כמה עולה אבטחת מידע לעסק קטן? תקציב ריאלי לפי גודל
אין נתון ״ממוצע״ אמיתי — אבל יש מסגרת כנה: הקומה הראשונה של האבטחה עולה 0 ₪, מנהל סיסמאות עולה 4–9$ למשתמש בחודש, והפער בין Microsoft 365 Standard ל-Premium הוא 8$ שקונים EDR וניהול מכשירים (מחירים מאומתים, יולי 2026). פירמידת השקעה לפי עדיפות, תרחישי תקציב ל-5/20/50 עובדים, ומתי CISO חיצוני משתלם.
בסוף כמעט כל שיחת היכרות עם בעל עסק קטן מגיעה אותה שאלה: ״בסדר, הבנתי שצריך. אבל כמה זה הולך לעלות לי?״ והתשובות שהוא כבר שמע נעות בדרך כלל בין ספק שמנסה למכור לו SOC מנוהל בעשרות אלפי שקלים בשנה, לבין ״האחיין שמבין במחשבים״ שאומר שהכול בסדר. שני הקצוות מפספסים את האמת הפשוטה: אבטחת מידע לעסק קטן היא לא מחיר אחד — היא פירמידה של החלטות, שהקומה הראשונה שלה עולה בדיוק אפס שקלים. במאמר הזה נבנה מסגרת תקציב כנה: מה בחינם, מה עולה עשרות שקלים למשתמש בחודש, מתי באמת מוצדק לשלוח יד עמוק לכיס — ומה המחיר של לא להשקיע בכלל.
אין בישראל נתון רשמי על הוצאת אבטחה ממוצעת של עסק קטן — וגם דוח IBM Cost of a Data Breach, המקור המצוטט בעולם לעלויות פרצות, אינו מפרסם נתון ייעודי לישראל. כל מי שזורק ״עסק ממוצע משקיע X בחודש״ — מנחש. מה שכן אפשר, וזה מה שנעשה כאן: לבנות תקציב לפי סדר עדיפויות, מהצעדים עם התשואה הגבוהה ביותר ומטה, עם מחירים אמיתיים ומאומתים היכן שהם קיימים.
הקומה הראשונה: מה שעולה אפס שקלים
זו הנקודה שהכי חשוב להפנים, כי היא הפוכה לאינטואיציה של ״אבטחה = הוצאה״: רוב הצעדים שבאמת מזיזים את המחט לא עולים כסף — הם עולים זמן והחלטה. מחקר של Microsoft מצא שהפעלת אימות רב-שלבי (MFA) חוסמת למעלה מ-99.9% ממתקפות ההשתלטות על חשבונות — וההפעלה שלו כלולה בכל מנוי Microsoft 365 ו-Google Workspace, בלי לשלם שקל נוסף. אותו היגיון חל על שורה של צעדים:
- MFA על כל חשבון עסקי — קודם כול המייל. הצעד עם היחס הכי טוב בין עלות (אפס) לתועלת. פירטנו איך בדיוק במדריך ה-MFA לעסק.
- עדכוני תוכנה אוטומטיים — מחשבים, טלפונים, ראוטר והאתר. כלול במחיר של כל מערכת הפעלה.
- Microsoft Defender המובנה ב-Windows — אנטי-וירוס לגיטימי לגמרי לתחנת עבודה, מופעל כברירת מחדל.
- Security Defaults והקשחת הגדרות בענן שכבר שילמתם עליו — Microsoft 365 או Google Workspace.
- צמצום הרשאות אדמין למי שבאמת חייב, וסגירת גישה ביום העזיבה של עובד.
- רשת Wi-Fi נפרדת לאורחים, בהגדרה אחת בראוטר הקיים.
- דף קשר לאירוע — מי מתקשר למי כשמשהו קורה: מוקד 119, הבנק, הביטוח, איש ה-IT.
אם הרשימה נראית מוכרת — היא אכן שכבת הבסיס של עשרת הצעדים הראשונים לעסק קטן, ששמונה מהם אינם עולים כסף. וזה לא רק תיאוריה: סקר של הסוכנות לעסקים קטנים ובינוניים מ-2024 מצא שהעסקים הקטנים בישראל ממילא נשענים בעיקר על השכבה הזו — 70% משתמשים בתוכנות הגנה מובנות ו-61% בגיבויים תקופתיים. הבעיה בשטח היא כמעט תמיד לא תקציב — אלא שהשכבה החינמית מיושמת חלקית: MFA רק על חלק מהחשבונות, עדכונים ״כשמתפנה״, והרשאות אדמין לכולם.
