Adatvédelem a kisvállalkozásoknál: prioritás vagy "mellékes ügyek"?

Adatvédelem a kisvállalkozásoknál: elsődlegesen kisebb jelentőségű ügyek?

Gyakran hallunk a nagyvállalatok bizalmas információinak kiszivárgásáról és a biztonsági incidensek kockázatának minimalizálására tett intézkedéseikről. Ugyanakkor a média alig foglalkozik a kisvállalkozások információbiztonságának kérdésével.

Aggódnak-e a kisvállalkozások az információbiztonsági probléma miatt? És ha igen, hogyan kezelik ezt a kérdést? Milyen szerepet játszanak a DLP-rendszerek (adatvesztés-megelőzés) a kisvállalkozások biztonsági áramköreiben? E kérdések megválaszolásához az információbiztonság és a kisvállalkozások szakértőihez fordulunk.

Mielőtt rátérnénk a kisvállalatok munkavállalói felügyeleti szoftverhasználatának kérdésére, fontos, hogy pontosan megtudjuk, milyen információkat akarnak védeni. A Greatment Inc. üzletfejlesztési vezetője. Stephen Lawson részletesen beszél erről:

"Informatikai korunkban az adatvédelem problémája az információcsere folyamatának szinte minden résztvevőjét érinti. Ez természetesen vonatkozik a nagy- és középvállalkozásokra és a kisvállalkozásokra, az egyéni vállalkozókra és a hétköznapi emberekre. A biztonság sarokköve a védelem helyesen meghatározott és osztályozott tárgya. Ez lehet adat (például a vállalat fejlesztési tervei, pénzügyi jelentések, alkalmazott technológiák leírása, találmányok), információs rendszerek (HR, CRM, ERP, BI, pénzügyi és gyártási rendszerek), üzleti folyamatok (gyártási technológia), sőt emberek (egyedi képességekkel rendelkező alkalmazottak, kulcsszereplők). A védelem egyes tárgyait a szabályozási követelmények szerint is meghatározzák (pl. banktitok, személyes adatok). A védelmi módszerek és intézkedések megválasztása annak megértésétől függ, hogy mit kell védeni, kitől kell védeni, hol kell védeni, és milyen következményekkel járhat a nem megfelelő védelem. A biztonsági fenyegetések szimulációjának teljessége és minősége, valamint a szükséges intézkedések hosszú távon meghatározzák a vállalat felmerülő kiadásainak összegét. A vállalat méretétől függetlenül a biztonsági fenyegetések elleni védelem kialakítását szisztematikusan kell végezni, vagyis a fenyegetések elleni védelmet lehetővé tevő intézkedéscsomag kidolgozásával kell kezdeni, a fenyegetésekkel szembeni védelmet a lehetséges negatív következmények mértékétől függően. Meg kell valósítani az adatvédelmet, és olyan szervezeti folyamatokat kell létrehozni, amelyek a vállalat bizonyos embereihez rendelik a felelősséget. A nagyon kis cégek esetében például több információbiztonsági szabályzat megalkotásáról, vírusirtó szoftverek telepítéséről, a kritikus adatok titkosításáról és a munkatársak oktatásáról beszélünk, hogy hogyan dolgozzanak az érzékeny információkkal".

A különböző adatok védelmére a vállalatok DLP-rendszert alkalmazhatnak. A szakértők véleménye azonban megoszlott abban a kérdésben, hogy a DLP-k használata indokolt-e a kisvállalkozások esetében.

Bruce Sandoval

, Vezető elemző, Symbolitics:

"A DLP-rendszerekre a kisvállalkozásoknál is szükség van: a valóság azt mutatja, hogy a bizalmas adatok kiszivárgása bármilyen méretű vállalatnál előfordulhat. Ráadásul rengeteg adattípus létezik. Üzleti titkok, egyedi tervek, technológiai specifikációk - az ilyen információkat általában a nagy és közepes méretű vállalatok védik. A kisvállalkozások gyakran foglalkoznak személyes adatokkal, pl. utazási irodák, biztosítótársaságok, ügyvédi irodák - nekik kell aggódniuk a megszerzett információk biztonsága miatt.

