Почему СМБ не испытывают потребности в ИБ

Вокруг информационной безопасности СМБ (малого бизнеса) дискуссии идут годами.small-business in4sec - информационная безопасность в Украине и миреС одной стороны профиль рисков ИБ малого предприятия в существенной мере схож с профилем рисков ИБ крупного предприятия той же отрасли, с другой – все мы видим что реально финансируют малые бизнесы – десктопное ПО, антивирусы да 1C (иногда еще облачные сервисы, в первую очередь коммуникационные). Так в чем же дело?

Проанализируем эффективность драйверов безопасности применительно к СМБ, а именно инцидентов, угроз, рисков и соответствия (compliance):

Соответствие – наиболее существенные риски соответствия для малых бизнесов лежат не в сфере ИБ, а в сферах налогов, пожарной безопасности, санэпидстанции и др., проверяющие из которых намного более многочисленны и активны чем ИБ-регуляторы;

Риски – действуя в условиях высокой конкуренции малые бизнесы озабочены именно рыночными и финансовыми рисками;

Угрозы – большое количество малых бизнесов, малая их известность и относительно малая выручка позволяют им надеяться что они “никому не нужны”, чему способствуют регулярные сообщение о взломе очередного гиганта – UPS, JPMorgan и др, т.е. есть уязвимые и более крупные “рыбы”;

Инциденты – несут ущерб. В значительной мере материальный ущерб побуждает к повышению целевого уровня ИБ. Наиболее эффективный драйвер в мире СМБ. Украдут деньги через ДБО – задумаются о безопасности.

Security-on-tight-budget    В целом видим, что ИБ для малых бизнесов будет реактивной – сломали – ставим на пульт. Да что там, понятная физическая безопасность ровно такая же, сперва нас грабят – потом ставим на пульт.

Основными причинами такой ситуации вижу следующие:

Бизнес-модель – малые бизнесы в стране обычно имеют немного нематериальных активов либо их ценность невелика;

Горизонт планирования – малые бизнесы имеют небольшой горизонт планирования, а ИБ-проекты и изменения окупаются в целом существенно медленнее бизнес-инициатив;

Операционная среда – существенная рыночная конкуренция и государственного регулирования побеждают ИБ в конкуренции за рабочее время менеджеров;

Возраст менеджеров – взросление менеджеров происходило без ИБ как таковой, т.к. вопросы информационной безопасности бизнеса даже в мире стали широко освещаться не ранее 1989.

Все вышесказанное не значит что у СМБ нет необходимости в ИБ. Необходимость есть, но ее трудно формализовать и еще труднее обеспечить деньгами (создать спрос). В силу большого количества малых бизнесов задачу снижения бизнес-рисков ИБ возможно решить с помощью встраивания ИБ в основные сервисы для СМБ или автоматизации продвижения ИБ. Напоследок, предлагаю ознакомиться с инфографикой по малому бизнесу западных стран.

 

Leave a Reply

Your email address will not be published. Required fields are marked *