הקומה השנייה: עשרות שקלים למשתמש בחודש
אחרי שמיציתם את מה שחינם, שלוש ההוצאות הראשונות ששוות כסף אמיתי — במחירים מאומתים מדפי המחירים הרשמיים של היצרנים, נכון ליולי 2026:
מנהל סיסמאות ארגוני. סיסמה ייחודית וחזקה לכל שירות היא בלתי אפשרית בלי כלי, והכלי זול להפתיע: Bitwarden Teams עולה 4$ למשתמש לחודש (ו-6$ בגרסת Enterprise), ו-1Password Business עולה 8.99$ למשתמש לחודש — כולם בחיוב שנתי. לעסק של עשרה עובדים מדובר בסדר גודל של 40–90$ בחודש על סגירת אחד מווקטורי התקיפה הנפוצים ביותר.
שדרוג רישוי האבטחה בענן. כאן מסתתרת אולי ההחלטה המשתלמת ביותר בקומה הזו. לפי מחירון Microsoft הרשמי (9.7.2026), Microsoft 365 Business Standard עולה 14$ למשתמש לחודש (התייקר מ-12.50$ ב-1.7.2026), ו-Business Premium עולה 22$ (ללא שינוי) — שניהם בחיוב שנתי. כלומר: תוספת של 8$ למשתמש בחודש קונה לכם Defender for Business (הגנת EDR על תחנות הקצה), ניהול מכשירים ב-Intune ומדיניות גישה מותנית — יכולות שבנפרד היו עולות יותר ודורשות אינטגרציה.
גיבוי מסודר. הגיבוי המובנה של הענן אינו תוכנית גיבוי — הוא לא מגן מפני מחיקה זדונית של חשבון פרוץ או הצפנת כופרה שמסתנכרנת לענן. פתרון גיבוי ייעודי ל-Microsoft 365/Workspace ולמחשבים עולה בדרך כלל דולרים בודדים למשתמש בחודש, והעיקרון המנחה הוא אסטרטגיית 3-2-1: שלושה עותקים, שני סוגי מדיה, אחד מחוץ לאתר ומנותק.
הקומה השלישית: EDR מנוהל ושירותים — מתי זה מוצדק
מתישהו העסק גדל אל מעבר ליכולת של ״כלים + שכל ישר״. הסימנים שהגיע הזמן לתקציב אבטחה ייעודי ולשירותים מנוהלים:
- 15–20 עובדים ומעלה — כמות החשבונות, המכשירים וההרשאות כבר לא מנוהלת ״מהראש״.
- מידע רגיש בליבת העסק — רפואי, פיננסי, משפטי — שמציב אתכם ברמות האבטחה הגבוהות של תקנות אבטחת מידע.
- לקוחות גדולים או רגולציה ששולחים שאלוני אבטחה ודורשים הוכחות, לא הצהרות.
- אין איש IT פנימי — ואז השאלה ״מי מסתכל על ההתראות?״ נשארת בלי תשובה.
בשלב הזה נכנסים לתמונה EDR מנוהל (MDR) — כלי זיהוי ותגובה בתחנות קצה שמישהו באמת מנטר, הדרכות מודעות שוטפות עם סימולציות פישינג, ובהמשך גם מבדקי חדירה תקופתיים. הכלל החשוב: אל תקנו EDR לפני שמיציתם את הקומות למטה. EDR מעולה לא יציל עסק שאין בו MFA.
לפני כל שקל על כלי חדש, שאלו שלוש שאלות: מי מטמיע אותו? מי מנטר אותו? מי מגיב כשהוא מתריע? כלי אבטחה בלי בעלים הוא מדף יקר. הבזבוז הנפוץ ביותר שאנחנו פוגשים בעסקים קטנים הוא לא ״השקיעו מעט מדי״ — אלא רישיונות אבטחה ששולמו ומעולם לא הוגדרו עד הסוף.
אנשים לפני עוד כלי
לפני שמוסיפים שורה רביעית של תוכנה לתקציב, שווה לזכור איפה הפריצות באמת מתחילות: דוח Verizon DBIR 2026 מצא שהגורם האנושי היה מעורב ב-62% מהפרצות. שום כלי לא מנטרל עובד שמאשר בקשת MFA שלא הוא יזם, או מנהלת חשבונות שמעבירה תשלום לפי מייל ״דחוף מהמנכ״ל״. לכן שקל שמושקע בהדרכת מודעות קצרה ורציפה — רבע שעה בחודש, סימולציות פישינג, נוהל אימות טלפוני לכל שינוי בפרטי תשלום — מחזיר את עצמו לפני השקל שמושקע בכלי הבא. בתקציב מוגבל, זה סדר העדיפויות הנכון.
