Почему "или"?!
И! Только "И"!
Без программных комплексов по защите информации Вы не сможете добиться ровным счётом ничего. Нет, конечно, всегда есть вариант почтового ящика и полностью изолированной связи с внешним миром - но удалённый доступ через некоторые хитроза...мороченные физические способы никто не отменял.
Без специалиста по настройке и эксплуатации этих самых комплексов Вы рискуете получить относительно безопасную информационную среду, подавляющая часть ресурсов которой будет отжираться средствами безопасность. При наличии специалиста будет, в прочем, то же самое - но не настолько больно.
Ну и без ещё одного специалиста, по нормативному обеспечению, вся Ваша безопасная и даже работающая среда будет доблестно прикрыта при первой же внешней проверке за применение несанкционированных средств защиты информации. Либо, что хуже - за несоответствие некоторым критериям, которые смотрятся параноидально только с точки зрения практики реализации. А с нормативной позиции - вполне себе оправданы.
Примеры:
- На предприятии вообще нет средств защиты информации. Одно неловкое движение мышкой по экрану у младшего помощника заместителя бухгалтера - и бюджет улетает куда-то на Африканский континент, целиком и полностью. А все принтеры начинают после запитой цитировать Загиб Петра Великого.
- Средства - есть, профессионала в настройке - нет. Раз в три часа все компьютеры в организации устраивают сеанс медитации, а раз в пару дней - уходят в длинную перезагрузку.
- Всё есть, кроме нормативщика. Приходит проверка и видит, что (например!) на государственном предприятии часть вычислений выполняется где-то на AmazonCloud. В защищённой среде, но - выполняется. Холст, масло, пот, срок, слёзы.