Вокруг ИБ СМБ дискуссии идут годами - с одной стороны профиль рисков ИБ малого предприятия в существенной мере схож с профилем рисков ИБ крупного предприятия той же отрасли, с другой - все мы видим что реально финансируют малые бизнесы - десктопное ПО, антивирусы да 1C (иногда еще облачные сервисы, в первую очередь коммуникационные). Так в чем же дело?
Проанализируем эффективность драйверов безопасности применительно к СМБ, а именно инцидентов, угроз, рисков и соответствия (compliance):
- Соответствие - наиболее существенные риски соответствия для малых бизнесов лежат не в сфере ИБ, а в сферах налогов, пожарной безопасности, санэпидстанции и др., проверяющие из которых намного более многочисленны и активны чем ИБ-регуляторы;
- Риски - действуя в условиях высокой конкуренции и под постоянной угрозой кассового разрыва малые бизнесы озабочены именно рыночными и финансовыми рисками;
- Угрозы - большое количество малых бизнесов, малая их известность и относительно малая выручка позволяют им надеяться что они "никому не нужны", чему способствуют регулярные сообщение о взломе очередного гиганта - UPS, JPMorgan и др, т.е. есть уязвимые и более крупные "рыбы";
- Инциденты - несут ущерб. В значительной мере материальный ущерб побуждает к повышению целевого уровня ИБ. Наиболее эффективный драйвер в мире СМБ. Украдут деньги через ДБО - задумаются о безопасности.
В целом видим, что ИБ для малых бизнесов будет реактивной - сломали - ставим на пульт. Да что там, понятная физическая безопасность ровно такая же, сперва нас грабят - потом ставим на пульт. Основными причинами такой ситуации вижу следующие:
- Бизнес-модель - малые бизнесы в стране обычно имеют немного нематериальных активов либо их ценность невелика;
- Горизонт планирования - малые бизнесы имеют небольшой горизонт планирования, а ИБ-проекты и изменения окупаются в целом существенно медленнее бизнес-инициатив;
- Операционная среда - существенная рыночная конкуренция и государственного регулирования побеждают ИБ в конкуренции за рабочее время менеджеров;
- Возраст менеджеров - взросление менеджеров происходило без ИБ как таковой, т.к. вопросы информационной безопасности бизнеса даже в мире стали широко освещаться не ранее 1989 (знаменитый червь Морриса)
Все вышесказанное не значит что у СМБ нет необходимости в ИБ. Необходимость есть, но ее трудно формализовать и еще труднее обеспечить деньгами (создать спрос). В силу большого количества малых бизнесов задачу снижения бизнес-рисков ИБ возможно решить с помощью встраивания ИБ в основные сервисы для СМБ или автоматизации продвижения ИБ. Уже сейчас видны подвижки, но существенных изменений пока не видно
Комментариев нет:
Отправить комментарий