Küçük şirketlerde veri koruma: öncelik mi yoksa "önemsiz konular" mı?

Büyük şirketlerden sık sık gizli bilgi sızıntılarını ve güvenlik olaylarının risklerini en aza indirmek için aldıkları önlemleri duyuyoruz. Ancak aynı zamanda medya, küçük işletmelerdeki bilgi güvenliği konusuna neredeyse hiç yer vermiyor.

Küçük şirketler bilgi güvenliği sorunu konusunda endişeli mi? Eğer öyleyse, bu sorunla nasıl başa çıkıyorlar? DLP sistemlerinin (Veri Kaybı Önleme) küçük işletmelerin güvenlik devrelerindeki rolü nedir? Bu soruları yanıtlamak için bilgi güvenliği ve küçük işletmeler alanındaki uzmanlara başvuruyoruz.

Küçük şirketlerde çalışan izleme yazılımı kullanımı konusuna geçmeden önce, tam olarak hangi bilgileri korumak istediklerini bulmak önemlidir. Greatment Inc. iş geliştirme müdürü Stephen Lawson bu konu hakkında ayrıntılı olarak konuşuyor:

"İçinde bulunduğumuz bilişim çağında veri koruma sorunu, bilgi alışverişi sürecine katılan hemen hemen herkes için geçerlidir. Bu kesinlikle büyük ve orta ölçekli şirketler ve küçük işletmeler, bireysel girişimciler ve sıradan insanlar için geçerlidir. Güvenliğin temel taşı, doğru tanımlanmış ve sınıflandırılmış bir koruma nesnesidir. Bu veriler (örneğin şirketin gelişim planları, finansal raporları, kullanılan teknolojilerin tanımı, buluşlar), bilgi sistemleri (İK, CRM, ERP, BI, finansal ve üretim sistemleri), iş süreçleri (üretim teknolojisi) ve hatta insanlar (benzersiz becerilere sahip çalışanlar, kilit oyuncular) olabilir. Bazı koruma nesneleri de düzenleyici gerekliliklere göre tanımlanır (örneğin bankacılık gizliliği, kişisel veriler). Koruma yöntemlerinin ve tedbirlerinin seçimi, neyin korunması gerektiğinin, kimden korunması gerektiğinin, nerede korunması gerektiğinin ve uygunsuz korumanın hangi sonuçlara yol açabileceğinin anlaşılmasına bağlıdır. Güvenlik tehditlerinin simülasyonunun eksiksizliği ve kalitesi ile gerekli önlemler, uzun vadede şirketin katlandığı masrafların miktarını belirleyecektir. Şirketin büyüklüğüne bakılmaksızın, güvenlik tehditlerine karşı koruma oluşturmak sistematik bir şekilde gerçekleştirilmelidir, yani ortaya çıkabilecek olumsuz sonuçların derecesine bağlı olarak tehditlere karşı koruma sağlayan bir dizi önlem geliştirilerek başlanmalıdır. Veri korumanın uygulanması ve şirketteki belirli kişilere sorumluluk verecek organizasyonel süreçlerin oluşturulması gerekmektedir. Örneğin, çok küçük şirketler söz konusu olduğunda, çeşitli bilgi güvenliği düzenlemeleri oluşturmaktan, anti-virüs yazılımı yüklemekten, kritik verileri şifrelemekten ve personele hassas bilgilerle nasıl çalışacakları konusunda talimat vermekten bahsediyoruz."

Çeşitli verilerin korunması için şirketler bir DLP sistemi uygulayabilir. Bununla birlikte, uzmanların görüşleri, DLP'lerin kullanımının küçük işletmeler durumunda haklı olup olmadığı konusunda bölünmüştür.

, Lider analist, Symbolitics:

"Küçük şirketlerde DLP sistemlerine ihtiyaç vardır: gerçekler, gizli veri sızıntısının her büyüklükteki şirkette gerçekleşebileceğini göstermektedir. Ayrıca, çok sayıda veri türü vardır. Ticari sırlar, benzersiz tasarımlar, teknolojik özellikler - bu tür bilgiler genellikle büyük ve orta ölçekli şirketler tarafından korunur. Küçük işletmeler genellikle seyahat acenteleri, sigorta şirketleri, hukuk firmaları gibi kişisel verilerle ilgilenir - edinilen bilgilerin güvenliği konusunda endişelenmeleri gerekir.

