Generalnie rynek systemów ochronnych jest w świetnej kondycji. W 2004 r. światowa sprzedaż zabezpieczeń IT przyniosła 3,5 mld dol., w 2011 r. już 64 mld dol., a w zeszłym roku osiągnęła poziom 106 mld dol. Agencja MarketsandMarkets prognozuje, że w 2020 r. sprzedaż w tym segmencie wyniesie 170 mld dol. Pojawiają się nawet głosy, że ten pułap zostanie osiągnięty już w 2017 r. Co z tego, skoro sprzedaż zabezpieczeń małym i średnim firmom w Polsce to nie jest łatwy kawałek chleba.

Tymczasem eksperci wskazują, że nawet małe przedsiębiorstwa powinny stosować wielowarstwową architekturę bezpieczeństwa. Rzecz jasna, dobór systemów dla MŚP zależy do wielu kryteriów. Podstawą jest rachunek ryzyka, którego dokonuje się m.in. na podstawie analizy charakteru działalności firmy, liczby i rodzaju wykorzystywanych urządzeń i aplikacji, typów przechowywanych i przetwarzanych danych, dotychczas stosowanych rozwiązań bezpieczeństwa oraz wielu innych. Ważne jest też spojrzenie w przyszłość, czyli określenie stopnia rozwoju i przewidywanych potrzeb firmy, by móc dobrać system o odpowiedniej skalowalności. Zasadne jest także stosowanie systemów zabezpieczeń działających możliwie daleko od istotnych danych. Naturalnym miejscem instalacji jest styk firmowej infrastruktury z Internetem. Zabezpieczenie tego punktu za pomocą zapory sieciowej lub rozwiązania UTM to podstawa.

Poza tym każde urządzenie końcowe powinno być chronione programem antywirusowym, wykorzystującym różne techniki skanowania: przesyłanie próbek do chmury czy analizę zachowań. Dodatkową warstwą zabezpieczeń powinna być ochrona danych, które użytkownicy wykorzystują na swoich urządzeniach. Tego typu rozwiązanie powinno być stosowane w każdym przedsiębiorstwie, w którym użytkownicy pracują poza biurem z danymi ważnymi dla działalności biznesowej.

– Firmy z sektora MŚP stają się łatwym celem dla cyberprzestępców, ponieważ wiele z nich nie stosuje odpowiednich zabezpieczeń. Dlatego im więcej postawimy barier, w sieci czy na urządzeniach końcowych, tym bardziej zmniejszamy ryzyko strat – mówi Agnieszka Szarek, Channel Account Manager w Fortinecie.

 

Jeżeli urządzenia wykorzystywane przez pracowników opuszczają zabezpieczoną infrastrukturę przedsiębiorstwa, należy ochronić je przez instalację stosownego oprogramowania zabezpieczającego przed złośliwym oprogramowaniem i wymuszającego stosowanie określonych przez administratora reguł polityki bezpieczeństwa. Pracownik łączący się z zasobami firmowymi, powinien mieć szyfrowany dostęp do sieci wewnętrznej (w praktyce najczęściej przez tunel VPN), umożliwiający właściwą ochronę wykorzystywanych zasobów firmowych i dostępu do sieci.

 

Ochrona sieci

Rosnąca liczba i zróżnicowanie zagrożeń sprawiają, że przedsiębiorstwa są zainteresowane również instalowaniem w sieci wielofunkcyjnych urządzeń ochronnych.

Jeśli chodzi o bezpieczeństwo informatyczne, nie można iść na żadne kompromisy. Małe i średnie firmy muszą wiedzieć, co im grozi i jak się mają przed tym bronić. Zabezpieczenia na poziomie sieciowym są równie ważne jak pakiety instalowane w urządzeniach końcowych, również w przypadku użytkowników mobilnych – uważa Wieland Alge, wiceprezes i dyrektor generalny EMEA w Barracuda Networks.

Dla resellera zintegrowane zabezpieczenia sieciowe to interesujące źródło dochodów, ponieważ istotną grupę odbiorców stanowią przedsiębiorstwa zatrudniające poniżej 100 pracowników. Według analityków Gartnera małe firmy z naszego regionu są obecnie bardzo zainteresowane produktami, które pozwolą im zapewnić bezpieczną komunikację. Produkty UTM kupują przede wszystkim małe i średnie przedsiębiorstwa, dla których integracja usług zabezpieczających w jednym produkcie stanowi najrozsądniejsze rozwiązanie. Natomiast negatywny wpływ na sprzedaż UTM-ów mogą mieć w przyszłości usługi ochrony świadczone z chmury oraz coraz większa liczba urządzeń mobilnych.

