Lekce 1Iniciativa: Management identity, přístupu a privilegí — cíle, stakeholdeři, vymahatelné kontroly (SSO, MFA, least privilege, PAM), KPI (zastaralé privilegované účty, pokrytí MFA)Tato sekce definuje iniciativu identity, přístupu a privilegovaného managementu, objasňuje cíle, klíčové stakeholdery a vymahatelné kontroly, současně stanovuje praktické KPI pro monitorování rizik přístupu, zneužití privilegí a pokrytí autentizace.
Defining initiative scope and business alignmentStakeholder roles across IT, HR, and business unitsSSO and MFA rollout strategy and governanceLeast privilege, RBAC, and PAM control designKPIs for stale accounts and MFA coverageLekce 2Iniciativa: Cloud Security a Management Konfigurací — cíle, vlastníci, základní kontroly (CSPM, skenování IaC, hardening úložiště), KPI (počty špatných konfigurací, čas na remediaci)Tato sekce definuje iniciativu cloud security a konfigurace managementu, objasňuje vlastnictví, základní kontroly a nástroje. Vysvětluje použití CSPM, skenování IaC a hardening standardů s KPI sledujícími špatné konfigurace a rychlost remediací.
Cloud security ownership and accountability modelBaseline policies for multi-cloud environmentsCSPM deployment and alert tuningIaC scanning in build and deployment stagesKPIs for misconfigs and remediation timeLekce 3Iniciativa: Bezpečný vývoj softwaru a DevSecOps — cíle, stakeholdeři, integrační body CI/CD (SAST, DAST, SCA), KPI (zranitelnosti zavedené na release, průměrný čas opravy)Tato sekce detailně popisuje iniciativu bezpečného vývoje softwaru a DevSecOps, sladí cíle s rychlostí dodávky, definuje stakeholdery, zakotví bezpečnost do CI/CD a vybere KPI sledující trendy zranitelností, časy oprav a kvalitu bezpečnosti pipeline.
Objectives balancing speed and securityRACI for engineering, security, and productSecurity gates in CI/CD pipelinesSAST, DAST, and SCA integration strategyKPIs for defects, MTTR, and release riskLekce 4Iniciativa: Enterprise Risk Management — cíle, stakeholdeři, návrh rizikového registru, kritéria akceptace a KPI (sledovaná top rizika, úrovně reziduálního rizika)Tato sekce rámcuje iniciativu enterprise risk managementu, propojuje bezpečnost s obchodním rizikem. Pokrývá cíle, stakeholdery, návrh rizikového registru, skórování, kritéria akceptace a KPI sledující top rizika, trendy a reziduální expozici.
Aligning cyber risk with enterprise risk appetiteRisk register structure and taxonomyQualitative and quantitative risk scoringRisk acceptance, transfer, and mitigationKPIs for top risks and residual exposureLekce 5Iniciativa: Compliance a Připravenost na Audity (ISO 27001, SOC 2, GDPR) — cíle, stakeholdeři, mapování kontrol, KPI (auditní zjištění, dospělost kontrol)Tato sekce definuje iniciativu compliance a připravenosti na audity (ISO 27001, SOC 2, GDPR) — sladí cíle s obchodními povinnostmi. Pokrývá mapování kontrol, management důkazů, role stakeholderů a KPI sledující zjištění, dospělost a pokrok remediací.
Regulatory and customer requirement mappingControl framework selection and scopingEvidence collection and documentationInternal audits and readiness assessmentsKPIs for findings and control maturityLekce 6Iniciativa: Bezpečnostní povědomí, kultura a podpora — cíle, stakeholdeři, prvky programu, KPI (procenta náchylných k phishingu, dokončenost školení, pokrytí bezpečnostních šampionů)Tato sekce načrtává iniciativu bezpečnostního povědomí, kultury a podpory, definuje cíle, cílové skupiny a vlastnictví. Pokrývá prvky programu, šampiony, behaviorální podněty a KPI jako míra náchylnosti k phishingu, dokončenost školení a zapojení.
Program goals and target behaviorsStakeholders in HR, comms, and leadershipTraining formats and content strategySecurity champions and local advocatesKPIs for phishing, training, and cultureLekce 7Iniciativa: Rizika Třetích Stran a Dodavatelského Řetězce — cíle, stakeholdeři, periodicita hodnocení, KPI (rating rizik třetích stran, smluvní SLA remediací)Tato sekce detailně popisuje iniciativu rizik třetích stran a dodavatelského řetězce, definuje cíle, vlastníky a periodicitu hodnocení. Vysvětluje due diligence, kontinuální monitorování, smlouvy a KPI pro rating rizik dodavatelů a SLA remediací.
Vendor inventory and criticality tiersPre-contract due diligence and screeningOngoing assessments and monitoringSecurity clauses and remediation SLAsKPIs for vendor risk and closure timeLekce 8Iniciativa: Reakce na Incidenty a Krizový Management — cíle, stakeholdeři, playbooky, periodicita tabletopů, KPI (MTTR, čas detekce, odhady nákladů incidentů)Tato sekce definuje iniciativu reakce na incidenty a krizového managementu, objasňuje cíle, stakeholdery a governance. Pokrývá návrh playbooků, periodicitu tabletopů, komunikaci a KPI jako MTTR, čas detekce a odhady nákladů incidentů.
IR objectives and executive sponsorshipRoles, RACI, and escalation pathsPlaybook development and maintenanceTabletop exercises and lessons learnedKPIs for MTTR, detection, and impact