Ezért van szükség a DLP-re nemcsak a nagyvállalatoknál, hanem minden méretű vállalatnál. Természetesen a DLP rendszer meglehetősen drága szoftver. A kisebb cégek számára ez kritikus tényező, és megfizethetőbb megoldásokat keresnek. Ezért tapasztalja a jelenlegi piac a dolgozók megfigyelésére szolgáló termékek népszerűségének növekedését. Ezek a rendszerek segítenek a személyzeti fegyelem fenntartásában, az üzleti folyamatok problémáinak felderítésében, és részben megoldják a DLP problémáját. "

Ethan Cook

, a Starrhost professzionális tárhelyszolgáltató információbiztonsági osztályának vezetője:

"Az információvédelemmel kapcsolatos ötletek mindig keresettek, bármilyen szinten. Annak ellenére, hogy a DLP-megoldások hozzáértő használata végső soron a költségek és kiadások csökkentéséhez vezet, a kisvállalkozások inkább a szervezeti intézkedésekre korlátozzák a biztonsági intézkedéseket, és a végsőkig dolgoznak velük."

Patrick Simmons

, a Curso információbiztonsági vezetője:

"A klasszikus biztonsági intézkedésekkel, például a tűzfalakkal, a vírusirtó szoftverekkel és a kriptográfiai védelemmel ellentétben a DLP-megoldások még mindig fejlesztés alatt állnak, és próbálják felkelteni a fogyasztók érdeklődését a piacon. Ennek több oka is van. Először is, a legtöbb ilyen jellegű megoldás jelentős költségekkel jár a beszerzés (beleértve a hardverkomponenst is), a megvalósítás, valamint a DLP-rendszert üzemeltető személyzet felvétele és képzése tekintetében. Mindez végül ahhoz vezet, hogy a DLP gazdaságilag nem megvalósítható egy vállalat számára. Másodszor, a DLP-rendszerek létezésének és képességeinek a közvéleményben való ismertségének hiánya, valamint az információbiztonság biztosításának problémáira való figyelemhiány még mindig sürgető probléma. Ez különösen a kisvállalkozások esetében fontos, amelyekre gyakran jellemző, hogy nincsenek külön biztonsági szakemberek, az alkalmazottak gyakran használnak személyes eszközöket a munkával kapcsolatos problémák megoldására stb. A bizalmas adatok kiszivárgását megakadályozó mechanizmusok megvalósítása érdekében a kisvállalkozások igénybe vehetik a DLP-t, mint erre szakosodott szervezetek által nyújtott szolgáltatást."

Dennis Barnett

, az Estation Inc. pénzügyi igazgatója:

"A kis- és középvállalkozások gyakran érdeklődnek a DLP-megoldások iránt, de nem mindig ismerik azok tényleges jellemzőit és a hatékony működésükhöz szükséges feltételeket. A kisvállalkozások által az ilyen szoftverekkel szemben támasztott követelmények általában irreálisak. Ha nem vesszük figyelembe azokat a kivételes eseteket, amikor a vezetők hajlandóak személyesen átnézni szinte minden e-mailt és egyéb továbbított adatot, a kisvállalatok hajlamosak elvárni, hogy a DLP-rendszerek "maguk" fedezzék fel az alkalmazottak gátlástalanságát: a megvesztegetés, a versenytársaknak történő üzleti adatok átadása stb. eseteit. De egyetlen DLP-rendszer sem rendelkezik saját intelligenciával, és nem tudja megítélni az összegyűjtött információk értékét. Minden ellenőrzési paramétert a rendszer felhasználóinak kell megadniuk (általában a vállalat gazdasági biztonsági szolgálatának). Legalább minimális technikai szakértelmet, a vállalat üzleti folyamatainak és a különböző adatok értékének megértését, megfelelő kockázatértékelést, a potenciális elkövetők pszichológiájának bizonyos fokú megértését, folyamatos ellenőrzést és kiigazítást (más szóval sok munkaórát) igényel. A DLP csak egy eszköz a biztonsági személyzet kezében. És mint minden kifinomult eszköznek, a DLP-rendszereknek is vannak bizonyos követelményei az azt használó személy képzettségi szintjével szemben. "

Gregory Sandoval

, a Rendszerszoftver Termékfejlesztési Osztály vezetője:

"A kisvállalkozások gyakran nem használnak DLP-rendszert, mivel ezek a cégek általában nem rendelkeznek elegendő pénzeszközzel. Ráadásul a kis cégeknél az emberek általában jól ismerik egymást, és a munkahelyi kapcsolatok általában bizalmiak. A fejlődés folyamatában és az alkalmazottak fluktuációjának növekedésével a vállalatok elkezdenek gondolkodni az alkalmazottak megfigyelésén és a DLP-rendszereken. Ez általában akkor történik, amikor egy vállalat 200-300 PC-re nő. Ennek eredményeképpen a potenciális vásárlók elsősorban egyszerűsített rendszerben gondolkodnak, ahol a DLP csupán kiegészítés, nem pedig az alap."