Managed Security Service – siła paradoksu

Dla integratorów atrakcyjne wydają się usługi zarządzane. Wynika to z faktu, że większość małych i średnich przedsiębiorców boryka się z takimi wyzwaniami jak szybki rozwój infrastruktury IT i nowe rodzaje cyberzagrożeń. Z tego względu integrator, który jest w stanie zapewnić nieprzerwane wsparcie klientowi dzięki usługom zarządzanym, ma duże szanse na długotrwałe związanie się z nim i znalezienie nowych źródeł przychodów. Analitycy z MarketsandMarkets w raporcie „Managed Security Services Market – Global Forecast to 2020” prognozują, że globalnie sprzedaż zarządzanych usług ochrony będzie rosła do 2020 r. w tempie 14,8 proc. rocznie. Wtedy ma osiągnąć wartość 35,5 mld dol. W Polsce rynek usług bezpieczeństwa w modelu MSS jest jeszcze słabo rozwinięty, ponieważ rodzime firmy bardzo ostrożnie podchodzą do outsourcingu usług IT, w szczególności w zakresie bezpieczeństwa. Paradoksalnie to dobra wiadomość dla integratorów, ponieważ operatorom sieciowym, z powodu ograniczonego zaufania klientów, nie udało się na razie wypracować dominującej pozycji. Główne projekty w obszarze MSS są realizowane przez firmy integratorskie, które poświęciły czas na budowanie zaufania klientów do swoich usług.

 

Ważną cechą UTM-ów, pożądaną przez administratorów sieci, jest elastyczność. Osoba odpowiadająca za bezpieczeństwo może swobodnie decydować, które funkcje są potrzebne. Dlatego producenci oferują rozwiązania w wielu różnych wariantach. Poza tym klienci często chcą korzystać z wielofunkcyjnych urządzeń ochrony, ponieważ umożliwiają one zapewnienie bezpiecznego dostępu do firmowych zasobów pracownikom wykonującym swoje zadania zdalnie, a tych stale przybywa.

>> ZDANIEM DOSTAWCóW

 
Michał Jarski, Regional Director CEE, Trend Micro

Reseller nie zarobi dzisiaj na samym oprogramowaniu antywirusowym. Na rynku są bowiem niezwykle tanie lub wręcz darmowe rozwiązania. Jeśli odbiorca będzie stosował kryterium ceny, po prostu wybierze bezpłatną opcję. Najkorzystniejsza dla obu stron propozycja to aktywna opieka i zarządzanie bezpieczeństwem przez firmę integratorską, która była odpowiedzialna za wdrożenie.

 

 
Krzysztof Hałgas, dyrektor zarządzający, Bakotech

Podstawowymi kryteriami doboru zabezpieczeń w sektorze MŚP są: cena, elastyczność implementacji, łatwość konfiguracji i funkcjonalność. Kolejność nie jest przypadkowa. Najważniejszy czynnik to bez wątpienia cena i możliwość jej kształtowania poprzez dobór elastycznej oferty, dopasowywanej do budżetu i potrzeb przedsiębiorstwa. Możliwości antywirusa lub zapory sieciowej stają się sprawą drugorzędną. Wystarczy, że spełniają podstawowe wymagania stawiane przed tego typu rozwiązaniami.

 
Filip Demianiuk, Channel Team Manager, Check Point

Obecnie rozwiązania zabezpieczające przeznaczone dla sektora MŚP mają takie same funkcje, jak rozwiązania dla dużych firm. Istotne pozostają różnice w wydajności oraz poziomie skomplikowania wdrożenia. Warto dostosować system zabezpieczeń do specyfiki działalności przedsiębiorstwa, np. firmom tworzącym oprogramowanie można zaproponować rozwiązanie typu DLP chroniące przed wyciekiem własności intelektualnej, czyli kodu tworzonych aplikacji.

 
Agnieszka Szarek, Channel Account Manager, Fortinet

Wzrost liczby i poziomu zaawansowania cyberataków dotyczy zarówno dużych jak i mniejszych przedsiębiorstw. Można wręcz powiedzieć, że firmy z sektora MŚP stają się częściej ofiarami cyberprzestępców, jako że wiele z nich nie stosuje odpowiednich zabezpieczeń, przez co są łatwiejszym celem. Dlatego im więcej postawimy barier – w sieci  czy na urządzeniach końcowych – tym bardziej zmniejszamy ryzyko strat. Odpowiedni dobór i konfiguracja rozwiązań sprawi, że będą się raczej wzajemnie uzupełniać w ramach jednego systemu, niż kolidować ze sobą.

 

Rozwiązanie dobiera się w zależności od indywidualnych wymagań klienta i specyfiki jego środowiska IT. Trzeba przy tym pamiętać, że każde przedsiębiorstwo stosuje własną politykę bezpieczeństwa, inny model monitoringu, raportowania czy kontroli dostępu do zasobów firmowych za pomocą różnego rodzaju urządzeń, m.in. mobilnych. Ważnym czynnikiem są wymagania dotyczące wydajności, dlatego warto przeprowadzić odpowiednie testy w środowisku klienta, aby dobrać właściwy produkt.

