Popis kurzu:
Organizace dnes čelí tisícům evidovaných zranitelnostem – a přitom nestíhají opravovat ani ty kritické. Problémem není nedostatek informací, ale absence strukturovaného procesu pro jejich vyhodnocení, prioritizaci a eskalaci.
Tento seminář vám ukáže, jak přestat reagovat na každé CVE a začít řídit zranitelnosti jako byznysové riziko. Dostanete praktický rámec, který funguje v reálném provozu – bez zbytečné teorie a bez přetížení tabulkovými processory.
Komu je kurz určen:
Seminář je koncipován pro role, které se přímo podílejí na řízení zranitelností nebo nesou odpovědnost za kybernetickou bezpečnost organizace.
Obsah kurzu:
Blok 1 - Co je a co není Vulnerability & Patch Management
Úvod do tématu a vymezení základních pojmů:
- rozdíl mezi zranitelností, rizikem a bezpečnostním incidentem
- proč samotný seznam CVE nestačí
- rozdíl mezi Vulnerability Managementem a Patch Managementem
- typické zdroje informací: CVE, CVSS, CISA KEV, vendor advisories
- role IT provozu, bezpečnosti a vlastníků systémů
- kde proces nejčastěji selhává v praxi
Hodnota Vulnerability & Patch Managementu není v počtu aplikovaných patchů, ale ve schopnosti správně určit prioritu, dopad a reálné riziko pro konkrétní organizaci.
Blok 2 - Aktuální typy zranitelností a jejich význam pro organizace
Přehled oblastí, kde má Vulnerability & Patch Management praktický dopad:
- aktivně zneužívané zranitelnosti (Known Exploited Vulnerabilities)
- zranitelnosti ve vzdálených přístupech a externě dostupných službách
- slabiny cloudových a hybridních prostředí
- zranitelnosti identit a privilegovaných účtů
- rizika třetích stran a dodavatelského řetězce
- legacy systémy a technologie bez podpory
- rozdíl mezi kritickou zranitelností a kritickým dopadem
- nové požadavky zákona č. 264/2025 Sb. na řízení kybernetických rizik
- očekávání NÚKIB v oblasti správy zranitelností a bezpečnostních opatření
- odpovědnost managementu a doložitelnost přijatých opatření
Tato část je doplněna o
aktuální příklady útoků, regulatorních požadavků a zkušenosti z reálného provozu organizací.
Blok 3 - Jak hodnotit zranitelnosti a určovat priority
Praktický rámec pro rozhodování:
- jak číst informace o zranitelnosti a ověřit relevanci
- co znamená CVSS a kde jsou jeho limity
- jak zohlednit dostupnost exploitu a aktivní zneužívání
- zda se zranitelnost týká používaných technologií
- jak určit obchodní a provozní dopad
- prioritizace podle expozice a kritičnosti systému
- jak oddělit relevantní riziko od informačního šumu
- jak definovat rozumné SLA pro opravy
- požadavky vyhlášky 409/2025 Sb. na řízení rizik a bezpečnostní dokumentaci
- vazba Vulnerability Managementu na ISMS a auditovatelnost procesů
KLÍČOVÉ OTÁZKY, KTERÉ SI ZE SEMINÁŘE ODNESETE Týká se nás to? Jak rychle musíme reagovat? Jaký je reálný dopad? Co lze akceptovat? Kdo má rozhodnout o prioritě? Jsme schopni doložit přiměřená opatření regulatorovi nebo auditorovi?
Blok 4 - od informace k akci
Ukázka, jak převést informace o zranitelnostech do konkrétního provozu:
- nastavení pravidelného vulnerability scanningu
- proces testování a nasazování patchů
- prioritizace oprav podle rizika a dostupnosti služby
- komunikace mezi bezpečností, IT provozem a managementem
- řešení situací, kdy patch není dostupný nebo jej nelze aplikovat
- kompenzační opatření a dočasné mitigace
- reporting, metriky a řízení technického dluhu
- doporučení pro auditovatelnost a compliance požadavky
- jak připravit procesy na požadavky NIS2 a nového ZoKB
- jak prokázat plnění bezpečnostních opatření podle vyhlášky 409/2025 Sb.
- typické nedostatky zjišťované při kontrolách a auditech
Důraz není na „počtu opravených zranitelností“, ale na schopnosti organizace snižovat reálné bezpečnostní riziko, plnit regulatorní požadavky a současně zachovat stabilní provoz služeb.
Materiály:
V ceně kurzu jsou studijní materiály v elektronické podobě, které vám pomohou udržet si znalosti i po školení. Materiály jsou prakticky zaměřené tak, abyste se k nim mohli vracet při řešení reálných problémů ve firmě.
Cíle kurzu:
- Pochopíte rozdíl mezi Vulnerability Managementem a Patch Managementem a proč oba procesy musí fungovat společně
- Naučíte se číst CVSS skóre, rozumět jeho limitům a doplnit ho o kontext aktivního zneužívání (CISA KEV, EPSS)
- Získáte praktický postup pro hodnocení dopadu zranitelnosti na konkrétní systémy vaší organizace
- Nastavíte srozumitelné SLA pro opravy a komunikaci mezi bezpečností, IT provozem a vedením
- Připravíte procesy tak, aby obstály při kontrole dle zákona č. 264/2025 Sb. a vyhlášky 409/2025 Sb.
Seminář je určen pro organizace, které již mají základní povědomí o kybernetické bezpečnosti a hledají strukturovaný přístup k řízení zranitelností v souladu s aktuální legislativou.
Řešíte vulnerability management ve své organizaci?
Pomůžeme vám nastavit procesy, které obstojí při auditu NIS2 a budou fungovat v reálném provozu.
