маленькая безопасность

Рынок безопасности бурно развивается и компании срывают с него сливки – крупные контракты, мощные системы, шифрование данных огромных объемов на огромных скоростях. Но, к сожалению, никто не обращает внимания на маленькие компании, в которых установлено от 2 до 100 рабочих мест, скоммутированных на неуправляемых коммутаторах или стареньких хабах, ведущих базу договоров и небольшую бухгалтерию. Зачастую такие компании даже не могут позволить нанять себе системного администратора, а если и нанимают, то это студент, который, в лучшем случае, учится по ходу работы.
Ну бог с ним, с российским рынком, тут своя специфика, но почему прозорливые компании с мировым именем не обращают внимания на этот сегмент?
Вы можете сказать, что дело в доходах. А вдруг нет? Вдруг дело в том, что вся информационная безопасность, в том виде, в котором она активно обсуждается на страницах глянцевых (!) журналов, становится очевидно-бесполезной в рамках небольших компаний? Нужны примеры? Пожалуйста:
1. Создание документов, в том числе высокого уровня (политики) не имеет смысла для компании, где личные связи между сотрудниками значат больше нежели приказы руководства;
2. Оценка рисков, инвентаризация активов теряют смысл из-за несоизмеримости затрат на выполнение работ и их практической ценности;
3. Системы мониторинга не работают из-за совмещения функций сотрудниками и элементами системы;
4. Эпидемии вредоносного ПО покрывают 100% парка, из-за тесных связей между сотрудниками.
Что выходит на первый план в таких системах? Думаю следующее:
1. Система должна быть защищена по-умолчанию. Возможно в ущерб функциональности.
2. На первый план выходят превентивные системы, такие как резервное копирование, снижение привилегий пользователей, ограничения на доступ к информационным системам. Все должно работать «из коробки».
3. Системы, эффективность которых значительно ниже 100% (значительно можно заменить на 90%) , отметаются как неэффективные. К ним относятся – системы обнаружения атак, антивирусы, системы фильтрации контента и почты.
4. Обучение пользователей, но не формальное, «для галочки», а то, что будет понятно людям и принято ими как правило.