# O společnosti CQRE · Brownhat > *Tato stránka představuje CQRE a metodiku Brownhat novým klientům a novým členům týmu. Vyplňte každou sekci označenou `[PLACEHOLDER]` konkrétními, pravdivými informacemi. Vyhýbejte se obecnému konzultantskému jazyku — klienti to poznají. Sekce označené **INTERNÍ POZNÁMKA** obsahují pokyny pro doplnění šablony; před sdílením navenek je odstraňte.* > > *Anglická verze tohoto dokumentu je k dispozici zde: [About CQRE](about-cqre.md).* --- ## Kdo jsme **CQRE.NET Ltd** je specializovaná konzultační společnost v oblasti kybernetické bezpečnosti registrovaná v [PLACEHOLDER: Velká Británie / Edinburgh]. Primárně působíme z [PLACEHOLDER: Praha, Česká republika] a pracujeme s klienty po celé [PLACEHOLDER: střední Evropě, Velké Británii a západní Evropě]. > **INTERNÍ POZNÁMKA** — Doporučené zpracování: omezte tento odstavec na 3–5 vět. Uveďte rok založení, geografické zaměření a rozsah klientů (odvětví, velikosti). Neslibujte schopnosti, které momentálně nemůžete poskytnout. Příklad: *„CQRE.NET Ltd byla založena v [roce] [jménem] s cílem poskytovat poctivé, metodologicky řízené poradenství v oblasti bezpečnosti organizacím, které přerostly generické rady. Pracujeme primárně se středně velkými společnostmi, telekomunikačními operátory a energetickými podniky ve střední Evropě — organizacemi se skutečnými prostředími, stávajícími investicemi a konkrétními hrozbami, na které generické rámce nestačí."* [PLACEHOLDER: popis společnosti v 3–5 větách] Vůči klientům vystupujeme pod značkou **Brownhat** — název odráží naši základní filozofii: pracujeme v brownfield prostředích (zavedených, obydlených, nesoucích tíhu minulých rozhodnutí) a naším úkolem je kultivovat to, co existuje, dříve než cokoliv doporučíme koupit. --- ## Co děláme Pomáháme organizacím překlenout propast mezi jejich investicemi do bezpečnosti a jejich skutečnou bezpečnostní pozicí. V praxi to znamená: - Auditovat to, co existuje, upřímně — nikoli to, co říkají politiky - Maximalizovat hodnotu nástrojů a licencí, za které již bylo zaplaceno - Uzavřít útočný řetězec — konkrétní sled selhání, který by mohl ukončit podnikání — dříve než cokoliv jiného - Budovat interní kompetence u klienta, nikoli závislost na nás Každý angažmá začíná **Brownhat Diagnostikou** — strukturovaným dvoudenním hodnocením, které přinese upřímný obraz situace organizace a toho, co je nejdůležitější napravit. Neposkytujeme doporučení, dokud nerozumíme prostředí. *Celý přehled služeb naleznete v [Modular Engagements](modular-engagements.md).* --- ## Jak přemýšlíme Pět principů formuje každé naše doporučení: | Princip | Co to znamená v praxi | |---------|----------------------| | **Strukturální oddělení** | Identifikujeme a odstraňujeme skryté závislosti dříve, než se stanou fatálními. Nepřidáváme složitost, která by vytvářela nové závislosti. | | **Zachování opcí** | Investujeme váš rozpočet do věcí, které zachovávají vaši schopnost změnit směr. Každý zbytečný nákup nástroje snižuje vaši strategickou flexibilitu. | | **Přeměna stresu na signál** | Každý incident, selhání a téměř-miss jsou zpravodajství. Budujeme systémy, které se z narušení učí, místo aby ho jen přežily. | | **Svrchované zpravodajství** | Vaše proprietární data by měla zlepšovat vaše vlastní schopnosti, nikoli modely dodavatele. Budujeme nástroje a systémy, které vlastníte a umíte provozovat. | | **Design asymetrického výnosu** | Malé, cílené investice do existenčních rizik přinášejí nepřiměřenou ochranu. Nikdy nerozptylujeme úsilí rovnoměrně — soustřeďujeme ho tam, kde by selhání bylo fatální. | *Plný filozofický základ naleznete v [The Antifragile Manifest](antifragile-manifest.md).