Stosując rozwiązania UTM, użytkownik końcowy może rozważyć rezygnację z instalacji programów antywirusowych lub antyspamowych. Klient dostaje bowiem zestaw narzędzi zapewniających mu zbudowanie kompletnej, a jednocześnie elastycznej infrastruktury ochronnej. Część oferowanych na rynku produktów ma architekturę modułową, można więc rozbudowywać je o kolejne funkcje odpowiednio do zmieniających się potrzeb firmy.

Wybór między zabezpieczeniami sieciowymi a oprogramowaniem instalowanym w urządzeniach końcowych zależy od indywidualnych wymagań klientów. Najważniejszą różnicą między nimi jest fakt, że rozwiązania sprzętowe pracują zazwyczaj na styku sieci firmowej ze światem zewnętrznym, natomiast rozwiązania programowe odpowiadają za ochronę wewnątrz sieci. Podejmując decyzję, należy oczywiście uwzględnić politykę bezpieczeństwa firmy, zasoby, które mają podlegać ochronie, poziom rozproszenia infrastruktury, a nawet politykę zatrudniania pracowników i poziom ich kompetencji.

 

Kryteria wyboru: prymat ceny

W Polsce, co podkreśla wielu ekspertów, wciąż dominuje kryterium ceny – najczęściej wybierane są po prostu najtańsze rozwiązania. Jednak takie podejście może odbić się klientowi czkawką, ponieważ tanie rozwiązania są najczęściej mniej skuteczne, zwiększając ryzyko infekcji szkodliwym oprogramowaniem i włamania do firmowej sieci. To prowadzi do realnych strat, których nabywca nie wziął pod uwagę w procesie wyboru systemu bezpieczeństwa.

Dlatego z jednej strony warto podejmować ten wątek w rozmowach z klientami, a z drugiej trzeba pamiętać, że firmy nie do końca wiedzą, do czego służą zabezpieczenia, za które miałyby zapłacić. Trzeba zatem posługiwać się językiem zrozumiałym dla przedsiębiorców i pokazywać, w jakim zakresie wydatki na bezpieczeństwo IT przekładają się na konkretne korzyści.

 

Drugim po kosztach kryterium, którym firmy kierują się w wyborze systemów zabezpieczających, jest łatwość instalacji i stosowania. Z perspektywy użytkowników jest to istotny aspekt, ponieważ drobni przedsiębiorcy najczęściej nie mają czasu i kompetencji, aby zajmować się bezpieczeństwem. Dlatego najlepszy produkt to taki, który zapewnia skuteczną ochronę, jednak na co dzień pozostaje „niewidoczny”. Mając to na uwadze, integrator może przedstawić klientowi propozycję przejęcia opieki nad jego systemami bezpieczeństwa.

Istotnym kryterium jest również skalowalność. Większe firmy mogą sobie pozwolić na modyfikacje architektury bezpieczeństwa przez wymianę lub po prostu dokupienie kolejnego rozwiązania. MŚP na ogół nie mają takiego komfortu i dlatego to właśnie im należy przede wszystkim proponować rozwiązania, które umożliwiają łatwą rozbudowę.

 

Bezpieczeństwo z chmury

Przedsiębiorcy coraz bardziej przekonują się do stosowania zabezpieczeń w modelu Security as a Service. Nie wiąże się to z jednorazową inwestycją, co ułatwia zachowanie płynności finansowej i kontroli nad kosztami. Poza tym chmurowy dostawca przejmuje większość zadań związanych zarządzaniem całym systemem.

– Rozwiązania działające w chmurze są atrakcyjne ze względu na kompleksowość, łatwość obsługi, cenę i możliwość działania prewencyjnego, co jest kluczowe w przypadku sektora MŚP – mówi Magdalena Baraniewska, Corporate Channel Sales Manager w F-Secure.

Według opublikowanego w styczniu 2016 r. przez Allied Market Research raportu „World Cloud Security – Market Opportunities and Forecasts, 2014–2020” światowy rynek zabezpieczeń chmurowych osiągnie wartość 8,9 mld dol. w 2020 r. Do tego czasu sprzedaż będzie rosła średnio w tempie 23,5 proc. rocznie (25,7 proc. w segmencie małych i średnich firm). Wzrost ten napędzają z jednej strony rosnąca popularność trendu BYOD i chmury, a z drugiej coraz większa liczba cyberataków i zagrożeń. Największym wzięciem cieszą się zabezpieczenia poczty elektronicznej i stron internetowych, które łącznie mają 24,5 proc. rynku.