3 kroky pro vyšší kybernetickou bezpečnost malých a středních firem

Jeden klik na podvodný e-mail nebo ztracený notebook můžou ohrozit data i provoz firmy. Kyberútoky dávno nemíří jen na korporace. Právě menší firmy jsou oblíbeným a často i snadným cílem. Řadu rizik jde přitom zmírnit několika základními kroky. Ukazujeme jak na to a přidáváme i praktické PDF pro vaše zaměstnance.

VERONIKA JAKUBOVÁ

VERONIKA JAKUBOVÁ

31. 10. 2025

7 min čtení

Pravidelné přehledy NÚKIBu, ale i průzkumy českých a zahraničních společností ukazují, že cílem kyberútočníků jsou většinou dobře prosperující malé a střední firmy. Kamenem úrazu bývají slabá správa přístupů, zastaralé systémy a samozřejmě i lidský faktor.

Prim stále hraje ransomware. Objevují se ale i způsoby jak obejít vícefaktorové ověření. Zcela nové příležitosti pak otevírá využití umělé inteligence. Úspěšnost průniků sahá v některých průzkumech až k 90 %, a i když se škody průměrně pohybují v řádech desetitisíců, ani miliony nejsou výjimkou.

Z pohledu možných dopadů se vyplatí investovat do prevence – poznat své slabiny a postupně je odstraňovat.

Jak se tedy postavit ke kybernetické bezpečnosti v menší nebo střední firmě?

Krok 1: Odhalte svá rizika

Abyste zaváděli opatření smysluplně, musíte vědět, kde máte mezery. K tomu souží tzv. analýza rizik. V praxi to znamená zjistit, co vám může nejvíce ublížit. Jednoduchou analýzu zvládnete i sami. Stačí si odpovědět na několik otázek.

  • Jaká jsou naše aktiva? Sepište si seznam aktiv, tedy všech dat, zařízení a systémů, které ve firmě používáte.
  • Co jim hrozí? Pro každou položku určete, jaká hrozba ji může zasáhnout. Může jít o výpadek serveru, neoprávněný přístup, ztrátu zařízení nebo phishingový útok.
  • Jaké to má dopady? Definujte dopady každé hrozby. Tedy zda můžete přijít o důležitá data, hrozí vám finanční škoda, ztráta pověsti nebo právní důsledky.
  • Co je příčinou? Zkuste identifikovat konkrétní slabiny, kvůli kterým může hrozba nastat.
  • Co už děláme? Dejte dohromady přehled stávajících opatření. Jakým způsobem a jak často zálohujete, přehled bezpečnostních nástrojů typu firewall, antivir, způsob školení zaměstnanců na kybernetickou bezpečnost apod.
  • Co nám chybí? Napište, jaká opatření naopak nepoužíváte. Například vícefaktorové ověření, pouze jedna síť pro zaměstnance, zařízení i hosty, absence pravidel pro hesla zaměstnanců.

Pokud se v kybernetické bezpečnosti tolik neorientujete, mohou vám uniknout rezervy, o kterých ani nevíte. V MasterDC vám pomůžeme slabá místa odhalit a doporučíme i vhodná opatření.

Odpovědi na výše uvedené otázky si sepište do tabulky. Vypadat může podobně jako ta následující. V praxi bývá obsáhlejší a typicky zahrnuje i hodnocení pravděpodobnosti na stupních nízká, střední, vysoká. Toto hodnocení pomůže stanovit prioritu plánovaných opatření.

 

Aktivum Hrozba Dopad Příčina Současné opatření Plánované opatření
Databáze klientů Neoprávněný přístup, únik dat Finanční ztráta, ztráta důvěry Slabá hesla, chybějící vícefaktorové ověření (MFA) Omezené role, antivir, pravidelné zálohy Zavést MFA, audit přístupů, šifrování databáze
Firemní e-mailové účty Phishing, podvodné zprávy Únik informací, poškození pověsti Neškolení uživatelé, chybějící ochrana SPF/DKIM Spam filtr, školení zaměstnanců Nastavit SPF/DKIM/DMARC, pokročilý anti-phishing
Notebooky zaměstnanců Ztráta zařízení, malware Únik dat klientů Neaktualizovaný systém, nešifrovaný disk Antivir, heslo, zálohování Šifrování disků, automatické aktualizace, správa zařízení

Krok 2: Nastavte základní pravidla

Správně nastavená bezpečnostní politika pomáhá zaměstnancům vědět, jak se mají chovat v běžných situacích i jak postupovat v těch krizových.