Bu nedenle DLP sadece şirketlerde değil, her ölçekteki şirkette gereklidir. Elbette DLP sistemi oldukça pahalı bir yazılımdır. Daha küçük şirketler için bu kritik bir faktördür ve daha uygun fiyatlı çözümler aramaktadırlar. Bu nedenle mevcut pazarda çalışanların izlenmesine yönelik ürünlerin popülaritesinde artış yaşanmaktadır. Bu sistemler personel disiplininin korunmasına, iş süreçlerindeki sorunların bulunmasına ve DLP sorununun kısmen çözülmesine yardımcı olur. "

Profesyonel barındırma sağlayıcısı Starrhost'un Bilgi Güvenliği Departmanı Başkanı:

"Bilgi korumaya ilişkin fikirler her zaman ve her düzeyde talep görmektedir. DLP çözümlerinin yetkin kullanımı sonuçta maliyet ve giderlerde azalmaya yol açsa da, küçük işletmeler güvenlik önlemlerini kurumsal düzenlemeler yapmakla sınırlamayı ve kırılma noktasına kadar bunlarla çalışmayı tercih ediyor."

Curso'da Bilgi Güvenliği Başkanı:

"Güvenlik duvarları, antivirüs yazılımları, kriptografik koruma gibi klasik güvenlik önlemlerinin aksine, DLP çözümleri hala gelişme sürecinde ve pazarda tüketicinin ilgisini çekmeye çalışıyor. Bunun birkaç nedeni var. İlk olarak, bu tür çözümlerin çoğu satın alma (donanım bileşeni dahil), uygulama ve DLP sistemini çalıştıran personelin işe alınması ve eğitimi için önemli masraflar getirmektedir. Tüm bunlar sonuçta DLP'nin bir şirket için ekonomik olarak mümkün olmamasına yol açmaktadır. İkinci olarak, DLP sistemlerinin varlığı ve yetenekleri konusunda kamuoyunun farkındalığının olmaması ve bilgi güvenliğinin sağlanması sorunlarına dikkat edilmemesi hala acil bir sorundur. Özellikle bu durum, genellikle özel güvenlik uzmanlarının bulunmaması, çalışanların işle ilgili sorunları çözmek için kişisel cihazlarını sıkça kullanması vb. özelliklerle karakterize edilen küçük işletmeler için geçerlidir. Gizli veri sızıntılarını önleme mekanizmalarını uygulamak için küçük işletmeler DLP'yi uzman kuruluşlar tarafından sağlanan bir hizmet olarak kullanabilirler."

Estation A.Ş. Finans Direktörü

"Küçük ve orta ölçekli işletmeler genellikle DLP çözümleriyle ilgilenir, ancak bunların gerçek özelliklerini ve etkili çalışmaları için gerekli koşulları her zaman anlamazlar. Küçük şirketlerin bu tür yazılımlara uyguladıkları gereksinimler genellikle gerçekçi değildir. Yöneticilerin neredeyse her e-postayı ve diğer iletilen verileri kişisel olarak incelemeye istekli olduğu istisnai durumları hesaba katmazsanız, küçük şirketler DLP sistemlerinin çalışanların vicdansızlığını "kendilerinin" tespit etmesini bekleme eğilimindedir: rüşvet vakaları, iş verilerinin rakiplere aktarılması vb. Ancak hiçbir DLP sistemi kendi istihbaratına sahip değildir ve toplanan bilgilerin değerini değerlendiremez. Tüm kontrol parametreleri sistemin kullanıcıları tarafından girilmelidir (kural olarak, şirketin ekonomik güvenlik hizmetidir). En azından minimum teknik uzmanlık, şirketin iş süreçlerinin ve çeşitli verilerin değerinin anlaşılması, yeterli risk değerlendirmesi, potansiyel suçluların psikolojisinin belirli bir şekilde anlaşılması, sürekli izleme ve ayarlama (başka bir deyişle, çok fazla çalışma saati harcama) gerektirir. DLP yalnızca güvenlik personelinin elinde bir araçtır. Ve her sofistike araç gibi, DLP sistemlerinin de onu kullanan kişinin yeterlilik düzeyine ilişkin belirli gereksinimleri vardır. "

Sistem Yazılımları Ürün Geliştirme Bölüm Başkanı:

"Küçük işletmeler genellikle DLP sistemini kullanmazlar, çünkü bu şirketlerin genellikle yeterli fonları yoktur. Ayrıca, küçük şirketlerde insanlar genellikle birbirlerini iyi tanırlar ve iş yerindeki ilişkiler genellikle güvene dayalıdır. Gelişme sürecinde ve çalışan devrinin artmasıyla birlikte şirketler çalışan izleme ve DLP sistemlerini düşünmeye başlar. Bu genellikle bir şirket 200-300 PC'ye ulaştığında gerçekleşir. Sonuç olarak, potansiyel alıcılar DLP'nin temelden ziyade sadece bir ekleme olduğu basitleştirilmiş bir sistem düşünürler."

