SMB segment se v porovnání s velkými firmami liší především v počtu a využívání zaměstnanců. Zatímco ve velkých podnicích je většina jednotlivých pracovních funkcí vykonávána určenými pracovníky anebo skupinami pracovníků, v menších podnicích velmi často dochází ke kummulaci pracovních rolí, kde jeden pracovník často zastávě dvě i více funkcí. Nejvýrazněji se to projevuje v pokrývání specifických činností, které bezprostředně nesouvisí s předmětem podnikání. (např.provoz informačních systémů). Hlavními výzvami pro personální politiku SMB segmentu jsou zabezpečení a udržování odborné způsobilosti, zastupitelnost a efektivní kontrola.

2) Kterou oblast bezpečnosti SMB zbytečně podceňuje a na kterou senaopak zbytečně moc soustředí?

Obecně se dá říci, že v malých a středních podnicích zpravidla chybí koncepční řízení bezpečnosti, není jasně definovaná bezpečnostní politika, nejsou jasně určené zodpovědnosti, nevykonávají se pravidelné činnosti jako analýza rizik a hodnocení stavu bezpečnosti a bezpečnostní opatření se implementují podle aktuální potřeby, častokrát bez podrobné analýzy a posouzení dopadu na ostatní procesy a systémy.

3) Dá se bezpečnost u SMB zvládnout „svépomocí“, nebo je lepší spolehnout na outsourcing?

To je otázka efektivity, akceptovatelné míry rizika a ceny. S novými technologiemi, rostoucími integračními a komunikačními požadavky úměrně roste i počet hrozeb, kterým musí čelit malé stejně jako velké společnosti. Speciálně pro menší společnosti je čím dál tím těžší dosáhnout přiměřenou úroveň bezpečnosti vlastními silami. Míra poskytovaných služeb v oblasti správy a řízení bezpečnosti v prostředí SMB neustále roste.

4) Je možné vybudovat i v relativně malém prostředí kvalitní bezpečnostní infrastrukturu?

Ano, ale vyžaduje si to koncepční přístup a využití bezpečnostních standartů, doporučení a norem. Budování efektivních a bezpečných informačních systémů předpokládá jasně definované obchodní cíle, které se následně přetaví do IT cílů.

5) Jak v případě SMB co nejlépe a nejefektivněji zajistit organizační stránku bezpečnosti (bezpečnostní politiku)?

My pod organizační stránkou bezpečnosti rozumíme řízení bezpečnosti, respektive systém řízení informační bezpečnosti (ISMS). Nejjednodušší a nejrychlejší cestou jak zavést řízení do oblasti bezpečnosti, je využití odborností a zkušeností kvalifikovaných a certifikovaných specialistů. Otázkou zůstává nalezení vhodné formy a rozsahu spolupráce. Škála služeb v této oblasti se pohybuje od nepravidelných konzultačních služeb (projektové práce), přes pravidelné poradenství až po kompletní převzetí zodpovědnosti za řízení bezpečnosti a zavádění bezpečnostních opatření.

Poznámka: Organizační stránka nerovná se bezpečnostní politika. ESET Services pod organizační složkou rozumí řízení, tedy funkce spadající do působnosti CISO.

Bezpečnostní management