění k práci se svým M365 účtem.

Evropská směrnice z 2022 stanovující minimální standard kybernetické bezpečnosti.

Český zákon č. 264/2025 Sb. účinný od 1. 11. 2025 — implementuje NIS2 do české legislativy.

Český regulátor v oblasti kybernetické bezpečnosti.

Evropské nařízení o ochraně osobních údajů z 2016, účinné od 2018.

Síť dodavatelů — NIS2 vyžaduje, aby povinné subjekty kontrolovaly bezpečnost svých dodavatelů.

Posouzení rozdílu mezi současným stavem a požadovaným cílovým stavem.

Systematická kontrola toho, jak firma plní určitý standard.

Standardizované dotazníky, které corporate klienti rozesílají dodavatelům.

Mezinárodní norma pro systém řízení informační bezpečnosti.

Smluvní příloha definující úroveň služby — odezvu, dostupnost, sankce.

Poskytovatel řízených IT služeb — proaktivně spravuje IT klienta.

MSP s důrazem na bezpečnost — EDR, SOC, NIS2 poradenství.

Reaktivní = řešíme problémy, když nastanou. Proaktivní = chytáme je dřív, než se projeví.

Kombinace reaktivního a proaktivního přístupu.

Celkové náklady vlastnictví — nejen pořizovací cena, ale i provoz a údržba.

CapEx = investiční výdaj jednorázový. OpEx = provozní výdaj opakovaný. Cloud přesouvá CapEx do OpEx.

Microsoftí program pro partnery, kteří přeprodávají M365 a Azure licence svým klientům.

Smlouva o mlčenlivosti.

Smlouva o zpracování osobních údajů — povinná dle GDPR mezi správcem a zpracovatelem.

Návod krok po kroku, jak provést konkrétní operaci nebo reakci na incident.

Společné pracovní setkání s klientem zaměřené na konkrétní téma.

První linie technické podpory — přijímá požadavky uživatelů a řeší jednoduché věci.

První malá vlna nasazení (2–3 zařízení) pro odhalení problémů před plošným rolloutem.

Plošné nasazení po úspěšném pilotu — probíhá ve vlnách.

Návrat k původnímu stavu, pokud nasazení selže.

Nepřetržitý dohled nad stavem stanic, serverů a NAS — chytíme problém dřív než vy.

Dohled nad dostupností síťových prvků — switche, routery, AP — bez ohledu na denní dobu.

Sběr a vyhodnocování systémových logů — najdeme i tichá selhání, která by jinak unikla.

Centralizovaný logmanagement pro cloudové účty s automatickými upozorněními na rizikové události.

Notifikace na rizikové události bez nutnosti, aby je technik aktivně hledal.

Vždy aktuální evidence vašeho IT — co máte, kde to je, kdo to používá.

Automatické nasazování bezpečnostních a funkčních záplat OS i aplikací.

Vícevrstvá ochrana — EDR, immutable zálohy, izolace podezřelých zařízení.

Pravidelné skenování zranitelností — najdeme díry dříve, než je najde útočník.

Blokace přístupu na nebezpečné a nevhodné weby — phishing, malware, kasína.

Předsunutá ochrana — nebezpečné domény se vůbec nepřeloží.

Bezpečný vzdálený přístup k vašim systémům přes TeamViewer s evidencí všech relací.

Centrální evidence hesel s auditem a sdílením v týmu.

Cloudová verze správy hesel doplněná o IT dokumentaci klienta.

Centrální MDM správa firemních zařízení — Windows, macOS, iOS, Android.

Praktické nasazení EDR (SentinelOne) — detekce, izolace, automatický rollback útoků.

Centrální nasazení a správa BitLockeru/FileVaultu — klíče máme uložené pro případ obnovy.

Pravidelný úklid systému — TempFiles, registry, fragmentace, neaktivní účty.

Při detekci hrozby zařízení samo odpojí ze sítě — útok se nešíří.

Aktivní obrana firewallu — pravidla se upravují podle aktuálních hrozeb v reálném čase.

Pravidelná údržba firewall pravidel, certifikátů a firmware.

Falešné zařízení, které láká útočníka — když na něj sáhne, víme o tom první.

Sledování síťového provozu — kolik dat, kam, kdy. Najdeme úniky i nadměrné stahování.

CDP — průběžně zálohujeme každou změnu, ne jen jednou denně.

Každý den přibývá jen rozdíl od předchozí zálohy. Plný image jednou týdně.

Záloha M365 dat (Exchange, OneDrive, SharePoint, Teams) každých 24 hodin bez kapacitních limitů.

Stará pošta se přesune do archivu, aktivní schránka zůstává rychlá.

Pravidelně ověřujeme, že záloha skutečně funguje — neobnovitelná záloha = žádná záloha.

Pravidelná údržba M365 tenantu — sirotčí účty, neaktivní mailboxy, podezřelá oprávnění.

Záloha se zpracovává mimo produkční server — neovlivňuje výkon služeb.

Immutable storage — ani admin nemůže záloha smazat ani změnit. Klíčové proti ransomwaru.

Než zálohu obnovíme, ověříme, že v ní není sám malware z doby útoku.

Aplikačně konzistentní záloha SQL, PostgreSQL, MySQL — bez výpadku produkce.

Pravidelné zálohy konfigurací síťových prvků — switche, routery, firewally, AP.

Stejná data v zálohách se ukládají jen jednou — výrazná úspora místa.

Záloha jak lokálně (rychlá obnova), tak v cloudu (ochrana proti lokální havárii).

Bare metal recovery — obnova zálohy na úplně jiný počítač nebo jako virtuální stroj.

Obnovíme cokoli — od jediného souboru po celý server. Bez nutnosti tahat celou zálohu.

Záloha je šifrovaná end-to-end — i kdyby ji někdo ukradl, je k ničemu.

Praktické nasazení a údržba DLP pravidel proti úniku citlivých dat.

Mapa, kde leží jaká citlivá data — kdo k nim má přístup a jak jsou chráněna.

Pokročilá ochrana mailu nad rámec základního Defenderu — anti-spam, anti-impersonation, sandbox.

Sada nadstavbových opatření — Conditional Access, Risk-Based MFA, ochrana identit.

Pravidelné posouzení bezpečnostních rizik — kde má vaše IT slabá místa.

Antivirus přímo na úrovni síťového úložiště — kontrola souborů při uložení.

RPO se přizpůsobí byznysu — od kontinuální zálohy až po 1× denně.

Naše první linie podpory — telefon, e-mail, ticketovací systém.

24/7 dostupnost technika pro kritické incidenty mimo standardní pracovní hodiny.