Security code LLC Pazarlama Müdürü:

"Küçük işletmelerde DLP sistemlerine ve diğer bilgi güvenliği araçlarına yönelik talep oldukça sınırlıdır. Bunun nedeni, bu tür bir sistemin kullanılmaya başlanmasının sadece yatırım değil, aynı zamanda bilgi güvenliği konularında belirli bir anlayış düzeyi gerektirmesidir. Yönetim, hangi verilerin gizli olduğunu, bunlara kimin erişmesi gerektiğini ve kimin erişmemesi gerektiğini açıkça anlamalıdır. Bu sorun BT yöneticisinin sorumluluk ve yetkinlik alanının çok ötesine geçer. Buna rağmen küçük şirketlerde bilgi güvenliğiyle ilgilenen kişi genellikle yöneticidir. Küçük işletmeler aynı zamanda esneklik ve maliyete karşı yüksek hassasiyet ile karakterize edilir. Bu nedenle, tam işlevli DLP çözümlerinin tanıtımı neredeyse hiçbir zaman gerçekleşmez. Ancak bir şirket bazı DLP özelliklerini (genellikle USB kontrolü) içeren çok işlevli bir iş istasyonu koruma sistemi satın alırsa, bu özellikler kullanılır."

, Purposeidler Proje lideri:

"Şirketimiz kontrol edilmesi gerekenin (klasik bilgi sızıntısı önleme sistemlerinde olduğu gibi) veriler değil, bu verilerle çalışan çalışanlar olduğuna inanıyor. Geleneksel kontrol sistemlerinin bir dizi dezavantajı vardır. Öncelikle, ağır, karmaşık ve uygulanması pahalıdırlar. Dolayısıyla, küçük işletmeler için kesinlikle uygulanamazlar. İkinci olarak, klasik DLP sistemleri verilerle çalışmayı izler. İzleme, belirli dosyalar (dosya adına göre) veya şirketin bilgi sistemlerindeki veriler için bazı veri kalıplarına göre (örneğin, kredi kartı numaraları için XXXX-XXXX-XXXX-XXXX) gerçekleştirilir. Dolayısıyla, verilerin formatını değiştirirseniz, DLP sistemi bunu takip edemeyecektir. Örneğin, kredi kartı sayısını XXXX-XXXX-XXXX-XXXX'ten AXXXX, BXXXX, CXXXX, DXXXX'e değiştirirseniz, DLP sistemi bunu önemli görmeyecek ve yanlış gidecektir. Üçüncü olarak, veri kullanımının sürekli izlenmesi çalışanların bilgisayarlarına ve şirketin kaynaklarına aşırı yük bindirir. DLP sistemi giden tüm verileri kontrol ederse, herhangi bir hata şirketin izolasyonuna neden olur."

Bazı uzmanlar küçük şirketler arasında DLP sistemlerine olan talebe dikkat çekerken, diğerleri bu çözümlerin bu segmentte popüler olmadığını düşünüyor. Büyük ve orta ölçekli şirketlerle karşılaştırıldığında küçük işletmeler arasında DLP'ye olan ilginin ne kadar büyük olduğunu anlamaya çalışalım.

, Genç Girişimciler Kulübü Başkanı, CloudSolutions CEO'su:

"DLP çözümleri hem büyük şirketler hem de küçük işletmeler için faydalı olacaktır, ancak sadece bilgi sızıntısına karşı önleyici tedbirlerden biri olarak. Bu tür programlar çalışanlar arasında BT okuryazarlığını arttırmak için iyidir çünkü özünde bilgi sızıntısı risklerini değerlendirmeyi içerir. Bunun için verilerin sızdırılabileceği kanallardaki faaliyetler analiz edilir: e-posta, anlık mesajlaşma programları ve doğrudan web. İçerik ve bağlam (protokol, etkinlik, uygulama türü, vb.) temelinde, program ayrıca mesajları engellediği, ihlalleri bildirdiği vb. güvenlik politikası oluşturur. Güvenlik duvarlarının aksine, DLP çözümlerinin veri aktarımını tamamen engellemediğini, bunun yerine ağdaki insan faaliyetlerini analiz etmeye çalıştığını anlamak önemlidir, bu da şirketleri daha da yüksek veri sızıntısı olasılığı ile karşı karşıya bırakır."