Kenneth Aguilar

, a Security code LLC marketing menedzsere:

"A DLP-rendszerek és egyéb információbiztonsági eszközök iránti kereslet a kisvállalkozásoknál meglehetősen korlátozott. Ez annak köszönhető, hogy az ilyen rendszer bevezetése nemcsak beruházásokat igényel, hanem az információbiztonsági kérdések bizonyos szintű megértését is. A vezetőségnek világosan meg kell értenie, hogy milyen adatok bizalmasak, kinek kell hozzáférnie hozzájuk, és kinek nem. Ez a probléma messze túlmutat az IT-adminisztrátor felelősségi és kompetenciaterületén. Annak ellenére, hogy a kisvállalkozásoknál általában a rendszergazda az, aki az információbiztonsággal foglalkozik. A kisvállalkozásokat a rugalmasság és a költségekkel szembeni nagyfokú érzékenység is jellemzi. Ezért a DLP-megoldások teljes funkcionalitású típusainak bevezetése szinte soha nem történik meg. Ha azonban egy vállalat olyan multifunkcionális munkaállomás-védelmi rendszert szerez be, amely tartalmaz néhány DLP-funkciót (általában USB-vezérlést), akkor ezeket a funkciókat használják."

Christopher Hughes

, Purposeidler projektvezető:

"Vállalatunk úgy véli, hogy nem az adatokat kell ellenőrizni (mint a klasszikus információszivárgást megakadályozó rendszerekben), hanem az adatokkal dolgozó alkalmazottakat. A hagyományos ellenőrzési rendszereknek számos hátránya van. Először is nehézkes, összetett és drága a bevezetésük. Így kisvállalkozások esetében egyáltalán nem alkalmazhatóak. Másodszor, a klasszikus DLP-rendszerek ellenőrzik az adatokkal való munkavégzést. A felügyelet bizonyos fájlokra (fájlnév alapján) vagy a vállalati információs rendszerekben lévő adatokra történik valamilyen adatminta alapján (például XXXX-XXXXXX-XXXXXX-XXXXXX a hitelkártyaszámok esetében). Ha tehát egyszerűen megváltoztatja az adatok formátumát, akkor a DLP rendszer nem lesz képes nyomon követni azt. Ha például a hitelkártyák számát XXXX-XXXX-XXXX-XXXX-XXXX-tól AXXXXXX, BXXXX, CXXXX, DXXXX-ra változtatja, a DLP rendszer nem fogja ezt fontosnak tartani, és el fog tévedni. Harmadszor, az adatfelhasználás folyamatos ellenőrzése túlterheli az alkalmazottak számítógépeit és a vállalat erőforrásait. Ha a DLP rendszer minden kimenő adatot ellenőriz, akkor bármilyen hiba a vállalat elszigetelését eredményezné."

Egyes szakértők a DLP-rendszerek iránti keresletet a kisvállalatok körében állapították meg, míg mások szerint ezek a megoldások nem népszerűek ebben a szegmensben. Próbáljuk meg kitalálni, hogy a kisvállalkozások körében mekkora az érdeklődés a DLP iránt a nagy- és középvállalkozásokhoz képest.

George Soto

, a fiatal vállalkozók klubjának elnöke, a CloudSolutions vezérigazgatója:

"A DLP-megoldások mind a nagyvállalatok, mind a kisvállalkozások számára hasznosak lesznek, de csak mint az információszivárgást megelőző intézkedések egyike. Az ilyen programok alkalmasak az alkalmazottak informatikai műveltségének növelésére, mivel lényegükhöz tartozik az információszivárgás kockázatainak felmérése. Ehhez elemzik az olyan csatornákon folytatott tevékenységet, amelyeken keresztül az adatok kiszivároghatnak: e-mail, azonnali üzenetküldők és közvetlenül a web. A tartalom és a kontextus (protokoll, tevékenység, alkalmazás típusa stb.) alapján a program a továbbiakban biztonsági szabályzatot generál, amely szerint blokkolja az üzeneteket, jelenti a jogsértéseket stb. Fontos megérteni, hogy a tűzfalakkal ellentétben a DLP-megoldások nem blokkolják teljesen az adatátvitelt, hanem megpróbálják elemezni az emberi tevékenységet a hálózaton belül, ami miatt a vállalatoknál még nagyobb a valószínűsége az adatszivárgásnak.".

