Na redakční otázky odpovídá Ing.Jakub Mahdal, Chief executive officer, COSECT Ltd.

1) Proč a v čem je SMB jiný sektor, než ostatní? Na co klást větší důraz?

Hlavní rozdíl je v přístupu k businessu. Ve společnostech tohoto typu často ještě převládá intuitivní řízení nad procesním, větší angažovanost zakladatelů a pochopitelně i lepší adaptabilita. Na druhou stranu vedení firem v SMB sektoru často nabývá dojmu, že IT bezpečnost jsou problémem pouze velkých společností. Je důležité si uvědomit, že malé nebo střední společnosti jsou o to více ohroženy selháním zaměstnanců a dalšími bezpečnostními problémy. Co může pro velkou společnost znamenat menší výkyv ceny akcií na burze, může malou společnost položit.

2) Kterou oblast bezpečnosti SMB zbytečně podceňuje a na kterou se naopak zbytečně moc soustředí?

Malé a střední firmy v případě, že se zajímají o bezpečnost, často díky marketingovému tlaku přeceňují externí hrozby, například hackery, viry a jiné. Na druhou stranu společnosti svá aktiva často vůbec nechrání proti jiným hrozbám a dobrovolně nechávají svá data zlodějům volně přístupná k vyzvednutí – např. notebook nebo flash-disk. Přitom podle výzkumů konzultační společnosti Ponemon Institute stojí za více než 80 % bezpečnostních problémů zaměstnanci a to i ve firmách s rodinným prostředím. Zaměstnanci mohou úmyslně okrást společnost o důležitá data nebo způsobit jejich ztrátu svojí nedbalostí.

3) Dá se bezpečnost u SMB zvládnout "svépomocí", nebo je lepší spolehnout na outsourcing?

Znalosti malých a středních podniků často odráží úzkou specializaci v určitém oboru a proto má vždy smysl outsourcing zvážit. Společnost by měla především dostatečně ověřit kvalitu dodavatele a ověřit si, aby se nedostala do stavu, kdy bude na budoucím dodavateli závislá (tzv vendor lock-in). Pro outsourcing doporučuji vybírat společnosti, které mají nejenom dostatečné zkušenosti, ale také nabídnou řešení problému bezpečnosti jako celku (tedy ne pouze antivir a firewall) a zároveň vnímají bezpečnost jako dlouhodobý proces ochrany.

4) Je možné vybudovat i v relativně malém prostředí kvalitní bezpečnostní infrastrukturu?

Kombinací vhodného bezpečnostního software, proškolením personálu, nastavením procesů a dodržováním bezpečnostní politiky lze i v malé společnosti zajistit rozumný základ pro bezpečnost vašich firemních dat. Často se nejedná o vysoké náklady, zvláště pokud uvážíme, že jde o investici chránící citlivé informace celé společnosti, které mohou vzít za své nejenom vlivem škodlivého software, ale také aktivitou zaměstnanců.

5) Jak v případě SMB co nejlépe a nejefektivněji zajistit organizační stránku bezpečnosti (bezpečnostní politiku)?

Dobrým začátkem je ve společnosti zrevidovat smlouvy o důvěrnosti (NDA). Ty by měli mít podepsány všichni zaměstnanci. Poté je vhodné zaměstnance proškolit v návycích spojených s novou bezpečnostní politikou, rozebrat s nimi možná rizika a způsoby, jak se proti nim bránit. V počátku mohou mít zaměstnanci pocit, že jsou zbytečně omezováni, zvláště v rodinných firmách. Je tedy vhodné uživatele upozornit, že bezpečností politika chrání také je před jejich nechtěnými omyly.