Почему СМБ не испытывают потребности в ИБ

   Вокруг ИБ СМБ дискуссии идут годами - с одной стороны профиль рисков ИБ малого предприятия в существенной мере схож с профилем рисков ИБ крупного предприятия той же отрасли, с другой - все мы видим что реально финансируют малые бизнесы - десктопное ПО, антивирусы да 1C (иногда еще облачные сервисы, в первую очередь коммуникационные). Так в чем же дело?

    Проанализируем эффективность драйверов безопасности применительно к СМБ, а именно инцидентов, угроз, рисков и соответствия (compliance):

1. Соответствие - наиболее существенные риски соответствия для малых бизнесов лежат не в сфере ИБ, а в сферах налогов, пожарной безопасности, санэпидстанции и др., проверяющие из которых намного более многочисленны и активны чем ИБ-регуляторы;
2. Риски - действуя в условиях высокой конкуренции и под постоянной угрозой кассового разрыва малые бизнесы озабочены именно рыночными и финансовыми рисками;
3. Угрозы - большое количество малых бизнесов, малая их известность и относительно малая выручка позволяют им надеяться что они "никому не нужны", чему способствуют регулярные сообщение о взломе очередного гиганта - UPS, JPMorgan и др, т.е. есть уязвимые и более крупные "рыбы";
4. Инциденты - несут ущерб. В значительной мере материальный ущерб побуждает к повышению целевого уровня ИБ. Наиболее эффективный драйвер в мире СМБ. Украдут деньги через ДБО - задумаются о безопасности. 

    В целом видим, что ИБ для малых бизнесов будет реактивной - сломали - ставим на пульт. Да что там, понятная физическая безопасность ровно такая же, сперва нас грабят - потом ставим на пульт. Основными причинами такой ситуации вижу следующие:

1. Бизнес-модель - малые бизнесы в стране обычно имеют немного нематериальных активов либо их ценность невелика;
2. Горизонт планирования - малые бизнесы имеют небольшой горизонт планирования, а ИБ-проекты и изменения окупаются в целом существенно медленнее бизнес-инициатив;
3. Операционная среда - существенная рыночная конкуренция и государственного регулирования побеждают ИБ в конкуренции за рабочее время менеджеров;
4. Возраст менеджеров - взросление менеджеров происходило без ИБ как таковой, т.к. вопросы информационной безопасности бизнеса даже в мире стали широко освещаться не ранее 1989 (знаменитый червь Морриса)

    Все вышесказанное не значит что у СМБ нет необходимости в ИБ. Необходимость есть, но ее трудно формализовать и еще труднее обеспечить деньгами (создать спрос). В силу большого количества малых бизнесов задачу снижения бизнес-рисков ИБ возможно решить с помощью встраивания ИБ в основные сервисы для СМБ или автоматизации продвижения ИБ. Уже сейчас видны подвижки, но существенных изменений пока не видно