Aby to ale nebyl jen dokument ležící v šuplíku, je potřeba ho připravit prakticky a srozumitelně.

Jak vytvořit užitečnou bezpečnostní politiku

  • Pište srozumitelně. Každé pravidlo musí pochopit i člověk, který nemá technické znalosti. Nepoužívejte odborné termíny, držte se jednoduchého jazyka.
  • Zapojte zaměstnance do tvorby. Ptejte se lidí z různých oddělení, jak se zařízeními pracují a jak by se chovali v určité situaci. Často odhalíte doposud neznámá slabá místa. Navíc se zvýší ochota zaměstnanců pravidla skutečně dodržovat.
  • Udržujte dokument aktuální. Revidujte politiku alespoň jednou ročně nebo při změně technologie. O nových verzích vždy všechny informujte – udržíte tak dokument v povědomí.
  • Stanovte důsledky porušení pravidel. Ochrana dat je kolektivní odpovědnost. Uveďte, co je důsledkem nedodržení bezpečnostních zásad.
  • Školte pravidelně a cíleně. Plánujte kratší, tematická školení na palčivá témata. Třeba phishing, sdílení dokumentů a dat, zásady bezpečné práce z domova.

Co má obsahovat interní politika kyberbezpečnosti

Při tvorbě hlavního dokumentu doporučujeme držet se jednoduché a přehledné struktury:

  1. Účel dokumentu – proč vznikl a čeho se týká.
  2. Rozsah působnosti – na koho se pravidla vztahují (zaměstnanci, externí dodavatelé, brigádníci).
  3. Zásady a pravidla chování v kyberprostoru – pravidla pro práci s hesly, sdílení dat, používání firemních zařízení nebo osobních zařízení pro práci.
  4. Role a odpovědnosti – kdo odpovídá za správu IT, bezpečnost dat, přidělování práv či schvalování přístupů.
  5. Pravidla pro externí dodavatele – minimální bezpečnostní požadavky, zásady pro outsourcing a využívání cloudových služeb.
  6. Postup při podezření na incident – co dělat, koho kontaktovat a jak rychle reagovat.

 

Součástí politiky může být i záznamový arch (logovací list), kde se evidují přístupová práva, poslední revize rolí nebo použité metody ověřování. Díky němu má firma přehled o tom, kdo má kam přístup a jak je systém zabezpečen.

Připravte více formátů bezpečnostní politiky

Pro všechny nebude relevantní stejná úroveň detailu pravidel pro kybernetickou bezpečnost. Ideální je vypracovat více variant, které budou z té hlavní vycházet. Konkrétně:

  • Hlavní politika kybernetické bezpečnosti – komplexní dokument určený všem zaměstnancům.
  • Zjednodušený návod pro zaměstnance – stručný a vizuálně srozumitelný přehled pravidel pro každodenní práci.
  • Interní směrnice pro IT oddělení – detailní technické postupy, např. správa přístupů, zálohování nebo postupy při incidentech.

Zjednodušený návod pro zaměstnance

Pro dodržování bezpečnostních zásad doporučujeme dát zaměstnancům k dispozici zkrácenou verzi politiky, která shrnuje základní pravidla. Jednu takovou jsme rovnou připravili:

Infografika s přehledem 6 pravidel kybernetické bezpečnosti pro zaměstnance: 1. Používejte silná, unikátní hesla a vícefaktorové ověření Minimálně 14 znaků, kombinace písmen, číslic a symbolů. Nepoužívejte osobní údaje ani známá slova. Zapněte vícefaktorové ověření tam, kde je to možné. 2. Pozor na přílohy a odkazy v e-mailech Podezřelé e-maily hlaste IT oddělení. Neotvírejte podezřelé přílohy těchto e-mailů a neklikejte v nich na odkazy. 3. Chraňte bezpečnost svého zařízení. Při odchodu od zařízení ho vždy zamkněte, i když odcházíte jen na chvíli. Případné odcizení zařízení ihned hlaste. 4. Nepoužívejte veřejnou Wi-Fi pro práci bez firemní VPN. VPN šifruje komunikaci. Bez ní může být vaše připojení odposloucháváno a útočníci mohou získat přístup k firemním datům. 5. Používejte jen schválené nástroje. Používejte jen schválené firemní nástroje např. pro ukládání a sdílení souborů. Vyhněte se tzv. „shadow IT“. 6. Nevkládejte citlivé údaje do AI nástrojů. Firemní data a osobní údaje do AI nepatří. Formulujte dotazy obecně, informace před vložením anonymizujte a v nástroji vypněte funkci pamatování historie.
Líbí se vám tento přehled? Stáhněte si ho v PDF a využijte pro své zaměstnance.