* --- ## Čím se lišíme > **INTERNÍ POZNÁMKA** — Tato sekce popisuje upřímnou konkurenční diferenciaci. Buďte konkrétní. Vyhýbejte se obecným konzultantským tvrzením („jsme zaměřeni na klienta", „přinášíme hodnotu"). Pojmenujte, co skutečně děláte jinak, a buďte připraveni to dokázat. Šest bodů níže jsou doporučené výchozí body — upravte je tak, aby odrážely vaši skutečnou diferenciaci. **1. Začínáme tím, co vlastníte.** Většina konzultantů přichází se seznamem produktů. My přicházíme s diagnostikou. Dříve než se mluví o jakémkoliv nákupu, vyčerpáme schopnosti stávajících nástrojů. Pokud váš tenant Microsoft E3 dokáže mezeru uzavřít, nakonfigurujeme ho. Naše honoráře jsou odměnou za odbornost, nikoli za marže na licencích. **2. Cenu stanovujeme za výstup, nikoli za hodinu.** Každý angažmá má definovaný rozsah a definovaný výstup před zahájením práce. Víte přesně, za co platíte. Víte přesně, co budete držet v rukách na konci. Neexistují otevřené smlouvy maskované jako „průběžná podpora". **3. Vše, co vybudujeme, vám patří.** Každý skript, pravidlo detekce, konfigurace a runbook vzniklý během angažmá je předán do vašeho vlastního repozitáře. Nenecháváme ve vašem prostředí běžet proprietární nástroje. Za retenčním poplatkem neschovávejme vaši vlastní dokumentaci. Po ukončení angažmá jste provozně nezávislí. **4. Zveřejňujeme naše obchodní vztahy.** Máme obchodní partnerství s Huntress, Tailscale, Thinkst Canary a Tenable. Pokud doporučujeme jeden z těchto nástrojů, řekneme to a vysvětlíme, proč open-source alternativa neodpovídá vašim konkrétním potřebám. Nedoporučujeme nástroje kvůli maržím. **5. Říkáme vám, co neumíme.** Jsme malá, specializovaná praxe. Neprovozujeme 24/7 operační centrum. Nepodepisujeme compliance audity. Nenahradzujeme váš IT tým. Pracujeme po boku vašich lidí, budujeme kompetence uvnitř vaší organizace a odcházíme. Pokud potřeba přesahuje naši praxi, řekneme to a ukážeme na správného poskytovatele. **6. [PLACEHOLDER: Vaše šestá diferenciace]** > **INTERNÍ POZNÁMKA** — Přidejte diferenciaci specifickou pro vaši praxi. Příklady: hluboká odbornost v konkrétním odvětví (OT/energie, české regulatorní prostředí); proprietární nástroje (ASTRAL, PULSAR, Elysium); jazykové schopnosti; specifické certifikace; metodologický přístup. [PLACEHOLDER: konkrétní diferenciace s jedním konkrétním příkladem nebo důkazem] --- ## Tým > **INTERNÍ POZNÁMKA** — Buďte upřímní a konkrétní. Neuvádějte certifikace, které jste si neudrželi, ani odbornost, kterou nemůžete prokázat v praxi. Jeden odstavec na osobu je dostačující. Pokud je tým malý, vlastněte to — „Jsme specializovaná praxe [N] konzultantů" je silnější výrok než snaha naznačit rozsah, který nemáte. ### [PLACEHOLDER: Jméno, role] [PLACEHOLDER: bio v 2–3 větách. Zahrňte relevantní zkušenosti, certifikace a konkrétní odbornost, kterou tato osoba přináší do angažmá. Např.: „15 let v podnikové bezpečnosti ve finančních službách a kritické infrastruktuře. OSCP, CISSP. Hluboká odbornost v architektuře Active Directory a bezpečnosti Microsoft 365. Hlavní konzultant pro všechna hardening a blue/purple team angažmá."] ### [PLACEHOLDER: Jméno, role — opakujte dle potřeby] [PLACEHOLDER: bio] **Certifikace, které tým drží** (k [PLACEHOLDER: datum]): [PLACEHOLDER: seznam relevantních certifikací — např. OSCP, CISSP, CEH, AZ-500, SC-200 atd.] --- ## Naši klienti > **INTERNÍ POZNÁMKA** — Buďte konkrétní, aniž byste jmenovali klienty, kteří nedali souhlas. Odvětvové archetypy jsou v pořádku; konkrétní názvy organizací vyžadují souhlas. Formulace „jak vypadají naši typičtí klienti" je upřímná a nevyžaduje zveřejnění. Pracujeme primárně s: - **[PLACEHOLDER: odvětví/archetyp]** — [jedna věta popisující, jak tito klienti vypadají a co je k nám přivádí] - **[PLACEHOLDER: odvětví/archetyp]** — [popis] - **[PLACEHOLDER: odvětví/archetyp]** — [popis] **Co naši klienti mají společného**: Léta budují a provozují IT infrastrukturu. Nahromadili technický dluh, částečně nasazené nástroje a bezpečnostní mezery, o nichž vědí, ale na systematické řešení nikdy neměli prostředky. Nepotřebují novou platformu — potřebují, aby to, co mají, fungovalo správně. --- ## Vybrané práce > **INTERNÍ POZNÁMKA** — Anonymizované případové studie jsou věrohodnější než loga klientů. Používejte konzistentní strukturu: odvětví/velikost + problém + co jsme udělali + konkrétní výsledek. Tři příklady stačí. Nevymýšlejte výsledky ani nepřeceňujte rozsah. ### [PLACEHOLDER: Odvětví a velikost, např. „Středně velká logistická společnost, 300 zaměstnanců"] **Situace**: [PLACEHOLDER: 1–2 věty popisující situaci klienta a podnět k angažmá] **Co jsme udělali**: [PLACEHOLDER: 1–2 věty o konkrétních modulech nebo provedené práci] **Výsledek**: [PLACEHOLDER: konkrétní, měřitelný výsledek. Např.: „Počet útočných cest BloodHound k Domain Admin snížen z 4 217 na 23. Skóre PingCastle zlepšeno z 52 na 81. KRBTGT rotováno poprvé za 843 dní."] --- ### [PLACEHOLDER: Odvětví a velikost] **Situace**: [PLACEHOLDER] **Co jsme udělali**: [PLACEHOLDER] **Výsledek**: [PLACEHOLDER] --- ### [PLACEHOLDER: Odvětví a velikost] **Situace**: [PLACEHOLDER] **Co jsme udělali**: [PLACEHOLDER] **Výsledek**: [PLACEHOLDER] --- ## Partnerství a akreditace > **INTERNÍ POZNÁMKA** — Uvádějte pouze aktivní partnerství a aktuální akreditace. Zaniklé certifikace nebo partnerství, kde nemáte formální dohodu, by se zde neměly objevit. **Obchodní partnerství** (nástroje, které lze zakoupit a spravovat jménem klientů): | Partner | Co poskytují | Kdy je doporučujeme | |---------|-------------|---------------------| | [PLACEHOLDER: např. Huntress] | [PLACEHOLDER: např. Managed EDR, 24/7 threat hunting] | [PLACEHOLDER: např. Klienti bez Defender P2, kteří potřebují 24/7 pokrytí endpointů] | | [PLACEHOLDER] | | | **Akreditace a registrace**: [PLACEHOLDER: registrační čísla společnosti, relevantní akreditace, členství v profesních organizacích, pojištění kybernetické bezpečnosti atd.] --- ## Co neděláme > **INTERNÍ POZNÁMKA** — Tato sekce nastavuje upřímná očekávání. Klient, který zjistí „to neděláme" v průběhu angažmá, je nespokojený klient. Je lepší to říct zde. **Neprovozujeme 24/7 operační centrum.