הצד השני של המשוואה: כמה עולה לא להשקיע
את תקציב האבטחה נכון למדוד מול עלות האירוע שהוא מונע. שתי נקודות ייחוס כנות: בעולם, דוח IBM Cost of a Data Breach 2025 העמיד את העלות הממוצעת של פרצת מידע על 4.44 מיליון דולר — נתון גלובלי שמוטה לארגונים גדולים, ואין כאמור נתון רשמי מקביל לישראל. ובישראל, המקרה המתועד הבולט: מתקפת הכופרה על בית החולים הלל יפה באוקטובר 2021, שעלות ההתאוששות ממנה הוערכה על ידי משרד הבריאות בכ-36 מיליון שקל. עסק קטן לא יגיע למספרים כאלה — אבל שבועיים של השבתה, אובדן קבצים ולקוחות שמאבדים אמון הם תרחיש שעסקים קטנים לא תמיד שורדים.
ומאז 14 באוגוסט 2025 יש גם שורת עלות רגולטורית: תיקון 13 לחוק הגנת הפרטיות העניק לרשות להגנת הפרטיות סמכות להטיל עיצומים כספיים ישירות. הפרות של תקנות אבטחת מידע מדורגות בשלוש רמות — עד 80,000 ₪ למאגר ברמת אבטחה בינונית ועד 320,000 ₪ למאגר ברמה גבוהה, כולל אי-דיווח על אירוע אבטחה חמור. החוק אמנם קובע תקרות מקלות לעסקים קטנים לפי מחזור, אבל הכיוון ברור: מידע אישי בלי אבטחה סבירה הוא כבר לא רק סיכון תפעולי — הוא חשיפה משפטית.
אז כמה אחוז מתקציב ה-IT? עדיף פירמידה
בעולם הארגוני מקובל למדוד את תקציב האבטחה כאחוז מתקציב ה-IT: מחקר הבנצ׳מרק של IANS Research ו-Artico Search ל-2025, שסקר 587 מנהלי אבטחה, מצא ממוצע של 10.9% מתקציב ה-IT (ירידה מ-11.9% שנה קודם). זה נתון אמיתי — אבל הוא נמדד בארגונים שיש להם CISO ותקציב IT מוגדר. לעסק של חמישה עובדים, שכל ה-IT שלו הוא כמה מנויי ענן, אחוזים הם מדד חסר משמעות. מה שעובד בשטח הוא פירמידת עדיפויות: מחליטים כמה אפשר להקצות בחודש, וממלאים את הקומות מלמטה למעלה — בלי לדלג.

- קומה 1 — 0 ₪ בחודש: MFA בכל מקום, עדכונים אוטומטיים, Defender מובנה, צמצום הרשאות, רשת אורחים, נוהל עזיבת עובד, דף קשר לאירוע.
- קומה 2 — עד ~500 ₪ בחודש: מנהל סיסמאות לכל הצוות, גיבוי ענן ייעודי לפי 3-2-1, שדרוג רישוי אבטחה (למשל הפער ל-Business Premium).
- קומה 3 — עד ~2,000 ₪ בחודש: EDR מנוהל על כל תחנות הקצה, תוכנית מודעות שוטפת עם סימולציות פישינג, הקשחה מקצועית חד-פעמית של סביבת הענן.
- קומה 4 — ~10,000 ₪ בחודש ומעלה: ליווי CISO חיצוני קבוע, ניטור MDR/SOC, מבדקי חדירה תקופתיים ומוכנות לתקנים ורגולציה.