Krok 3: Postavte bezpečnost na jasných pravidlech a rolích

Jakmile rozpoznáte své slabiny a víte, jaká pravidla chcete ve firmě dodržovat, je čas se zaměřit na praktickou stránku. Není potřeba mít hned vše dokonalé, důležité je mít pod kontrolou základní prvky IT a jasně definované odpovědnosti.

  • Určete odpovědné osoby
    Stanovte, kdo bude zodpovědný za správu přístupů, aktualizace, zálohování a řešení incidentů. Nemusí to být interní specialista, pokud ho nemáte. Existují externí správci IT, kteří vám tyto kapacity poskytnou za zlomek nákladů na vlastní zaměstnance.
  • Nastavte bezpečnost jako proces
    Pravidelně kontrolujte přístupy, zálohovací strategie a aktualizace softwaru. Bezpečnost se tak stane součástí každodenní rutiny.
  • Omezte závislost na jednotlivcích
    V menších firmách obvykle zná konkrétní systém jeden člověk, u kterého jsou soustředěny přístupy a nastavení. Doporučujeme mít sdílenou dokumentaci (s informacemi o přístupech, licencích, postupech obnovy) a hlavně zastupitelnost.
  • Dobře vybírejte dodavatele
    Bezpečnostní rizika se mohou objevit i mimo vaši firmu. U dodavatelů a partnerů si ověřte, jak pracují s vašimi daty, jak je chrání, kde je ukládají a kdo k nim přistupuje.

Proč řešit nepřetržitý dohled a zastupitelnost?

Menší firmy často spoléhají na jednu klíčovou osobu, která má potřebné znalosti a odpovídá za správné nastavení. Riziko pak vzniká při nedostupnosti takového člověka nebo jeho odchodu. Zejména v takových případech se vyplatí spolupráce s externím IT týmem. A to nejen kvůli odborné podpoře, ale hlavně kvůli zastupitelnosti a nepřetržitému dohledu nad systémy.

Výhodou outsourcingu správy kybernetické bezpečnosti jsou:

  • pravidelná údržba a aktualizace systémů a aplikací;
  • monitoring bezpečnostních událostí a okamžitá reakce na incidenty;
  • poradenství při zavádění bezpečnostních opatření, zálohování a obnovy dat;
  • přístup k osvědčeným postupům a technologiím.

Legislativní rámec: Na co nezapomenout

I menší firmy by měly mít přehled o základních povinnostech v oblasti kyberbezpečnosti. Jejich preventivní implementace navíc rovněž pomůže snížit riziko hrozeb.

  • Nový zákon č. 264/2025 Sb. o kybernetické bezpečnosti, který nabývá účinnosti 1. listopadu 2025, plně přenáší evropskou směrnici NIS2 do českého práva. Pokud má vaše firma více než 50 zaměstnanců nebo obrat přes 10 milionů eur, spadá mezi regulované subjekty a je povinna nové bezpečnostní požadavky splnit. S technickou implementací povinností NIS2 vám v MasterDC pomůžeme.
  • Nezapomínejte ani na GDPR. Jasně stanovená pravidla pro bezpečné uchování dat zaměstnanců a zákazníků, jejich zabezpečení, omezení přístupů i doby uchování snižuje rizika při bezpečnostních incidentech.

Pokud si s nastavením principů kybernetické bezpečnosti nejste jistí, napište nám.

Řešení pro kyberbezpečnost

Procházet podle témat

Mějte svá firemní data v bezpečí
Zobrazit více

Mohlo by vás zajímat

3 kroky pro vyšší kybernetickou bezpečnost malých a středních firem

  • 7 min čtení

U Brna vznikne první AI datové centrum. MasterDC jej postaví do roka

  • 2 min čtení

Blíží se konec podpory některých produktů Microsoftu. Jste připraveni?

  • 8 min čtení
Čtěte více zajímavého obsahu

Maximálně jednou měsíčně vám pošleme přehled toho nejlepšího, co u nás na blogu vyšlo.

    Nevidíte vaši vysněnou pozici?

    Pošlete nám životopis, a my se vám ozveme!

      * Povinný údaj
      Zasláním životopisu souhlasím se zpracováním osobních údajů za účelem náboru a výběrového řízení.