, Genç Girişimciler Kulübü Başkanı, CloudSolutions CEO'su:

"Tüm şirketler bilgiyi korumakla ilgilenir. DLP çözümlerinin uygulanmasına yönelik yaklaşımlar farklı olabilir, ancak 21. yüzyılda "bilgi kaybı" neredeyse "para kaybına" eşittir, bu nedenle bu tür kayıp risklerini en aza indirme fikrinin büyüklüğünden bağımsız olarak her şirkette var olduğunu varsaymak mantıklıdır."

"Şirketlerin DLP sistemlerine olan ilgisi sadece BT altyapılarının ölçeğine ve işlenen verilerin hacmine bağlı değildir. Elbette öncelikle, sızması hasara neden olabilecek bilgilerin varlığına ve mevcut tehditlerin varlığına bağlıdır. Bu nedenle, DLP'ye olan ilgi hem büyük hem de küçük şirketlerde eşit olabilir. Ancak büyük şirketler bu tür sistemleri kullanmak için daha fazla fırsat ve yeteneğe sahiptir."

"Expectronica" (I-Techio Inc.) Bilgi Güvenliği Departmanı Başkanı:

"Her şeyden önce, büyüklüğü ne olursa olsun yeterli finansmana sahip şirketler DLP sistemleriyle ilgilenmektedir. Ancak DLP'nin sadece bir araç olduğunu ve sızıntıların kontrolü ve önlenmesi için gerçekten kullanılıp kullanılmayacağı ya da sadece bir "plan" olarak kalıp kalmayacağı birçok faktöre bağlıdır: bilgi güvenliğinden sorumlu yöneticilerin kişisel istekleri, proje ekibinin deneyimi ve sorunun net bir şekilde tanımlanması. Sızıntıların kontrolü ve önlenmesinin etkinliği için kaliteli uygulama çok önemlidir. DLP sistemlerinin kapsamının çok hassas olduğunu, birçok şirkette bu tür projelerin uygulanmasının bürokratik ve yasal teknikler ve yüksek itibar riski nedeniyle yavaşladığını belirtmek gerekir."

SenseBox'ın Ticari Direktörü:

"DLP çözümleri çoğunlukla büyük işletmeler tarafından kullanılıyor. Ve bu sistemler başlangıçta tam olarak karmaşık kurumsal makinelerin gereksinimlerini karşılamak üzere tasarlanmıştır. Ancak veri koruma ihtiyacı yeni başlayanlardan büyük işletmelere kadar herkes için aynıdır. Burada önemli olan işletme sahiplerinin hangi düzeyde yazılım kullandıkları değil, güvenlik yaklaşımlarıdır.

DLP sistemleri başlangıçta güvenliğe paranoyak yaklaşım olarak adlandırılabilecek bir yaklaşımdan ortaya çıkmıştır: herhangi bir eylemi imkansız hale getirmeye veya engellemeye çalıştığımızda. Örneğin, bir alışveriş merkezinin girişine köpekli bir güvenlik görevlisi, bir turnike, bir metal dedektörü koyduğumuzu ve her alışveriş yapan için üst araması yaptığımızı düşünün. Bir yazılım ürünü olarak DLP de buna benzer bir şeydir. Medeni ülkelerde insanlar yasalara, polise ve mahkemelere güvenir. Ve çit inşa etmeye gerek yoktur - her yere gidebilirsiniz. Birisi yasaları çiğnemeye cüret ederse, olağan savunma mekanizması tetiklenir: polis gelir ve kolluk sistemi cezanın kaçınılmazlığını sağlar.

Belirli çalışanların gizli bilgilere erişimini bir yasa, iş sözleşmesinde bir madde ve sert yaptırımlar şeklinde kısıtlamanıza kimse engel olamaz. Eğer bu yaptırımlar ve cezalar potansiyel bilgi hırsızlığından elde edilecek faydayı aşarsa, çoğu çalışan hırsızlık fikrinden vazgeçecektir."

