Основные барьеры для кибербезопасности малого и среднего бизнеса

Опубликовано: 30 Марта, 2023
Основные барьеры для кибербезопасности малого и среднего бизнеса

Мнение о том, что малый и средний бизнес (SMB) находится вне поля зрения киберпреступников, уже давно оказалось ошибочным. Да, глобальные корпорации всегда будут самой желанной целью. Естественно, они привлекают широкий круг плохих актеров. Их мотивирует все: от финансируемого государством кибершпионажа до хакеров-одиночек, стремящихся укрепить свою репутацию. Это, однако, не означает, что малые и средние предприятия сорвались с крючка.

Взлом сетевой защиты глобальной организации потенциально может принести большую выгоду. Но сложность киберзащиты, с которой приходится бороться злоумышленникам, часто означает, что усилия редко бывают успешными. Крупные организации уже знают, что они сидячие утки, и вкладывают значительные ресурсы в обеспечение безопасности своих систем и данных.

Поэтому кибер-злоумышленники обращаются к малым и средним предприятиям, где они, скорее всего, столкнутся с меньшим сопротивлением. Малые и средние предприятия должны думать о том, как защитить свои данные и системы. Но они сталкиваются с некоторыми ключевыми препятствиями, пытаясь сделать это.

1. Бюджетные ограничения

Облачные вычисления были одной из лучших вещей, которые произошли для малого и среднего бизнеса. В предыдущие эпохи, когда локальные установки были нормой, высокая стоимость покупки лучшего программного обеспечения делала такие приложения недоступными для многих малых и средних предприятий. Облачные вычисления разбили стоимость приобретения программного обеспечения на годовую основу для каждого пользователя, модуля.

Но хотя это сделало стоимость сложного программного обеспечения для обеспечения безопасности доступной, общие затраты, которые приходится нести малым и средним предприятиям, чтобы получить доступ ко всему спектру функций, по-прежнему ставят их в невыгодное положение по сравнению с более крупными организациями. А без финансовых возможностей для доступа к лучшим инструментам безопасности на рынке малый и средний бизнес остается более уязвимым для атак.

2. Отсутствие высококвалифицированного персонала

Ни для кого не секрет, что индустрия кибербезопасности уже много лет борется с нехваткой квалифицированных кадров. По состоянию на 2021 год этот дефицит рабочей силы составлял более 2,7 миллиона человек по всему миру. Необходимость в квалифицированных специалистах по кибербезопасности в вашей команде возрастает в связи с появлением новых и более сложных угроз. Тем не менее, организациям приходится конкурировать за ограниченное количество потенциальных сотрудников службы безопасности.

Корпорации с глубокими карманами могут предлагать заработную плату, значительно превышающую среднюю по рынку, для привлечения лучших специалистов. Малые и средние предприятия просто не могут соответствовать такому вознаграждению, не выходя из бизнеса. У них есть другие альтернативы для привлечения талантов, такие как предложение акций компании, удаленная работа и гибкий график работы. Но даже это может зайти так далеко, поскольку крупные корпорации могут предложить и действительно предлагают то же самое.

Без квалифицированного персонала по кибербезопасности в своей команде малые и средние предприятия не имеют квалифицированных сотрудников, необходимых для борьбы с угрозами, с которыми они сталкиваются.

3. Жесткие временные ограничения

Малые и средние предприятия не могут позволить себе нанимать сотрудников на все возможные должности. Таким образом, сотрудники небольших организаций обычно более загружены, чем их коллеги в крупных компаниях. Каждому сотруднику по кибербезопасности малого и среднего бизнеса часто предлагается выполнять роли, которые обычно выполнялись бы двумя или тремя людьми, если бы это была крупная корпорация. Это проблематично с точки зрения кибербезопасности.

Такая чрезмерная рабочая нагрузка означает, что у сотрудников службы кибербезопасности не будет времени, кроме как поставить галочки только для того, чтобы пометить задачу как выполненную, чтобы они могли перейти к следующему заданию. Нет времени на глубокий анализ и стратегическое мышление.

Любая попытка уделить больше времени анализу безопасности и стратегии сопряжена с риском возникновения невыполненных задач. Программные исправления могут истечь, пока устаревшее оборудование продолжает использоваться. Это не предвещает ничего хорошего для состояния безопасности организации.

4. Конфликт интересов

Назначение нескольких технических ролей одному человеку увеличивает вероятность опасного конфликта интересов. Обычно ожидается, что сотрудники по кибербезопасности будут следить за действиями ИТ-персонала, чтобы убедиться, что они соответствуют стратегии, политикам и процедурам кибербезопасности организации. Однако на малых предприятиях обычные ИТ-специалисты также нередко выполняют функции кибербезопасности.

Когда один и тот же человек, выполняющий рутинные ИТ-задачи, возвращается, чтобы просмотреть эти действия и подтвердить, что они соответствуют политике, процедурам и правилам, усложняется объективная оценка рисков. И это не обязательно потому, что у человека плохие намерения. Скорее, наличие независимой, невовлеченной группы глаз, оценивающих действия ИТ, облегчает обнаружение того, что идет не так.

5. Неспособность отслеживать новые тенденции

Современные малые и средние предприятия понимают, что им необходимы политики, процедуры и средства контроля кибербезопасности. Тем не менее из-за нехватки ресурсов предприятия малого и среднего бизнеса часто не в состоянии отслеживать новые тенденции киберрисков. Поэтому политика и процедура кибербезопасности не обновляются. Вскоре политики и процедуры будут далеки от реальности технологической среды, в которой работает организация.

Неспособность малых и средних предприятий отслеживать новые тенденции в угрозах и нормативно-правовой среде означает, что они не осознают безотлагательности изменений политики, необходимых для обеспечения постоянной безопасности корпоративных данных и систем.

Это упущение контрастирует с ситуацией в крупных организациях. Глобальные корпорации обычно имеют не только отдел кибербезопасности, который внимательно следит за ситуацией, но и отделы права, соответствия и управления рисками, которые работают в тандеме, помогая следить за важными тенденциями киберрисков.

Не все потеряно для кибербезопасности малого и среднего бизнеса

Малые и средние предприятия так же подвержены риску кибератак, как и более крупные организации. Тем не менее малые и средние предприятия сталкиваются с определенными уникальными барьерами, когда речь идет об укреплении и обслуживании их инфраструктуры кибербезопасности. Хорошая новость заключается в том, что ни один из этих барьеров не является непреодолимым. Существуют обходные пути, которые предприятия малого и среднего бизнеса могут использовать для обеспечения надлежащей защиты данных корпоративных систем.

Например, малые и средние предприятия могут обеспечить регулярное обучение существующего персонала по кибербезопасности, что снизит потребность в поиске дорогостоящих талантов. Они также могут передать некоторые или все свои функции кибербезопасности поставщику управляемых услуг безопасности (MSSP). Как предприятия, которые сосредоточены исключительно на кибербезопасности, MSSP часто будут иметь инструменты, высококвалифицированный персонал и отраслевые знания, необходимые для противодействия киберрискам.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023