Ethan Cook

, a fiatal vállalkozók klubjának elnöke, a CloudSolutions vezérigazgatója:

"Minden vállalatnak érdeke az információk védelme. A DLP-megoldások bevezetésének megközelítései eltérőek lehetnek, de az "információvesztés" a 21. században szinte egyenlő a "pénzvesztéssel", így logikusan feltételezhető, hogy az ilyen jellegű veszteségek kockázatának minimalizálásának gondolata minden vállalatnál létezik, függetlenül annak méretétől"."

Patrick Simmons:

"A vállalatok DLP-rendszerek iránti érdeklődése nemcsak az informatikai infrastruktúrájuk méretétől és a feldolgozott adatok mennyiségétől függ. Elsősorban természetesen az olyan információk meglététől függ, amelyek kiszivárgása kárt okozhat, valamint az aktuális fenyegetések jelenlététől. Így a DLP iránti érdeklődés a nagy és a kisvállalatoknál egyaránt lehet azonos. A nagyvállalatoknak azonban több lehetőségük és képességük van az ilyen rendszerek használatára."

Keith Burton

, az "Expectronica" (I-Techio Inc.) információbiztonsági osztályának vezetője:

"Először is, a megfelelő finanszírozással rendelkező vállalatok méretüktől függetlenül érdeklődnek a DLP-rendszerek iránt. De ne feledjük, hogy a DLP csak egy eszköz, és az, hogy valóban a kiszivárgások ellenőrzésére és megelőzésére fogják-e használni, vagy csak "tervrajz" marad, sok tényezőtől függ: az információbiztonságért felelős vezetők személyes ambícióitól, a projektcsapat tapasztalatától és a probléma egyértelmű meghatározásától. A minőségi végrehajtás döntő fontosságú a kiszivárgások ellenőrzésének és megelőzésének hatékonysága szempontjából. Érdemes megjegyezni, hogy maga a DLP-rendszerek alkalmazási köre nagyon kényes, az ilyen projektek megvalósítását sok vállalatnál a bürokratikus és jogi technikai részletek és a magas reputációs kockázat lassítja."

Christopher Cole

, a SenseBox kereskedelmi igazgatója:

"A DLP-megoldásokat főként a nagyvállalatok használják. Ezeket a rendszereket pedig eredetileg pontosan a komplex vállalati gépezet követelményeinek kielégítésére tervezték. Az adatvédelemre azonban mindenkinek ugyanúgy szüksége van: a startupoktól a nagyvállalatokig. És ami itt fontos, az nem maga a döntés, hogy milyen szintű szoftvert használnak a cégtulajdonosok, hanem a biztonsághoz való hozzáállás.

A DLP-rendszerek eredetileg a biztonság paranoidnak nevezhető megközelítéséből alakultak ki: amikor megpróbálunk bármilyen cselekvést lehetetlenné tenni vagy megakadályozni. Képzeljük el például, hogy egy bevásárlóközpont bejáratához egy kutyás biztonsági őrt állítunk, egy forgóajtót, egy fémdetektort, és bevezetjük a testmotozást minden vásárló számára. A DLP mint szoftvertermék valami hasonlót jelent. A civilizált országokban az emberek a törvényekre, a rendőrségre és a bíróságokra támaszkodnak. És nincs szükség kerítések építésére - bárhová bemehetsz. Abban az esetben, ha valaki meg meri szegni a törvényt, beindul a szokásos védelmi mechanizmus: megérkezik a rendőrség, és a bűnüldözési rendszer biztosítja a büntetés elkerülhetetlenségét.

Senki sem akadályozhatja meg, hogy törvény, munkaszerződési záradék és szigorú szankciók formájában korlátozza a bizalmas információkhoz való hozzáférést bizonyos alkalmazottak számára. Ha ezek a szankciók és büntetések meghaladják az esetleges információlopásból származó hasznot, a legtöbb alkalmazott lemond a lopás gondolatáról."

