Внимание к вопросам информационной безопасности возникает постепенно — с ростом организации. При ежедневной работе с информационными ресурсами правила работы для микробизнеса в сущности не отличаются от бытовых правил рядовых пользователей — использовать сложные пароли, не ходить по подозрительным ссылкам, проверять, защищено ли соединение и так далее. Однако с ростом предприятия обнаруживаются новые, гораздо более комплексные проблемы, опыта борьбы с которыми зачастую рядовой пользователь не имеет.
Немалую роль в росте обеспокоенности малого и среднего бизнеса вопросами информационной безопасности сыграли злоумышленники — с приходом значительных денег в digital-сферу, в том числе и в некрупные организации, в ту же сторону обратились и взоры преступности. Если раньше преступления в цифровой сфере были связаны в первую очередь с профессиональными хакерами и крупными компаниями, то теперь для того, чтобы начать «карьеру» в преступном мире вообще не требуется никаких знаний. Например, набирает популярность такой своеобразный вид деятельности, как CaaS — Crime-as-a-Service, преступление-как-услуга — когда, к примеру, злоумышленник предоставляет за определенную плату доступ к ботнету из зараженных устройств или вредоносной программе. Естественно, внимание такие непрофессиональные злоумышленники обращают не на банки и корпорации, для атаки на которые все-таки по-прежнему требуется немало умений и знаний, а на более мелкие и уязвимые организации.
Еще одна из проблем с информационной безопасностью в таких компаниях — инсайдерская угроза. В маленьких организациях уровень доверия друг другу у сотрудников зачастую весьма высок. Однако уже на этом этапе есть вероятность пострадать из-за действий сотрудников. Не обязательно здесь присутствует злой умысел — ценная информация может быть скомпрометирована по ошибке или незнанию. Тем не менее нужно быть готовым к таким случаям. Кроме того, в небольших организациях на каждого сотрудника возлагается большой перечень обязанностей. Потеря такого работника будет весьма чувствительна для предприятия. Точно так же рискует владелец и при найме нового работника — не только компетенция имеет значение, но и добропорядочность. От нерадивого исполнения обязанностей или мошенничества не застрахован никто, а умение вычислять в кандидатах нужных и ответственных людей приходит только с опытом, которого у владельца нового малого бизнеса чаще всего нет.
Проблема у SMB-сектора при взаимодействии с вендорами продуктов информационной безопасности возникает чаще всего из-за ценовой политики. Продукты представляют собой сложное и комплексное программное обеспечение с соответствующим ценником. Причина такого кроется в том, что вендоры исторически ориентированы в первую очередь на крупные компании, которые готовы выложить за продукт кругленькую сумму. С другой стороны, небольшие компании чаще всего менее расположены к большим тратам, поэтому даже если и решаются на покупку дорогостоящего ПО, то чаще ориентируются не на качество, а на стоимость, с соответствующими результатами.
К счастью, такое положение вещей не вечно. Уже намечается тенденция на переориентацию вендоров с корпораций на менее крупных заказчиков. Кроме того, ценовая политика точно так же становится более лояльной к потребителю. Достаточно сравнить цену, например, на антивирусный пакет в начале нулевых с сегодняшней. А учитывая непрекращающийся кризис в отечественном бизнесе — все больше компаний устраивают различного рода спецпредложения и партнерские программы или выпускают новые более дешевые версии продукта с ограниченным функционалом.
Небольшие организации, в свою очередь, все больше обращают внимание на вопросы информационной безопасности. В «стандартном» офисном наборе из брандмауэра и антивируса отдается предпочтение уже не самому дешевому, а более качественному продукту. Также растет заинтересованность в комплексных продуктах. Например, для борьбы с инсайдерами, закупается если не целая DLP-система, то по крайней мере отдельные критические модули. Сюда же относятся и набирающие популярность программные комплексы для контроля рабочего времени сотрудников.