"Bence büyük şirketler DLP çözümlerini kullanmaya daha fazla ilgi duyuyor, böyle bir sistemin ne işe yarayabileceğini daha iyi anlıyorlar ve DLP sistemlerinin etkin kullanımı için yeterli kaynaklara sahipler. Son zamanlarda piyasada yapay zeka, makine öğrenimi ve büyük veri analizindeki bilimsel gelişmeleri kullanarak güvenlik profesyonellerinin işlerini kolaylaştıran ve yeterlilik gereksinimlerinin seviyesini düşüren çözümler ortaya çıktı. Bu çözümlerin DLP sistemlerinin küçük ve orta ölçekli işletmeler arasında daha geniş bir alana yayılmasına nasıl katkıda bulunacağını zaman gösterecek."

"Orta ve büyük ölçekli şirketler (özellikle de finans sektörü söz konusuysa) DLP sistemlerinin kullanımıyla daha sık ilgileniyor. Büyüyen bir şirket için işlemleri ve çalışanların gizliliğini kontrol etmek giderek zorlaşıyor. Ve bu durumda, bilgi sızıntısını ya da (herhangi bir nedenle sadakatini kaybeden) bir çalışanın işinize zarar verme niyetini kolayca gözden kaçırabilirsiniz. Ne yazık ki hiçbir sistem kurumsal verilere yönelik doğrudan saldırıları tamamen önleyemez, ancak süreci önemli ölçüde karmaşıklaştırabilir, sızıntıları daha az karlı ve suçlu için daha riskli hale getirebilir."

KRAKE'de Bilgi Güvenliği Başkanı:

"Tüm piyasa katılımcıları (büyük şirketler ve KOBİ segmenti) DLP sistemleriyle ilgileniyor çünkü bilgi sızıntısı riskleri tüm şirketlerde mevcut. Aynı zamanda KOBİ sektörü için veri sızıntısının sonuçları büyük şirketlere kıyasla çok daha yıkıcı olabilir. Birincisi için bir sızıntı kolayca önemli rekabet avantajının kaybına ve sonuç olarak işin kapanmasına neden olabilir. Büyük bir şirket söz konusu olduğunda ise çoğu zaman itibar ve mali kayıplar söz konusudur."

"Sadece DLP sistemlerini değil, diğer bilgi güvenliği çözümlerini de kullanmaya yönelik ilgi, şirketin büyüklüğüne, ama daha çok da olgunluk düzeyine bağlıdır. Bir şirket verilerinin değerinin (kendisi ve rakipleri için) ne kadar farkındaysa, verilerin korunmasına ilişkin bilgi güvenliği stratejisini de o kadar bilinçli bir şekilde uygular. Bu durumda gerekli eylemler listesi yalnızca bilgi güvenliği araçlarının kullanılmasını değil, aynı zamanda kasıtlı sızıntı veya kazara veri kaybı riskini azaltmak için iş süreçlerinin yeniden düzenlenmesini de içerir.

Ve ancak DLP sisteminin kurulacağı iş süreçleri tanımlandığında, uygulama şirketin büyüklüğünden etkilenmeye başlar. Büyük bir şirketin böyle bir proje için daha fazla para harcayabileceği açıktır, ancak teknik gereksinimler de daha yüksek olacaktır."

Uzmanların görüşleri yine ikiye bölünmüştür. Bir yandan, bazıları şirketin büyüklüğü ile DLP kullanımına olan ilgi düzeyi arasında bir bağlantı olmadığına inanırken, diğer yandan bazı uzmanlar bu tür sistemlerin en çok büyük şirketlerde talep gördüğüne inanmaktadır. Ancak her iki durumda da uzmanlar, bilgi güvenliğini önceliklerinden biri olarak gören ve bu nedenle DLP sistemlerinin potansiyel kullanıcıları olarak kabul edilebilecek küçük şirketler olduğu konusunda hemfikirdir. Peki küçük işletmelerin bu tür sistemler için gereksinimleri nelerdir?

"Büyük müşteriler genellikle "akıllı" ve pahalı DLP çözümlerini tercih etmektedir. Küçük şirketler, bu çözüm çok daha uygun fiyatlı ise, genellikle otomasyon olasılığı olmadan bu sistemlerle "manuel" modda çalışmaya isteklidir. Bu nedenle küçük ve orta ölçekli işletmelerde tüm olaylar geriye dönük olarak araştırılmaktadır."