Dennis Barnett:

"Véleményem szerint a nagyvállalatok jobban érdekeltek a DLP-megoldások használatában, jobban értik, hogy mire lehet hasznos egy ilyen rendszer, és elegendő erőforrással rendelkeznek a DLP-rendszerek hatékony használatához. A közelmúltban jelentek meg a piacon olyan megoldások, amelyek a mesterséges intelligencia, a gépi tanulás és a nagy adatelemzés tudományos vívmányait használják fel a biztonsági szakemberek munkájának megkönnyítésére és a képzettségi követelmények szintjének csökkentésére. Az idő majd megmutatja, hogy ezek a megoldások hogyan járulnak hozzá a DLP-rendszerek szélesebb körű elterjedéséhez a kis- és középvállalkozások körében."

Billy Herrera:

"A közepes és nagyvállalatok (különösen, ha a pénzügyi szektorról van szó) gyakrabban érdeklődnek a DLP-rendszerek használata iránt. Egy növekvő vállalat számára egyre nehezebbé válik a tranzakciók és az alkalmazottak magánéletének ellenőrzése. Ebben a helyzetben pedig könnyen elkerülheti a figyelmét az információszivárgás, vagy az, hogy valamelyik alkalmazott (aki valamilyen okból kifolyólag elvesztette a lojalitását) kárt akar tenni a vállalkozásának. Sajnos egyetlen rendszer sem képes teljesen megakadályozni a vállalati adatok elleni közvetlen támadásokat, de jelentősen megnehezítheti a folyamatot, így a kiszivárgások kevésbé kifizetődőek és kockázatosabbak az elkövető számára."

Thomas Hicks

, a KRAKE információbiztonsági vezetője:

"Minden piaci szereplő (nagyvállalatok és kis- és középvállalkozások) érdeklődik a DLP-rendszerek iránt, mivel az információszivárgás kockázata minden vállalatnál jelen van. Ugyanakkor az adatszivárgás következményei a KKV-szektorban sokkal pusztítóbbak lehetnek, mint a nagyvállalatoknál. Az előbbiek esetében egy adatszivárgás könnyen a kulcsfontosságú versenyelőny elvesztéséhez és következésképpen az üzlet megszűnéséhez vezethet. Egy nagyvállalat esetében leggyakrabban a hírnév és a pénzügyi veszteségekről van szó."

Kenneth Aguilar:

"Nemcsak a DLP-rendszerek, hanem bármely más információbiztonsági megoldás használata iránti érdeklődés a vállalat méretétől, de még inkább annak érettségi szintjétől függ. Minél inkább tisztában van egy vállalat az adatainak értékével (saját maga és versenytársai számára), annál tudatosabban valósítja meg az adatvédelemmel kapcsolatos információbiztonsági stratégiát. A szükséges intézkedések listája ebben az esetben nemcsak az információbiztonsági eszközök bevezetéséből áll, hanem az üzleti folyamatok megreformálásából is, hogy csökkentsék a szándékos adatszivárgás vagy a véletlen adatvesztés kockázatát.

És csak akkor, amikor az üzleti folyamatokat, amelyekbe a DLP-rendszert telepítik, meghatározzák, akkor a bevezetést a vállalat mérete kezdi befolyásolni. Nyilvánvaló, hogy egy nagyvállalat több pénzt tud költeni egy ilyen projektre, de a technikai követelmények is magasabbak lesznek."

A szakértők véleménye ismét megoszlott. Egyrészt egyesek úgy vélik, hogy nincs kapcsolat a vállalat mérete és a DLP használata iránti érdeklődés szintje között, másrészt egyes szakértők úgy vélik, hogy az ilyen rendszerekre leginkább a nagyvállalatoknál van igény. A szakértők azonban mindkét esetben egyetértenek abban, hogy vannak olyan kisvállalatok, amelyek az információbiztonságot prioritásként kezelik, és így a DLP-rendszerek potenciális felhasználóinak tekinthetők. Milyen követelményeket támasztanak tehát a kisvállalkozások az ilyen rendszerekkel szemben?

Bruce Sandoval:

"A nagy ügyfelek általában "okos" és drága DLP-megoldást választanak. A kisvállalatok általában hajlandóak "kézi" üzemmódban, az automatizálás lehetősége nélkül dolgozni ezekkel a rendszerekkel, ha ez a megoldás sokkal kedvezőbb. Emiatt a kis- és középvállalkozásoknál minden incidenst utólag vizsgálnak ki".

Ethan Cook:

"Ha kihagyjuk a szoftver árának nyilvánvaló kérdését, amely az információbiztonság ezen szegmensében a legfontosabb, és a funkcionalitásra összpontosítunk, akkor a "mindenevőbb" biztonsági szoftvereket kell előnyben részesíteni. Gyakran előfordul, hogy a kis cégek nem engedhetik meg maguknak, hogy az információs rendszer elemeit egységesítsék, és szó szerint arra építik, ami éppen kéznél van. Természetesen egy ilyen megközelítés következménye az informatikai rendszerben használt eszközök sokfélesége lenne."