שלושה תרחישים להמחשה: 5, 20 ו-50 עובדים
המספרים בטבלה הם תרחישים מייצגים שבנינו להמחשת סדרי גודל, בהתבסס על מחירוני יצרנים פומביים (יולי 2026) ועל ניסיון מהשטח — לא סקר שוק ולא הצעת מחיר. העלות בפועל תלויה בכלים שתבחרו, במורכבות הסביבה ובשער הדולר.
| רכיב (עלות חודשית, ₪) | משרד של 5 עובדים | חברה של 20 עובדים | חברה של 50 עובדים |
|---|---|---|---|
| היגיינה בסיסית (MFA, עדכונים, הגדרות) | 0 | 0 | 0 |
| מנהל סיסמאות | ~80 | ~300 | ~800 |
| שדרוג רישוי אבטחה בענן | ~150 | ~600 | ~1,500 |
| גיבוי ייעודי (3-2-1) | ~100 | ~300 | ~700 |
| EDR מנוהל | — | ~800 | ~2,500 |
| מודעות והדרכות | פנימי, 0 | ~300 | ~600 |
| ליווי CISO חיצוני | — | — | ~4,000–6,000 |
| מבדק חדירה שנתי (בפריסה חודשית) | — | — | ~1,000 |
| סה״כ סדר גודל | ~300–400 | ~2,000–3,000 | ~10,000–13,000 |

שימו לב לדפוס: התקציב לא גדל ליניארית עם מספר העובדים — הוא גדל במדרגות, כשכל מדרגה מוסיפה שכבת יכולת ולא רק רישיונות. משרד של חמישה עובדים שמוציא 400 ₪ בחודש על הקומות הנכונות מוגן טוב יותר מחברה של חמישים שקנתה כלי אחד יקר ודילגה על הבסיס.
מתי שירות CISO חיצוני משתלם
בקומה הרביעית נמצאת ההחלטה שהיא הכי פחות ״מוצר״: מישהו שמנהל את כל זה. מנהל אבטחת מידע שכיר הוא הוצאה שרוב העסקים הקטנים לא יכולים ולא צריכים לשאת — אבל שירות CISO חיצוני בהיקף של ימים בודדים בחודש נותן את אותה פונקציה בעשירית מהעלות: מישהו שקובע סדרי עדיפויות, בוחר כלים בלי ניגוד עניינים של מי שמוכר אותם, עומד מול שאלוני לקוחות ורגולציה, ומוודא שכל שקל בפירמידה עובד. הסימן שהגיע הזמן: כשאתם מגלים שאתם מקבלים החלטות אבטחה לפי מי שהתקשר אחרון למכור לכם משהו.
צ׳קליסט לשבוע הקרוב
- עברו על שבעת סעיפי הקומה החינמית ותסמנו מה באמת מיושם עד הסוף — MFA על כל החשבונות, לא על רובם.
- בדקו מה אתם כבר משלמים: לא מעט עסקים מחזיקים רישוי Business Premium בלי שהיכולות שלו הופעלו מעולם.
- תמחרו מנהל סיסמאות לפי מספר המשתמשים שלכם מול דפי המחירים הרשמיים — זו החלטה של פחות משעה.
- מפו איפה יושב המידע הרגיש של הלקוחות ומה יקרה אם יימחק מחר — זה גם הבסיס לחובות שלכם לפי תיקון 13.
- קבעו סכום חודשי קבוע לאבטחה — גם 300 ₪ — והתחילו למלא את הפירמידה מלמטה.
- אם יש לכם מידע רגיש, לקוחות גדולים או דרישות רגולציה — קבעו שיחה עם גורם מקצועי לפני שקונים את הכלי הבא.
השורה התחתונה: השאלה ״כמה עולה אבטחת מידע?״ היא שאלה נכונה עם הנחה שגויה — שמדובר במחיר כניסה אחד. בפועל, עסק קטן יכול להיות מוגן היטב ב-0 עד כמה מאות שקלים בחודש, ולדעת בדיוק מתי ולמה כדאי לו לטפס קומה. מה שיקר באמת הוא לא האבטחה — אלא לקנות אותה בסדר הלא נכון.
לא בטוחים באיזו קומה של הפירמידה אתם — ומה שווה לכם לממן קודם? Cybertis מלווה עסקים קטנים ובינוניים בשירות CISO חיצוני: בניית תוכנית אבטחה לפי תקציב אמיתי, בחירת כלים בלי ניגוד עניינים, ועמידה מול דרישות תיקון 13 ולקוחות. שיחת ההיכרות עלינו.
לשירות CISO חיצוני לעסק*המחירים במאמר נבדקו מול דפי המחירים הרשמיים של היצרנים ב-9.7.2026 ועשויים להשתנות; הם נקובים בדולר ארה״ב כפי שהיצרנים מפרסמים אותם. תרחישי התקציב הם להמחשה בלבד. האמור במאמר הוא מידע כללי ואינו מהווה ייעוץ מקצועי מחייב או הצעת מחיר.*