"Bilgi güvenliğinin bu segmentinde en önemlisi olan yazılım fiyatı konusunu bir kenara bırakıp işlevselliğe odaklanırsanız, daha "her şeyi bilen" güvenlik yazılımlarını tercih etmeniz gerekir. Genellikle küçük şirketler bilgi sisteminin unsurlarını birleştirmeyi göze alamazlar ve bunu kelimenin tam anlamıyla ellerindeki üzerine inşa ederler. Elbette böyle bir yaklaşımın sonucu BT sisteminde kullanılan ekipmanların çeşitliliği olacaktır."

"Şirketlerin DLP sistemlerine uyguladıkları gereklilikler listesi, öncelikle kullanılan bilgi aktarım yöntemleri ve hacmi de dahil olmak üzere şirketin BT altyapısının belirli özelliklerine dayanmaktadır. Bu, tüketicinin DLP sistemi tarafından kontrol edilecek veri iletim kanallarını belirlemesine olanak tanır. En popüler kontrol özellikleri e-postaların, çıkarılabilir sürücülerin, URL'lerin, anlık mesajlaşma programlarının ve yazdırmanın izlenmesidir. Ayrıca, birçok şirket için DLP sistemi raporlarının oluşturulması, uygulanan DLP sisteminin etkinliğini yöneticilere göstermek için temel araç olduğundan genellikle önemlidir."

"Büyük işletmelerin temsilcileri genellikle DLP'nin yardımıyla belirli hedeflere ulaşmaya çalışırlar: bu tür bir sistem büyük olasılıkla zaten kurulu olan BT ortamına büyük bir

bilgi koruması için diğer bileşenlerin ve çözümlerin miktarı. Buna karşılık, KOBİ segmenti DLP çözümlerini bilgi güvenliğiyle ilgili çeşitli sorunları çözen bir tür "çoklu araç" olarak görmek istiyor. Bir diğer önemli gereksinim de uygulama kolaylığı ve gerekli minimum destek personelidir."

"Küçük şirketlerin temel gereksinimi minimum fiyattır. Ancak DLP sistemleri geliştirmek oldukça zaman alıcı olabiliyor ve sürekli güncelleme gerektiriyor."

"Küçük şirketler, birden fazla çözümün işlevselliğini birleştiren son derece kolay bir dağıtım ile düşük maliyetli bir çözüm satın almaya çalışıyorlar. Genellikle basitleştirilmiş DLP işlevleri içeren anti-virüs çözümlerine, trafik ve çalışan verimliliği kontrol sistemlerine odaklanıyorlar. Küçük şirketlerde bilgi koruması genellikle işletme maliyetlerine dahil edilmez."

"Küçük işletmelerin DLP çözümlerine yönelik başlıca gereksinimleri arasında uygun fiyat, uygulama ve destek kolaylığı ile yasal gerekliliklere uygunluk yer almaktadır. İşlevler açısından bakıldığında küçük işletmeler DLP sistemlerinin baskı ve kullanıcıların e-posta yazışmalarını (hem şirket ağı içinde hem de gmail.com veya mail.ru gibi İnternet posta hizmetlerinin kullanımıyla) izleyebilmesini, harici sürücülere veya dosya paylaşım hizmetlerine dosya aktarımını engelleyebilmesini ve çalışanların sosyal ağları ve anlık mesajlaşma programlarını kullanımını analiz edebilmesini beklemektedir."

"Küçük şirketlerin kaynakları çok sınırlıdır. Bu durum bilgi güvenliği bütçesi ve uzman personel sayısı için de geçerlidir. Kural olarak, küçük şirketler BT ve bilgi güvenliği ile ilgili tüm sorunları değişen derecelerde çözen bir veya iki BT uzmanı istihdam eder."

Bu konuda uzmanlar neredeyse hemfikirdir. Küçük şirketler için bilgi güvenliği yazılımı seçimindeki ana faktörler maliyet ve uygulama kolaylığıdır. Bunun nedeni, büyük şirketlerle karşılaştırıldığında küçük işletmelerin sınırlı mali ve insan kaynaklarına sahip olmasıdır. Bu durumun sonucu olarak, BT departmanının bir veya iki üyesi tarafından kurumsal altyapıya kolayca uygulanabilecek düşük maliyetli çok işlevli bir yazılım edinme arzusu ortaya çıkmaktadır.

Ancak, bugün piyasada işletmenize bilgi koruma konusunda yardımcı olabilecek oldukça işlevsel bazı programlar bulunmaktadır. Ve hatta bazıları ücretsiz olarak kullanılabilir.