Patrick Simmons:

"A vállalatok által a DLP-rendszerekkel szemben támasztott követelmények listája elsősorban a vállalat informatikai infrastruktúrájának sajátosságain alapul, beleértve az információátvitel használt módszereit, valamint az információ mennyiségét. Ez lehetővé teszi a fogyasztó számára, hogy meghatározza azokat az adatátviteli csatornákat, amelyeket a DLP-rendszer ellenőrizni fog. A legnépszerűbb ellenőrzési funkciók az e-mailek, a cserélhető meghajtók, az URL-ek, az azonnali üzenetküldők és a nyomtatás felügyelete. Emellett sok vállalat számára gyakran fontos a DLP-rendszer jelentéseinek kialakítása, mivel ez a legfontosabb eszköz a bevezetett DLP-rendszer hatékonyságának bemutatására a vezetők számára."

Keith Burton:

"A nagyvállalatok képviselői általában konkrét célokat próbálnak elérni a DLP segítségével: az ilyen rendszer valószínűleg a már kialakult informatikai tájba integrálódik, nagyméretű

az információvédelem egyéb összetevőinek és megoldásainak mennyisége. Ezzel szemben a KKV-szegmens a DLP-megoldásokat egyfajta "multieszközként" szeretné látni, amely több, az információbiztonsággal kapcsolatos problémát is megold. Egy másik fontos követelmény a könnyű bevezethetőség és a minimálisan szükséges támogató személyzet."

Gregory Sandoval:

"A kisebb vállalatok fő követelménye a minimális ár. A DLP-rendszerek fejlesztése azonban meglehetősen időigényes lehet, és folyamatos frissítést igényel."

Billy Herrera:

"A kisvállalatok alacsony költségű megoldást próbálnak vásárolni, rendkívül egyszerű telepítéssel, amely több megoldás funkcionalitását egyesíti. A vírusvédelmi megoldásokra, a forgalom- és munkatársi termelékenység-ellenőrző rendszerekre összpontosítanak, amelyek gyakran egyszerűsített DLP-funkciókat tartalmaznak. A kisvállalatoknál az információvédelem gyakran nem szerepel a működési költségek között."

Thomas Hicks:

"A kisvállalkozások DLP-megoldásokkal szemben támasztott fő követelményei között szerepel a megfizethetőség, a könnyű bevezethetőség és támogatás, valamint a jogi követelményeknek való megfelelés. A funkciók szempontjából a kisvállalkozások elvárják a DLP-rendszerektől, hogy képesek legyenek a nyomtatás és a felhasználók e-mail levelezésének nyomon követésére (mind a vállalat hálózatán belül, mind az internetes postai szolgáltatások, például a gmail.com vagy a mail.ru használatával), a külső meghajtókra vagy fájlmegosztó szolgáltatásokra történő fájlátvitel blokkolására, valamint a közösségi hálózatok és az azonnali üzenetküldők alkalmazotti használatának elemzésére." - olvasható a közleményben.

Kenneth Aguilar:

"A kisvállalkozásoknak nagyon korlátozottak az erőforrásaik. Ez vonatkozik az információbiztonsági költségvetésre és a szakképzett személyzet létszámára. A kisvállalatok általában egy vagy két informatikai szakembert alkalmaznak, akik különböző mértékben megoldják az informatikával és az információbiztonsággal kapcsolatos összes problémát."

Ebben a tekintetben a szakértők gyakorlatilag egyöntetűen egyetértettek. A kisvállalkozások számára az információbiztonsági szoftverek kiválasztásánál a fő tényezők a költségek és a könnyű bevezethetőség. Ez annak köszönhető, hogy a kisvállalkozások a nagyvállalatokhoz képest korlátozott pénzügyi és emberi erőforrásokkal rendelkeznek. Ennek a helyzetnek a következménye, hogy olyan olcsó, többfunkciós szoftverre vágynak, amelyet az informatikai osztály egy vagy két tagja könnyen be tud vezetni a vállalati infrastruktúrába.

A piacon azonban ma már van néhány eléggé funkcionális program, amely segíthet vállalkozásának az információvédelemben. És némelyikük még ingyenesen is elérhető.