** Nasazujeme, konfigurujeme a zprovozňujeme monitorovací nástroje. Pro nepřetržitou řízenou odezvu spolupracujeme s obchodními partnery (Huntress, Thinkst Canary) nebo pomáháme klientům budovat interní schopnost. **Nepodepisujeme compliance audity.** Připravujeme klienty na audity — mapujeme kontroly, budujeme balíčky důkazů a uzavíráme mezery. Auditní stanovisko náleží kvalifikovanému auditorovi, kterého vyžaduje váš regulátor. **Nenahradzujeme váš IT tým.** Pracujeme po boku vašich lidí. Předávání znalostí je součástí každého angažmá. Když odcházíme, váš tým musí být schopen provozovat to, co jsme vybudovali. **Neprodáváme nástroje, které bychom sami nepoužili.** Každé obchodní doporučení je zveřejněno a vysvětleno. Pokud open-source alternativa splňuje vaše potřeby, nasadíme ji místo komerčního řešení. **[PLACEHOLDER: páté omezení — co neberete]** [PLACEHOLDER: pokud existují konkrétní oblasti, které odmítáte — konkrétní odvětví, regulatorní režimy, geografie — uveďte je zde. Příklad: „Momentálně nepřebíráme klienty vyžadující certifikaci SOC 2 Type II."] --- ## Jak začít spolupráci **Výchozím bodem** pro každého nového klienta je Brownhat Diagnostika — dvoudenní strukturované hodnocení, které přinese prioritizovaný obraz vaší bezpečnostní pozice a doporučené pořadí modulů. Jde o placené, ohraničené angažmá, které přináší hodnotu bez ohledu na to, zda bude následovat další práce. *Plnou metodiku diagnostiky naleznete v [NIST CSF 2.0 Baseline Assessment](../assessment-templates/nist-csf-baseline.md).* **Pro zahájení rozhovoru**: | | | |-|-| | **E-mail** | [PLACEHOLDER: primární kontaktní e-mail] | | **Web** | [PLACEHOLDER: adresa webu] | | **Jazyky** | [PLACEHOLDER: např. čeština, angličtina, slovenština] | | **Geografie** | [PLACEHOLDER: např. Česká republika, Slovensko, Velká Británie; vzdálená angažmá po celé EU] | | **Doba odezvy** | [PLACEHOLDER: např. Počáteční odpověď do 1 pracovního dne] | **Shrnutí obchodních podmínek**: - Angažmá jsou s pevně daným rozsahem a pevnou cenou; výstupy jsou dohodnuty písemně před zahájením práce - Platba: [PLACEHOLDER: např. 50 % při zahájení, 50 % při dokončení] - Měna: [PLACEHOLDER: CZK / EUR / GBP] - Smlouvy se řídí: [PLACEHOLDER: český zákon / anglické právo] - [PLACEHOLDER: další standardní obchodní podmínky, které stojí za to uvést předem] --- ## In English > *This page is also available in English: [About CQRE](about-cqre.md).* --- ## Integrace se stávajícími dokumenty | Dokument | Integrace | |----------|-----------| | [Engagement Model](engagement-model.md) | Plný životní cyklus angažmá, cenový model a požadavky na klienty zmíněné v tomto dokumentu | | [Modular Engagements](modular-engagements.md) | Kompletní přehled služeb | | [NIST CSF 2.0 Baseline Assessment](../assessment-templates/nist-csf-baseline.md) | Brownhat Diagnostika popsaná v sekci „Jak začít spolupráci" | | [C-Suite Conversation Guide](c-suite-conversation-guide.md) | Přesvědčovací skripty pro executive konverzace | | [Sovereign Tool Stack](../playbooks/sovereign-tool-stack.md) | Nástroje a partnerství zmíněná v tomto dokumentu | --- *Pro popis angažmá viz [Engagement Model](engagement-model.md).* *Pro přehled služeb viz [Modular Engagements](modular-engagements.md).*