过去几年,中小企业的风险格局发生了很大变化。让我们直言不讳:小型企业继承了大量数字风险。其中许多风险,例如供应链和云相关风险,可能会伤害和摧毁小型企业。同时,拥有更多资源的企业可以吸收冲击。小型企业何时以及如何需要改善其网络安全?也存在非数字风险,想想制造、原材料和非软件供应链问题。这些使操作变得脆弱,但仍可能在某处留下数字痕迹。这些问题也影响小企业,而小企业本身对他们影响不大。例如,根据美国小企业管理局(SBA)的数据,在美国,即使在COVID-19停工期间,小企业也占美国企业的近99.9%,雇用了近一半的劳动力。因此,鉴于经济稳定受到如此巨大的影响和威胁,SBA为小企业提供一些基本指导以保护自己免受网络安全威胁并从灾难中恢复也就不足为奇了。同理,我国的中小企业也是一个巨大的数字化支撑,在疫情下也可以吸纳大量劳动力。但对小企业来说也有好消息。使用一些企业级材料可以使它们更具弹性。概念和方法大体相同,只是应用和细节根据规模和范围进行了调整。网络安全保护的手段在国际上是通用的。美国能用到的,我们自然可以借鉴。为什么小型企业网络安全很重要?此前,小企业享有一定程度的“网络免疫力”。坦率地说,它操作起来更简单,至少在技术意义上是这样。例如,对数字数据库的依赖越少,就越容易抵御“网络风暴”。更可能使用纸质记录的小型企业面临着不同类型的威胁,但仍受到数字空间的保护。但是,由于电子商务,其中许多保护措施已被削弱。老式收银机或铜线、调制解调器连接的信用卡授权机现在已被手机、读卡器适配器和5G连接所取代。在一家小型家族企业中成长,与客户数据最接近的东西是信用卡碳邮票单。一旦我们知道交易已经完成并且没有客户跟进,我们就会在短时间内销毁单据。在那些日子里,我唯一担心的违规行为就是窃贼在夜间闯入大门。具有企业能力的小型企业网络安全但是对于小型企业而言,当今的风险格局已经发生了变化。企业级功能(软件、云计算、支付处理、连接)正在被使用,无论他们是否知道,导致风险继承。如今,小型企业必须审查与服务提供商签订的合同,以确定数据驻留、保留和销毁要求。或者,他们必须考虑替代云提供商和Web主机来覆盖小型企业网络安全。这种效率交易也有一个警告。作为一家小型企业,除非您支付高价,否则您可能无法获得所需的优先权。企业可能会遭受数百万美元的损失。但是,对于一家小企业来说,在错误的时间损失几笔大钱,你的大门可能会永远关上。输入风险评估。它旨在告知风险偏好、确定资源分配领域以及管理年度网络安全预算。将基于风险的方法纳入小型企业小型企业可能有人戴着两顶帽子和三顶帽子。企业主发现自己同时担任CEO、CFO、CISO和清洁工的情况并不少见。但无论是小型企业中的一个人,还是企业中的多人,都有一些关键问题可以帮助量化安全风险。在定量风险情报论文中找到这些内容:如何构建风险业务案例?小型企业网络安全工具的总体投资回报率是多少?您如何解决漏洞和威胁?公司如何避免下一个头条新闻或生存?统一这些发现可以帮助小型企业决定修复什么、管理什么以及外包什么。以下是一些问题,如果得到回答,可以协调工作并确定优先事项:是否对小型企业的网络安全风险有很好的理解或共识?是否所有相关利益相关者都以相关术语看待风险?是是否有用于评估风险的通用语言?您是否拥有做出正确决策所需的信息?安全策略是否与业务策略不一致?对于小型企业,要进一步了解这一点,是否有安全政策?有没有办法衡量风险?充分利用有限资源的价值在小型企业网络安全方面,有些事情很容易解决。意识和培训是肘部油脂。即使对于那些不想花太多钱的人来说,也有很多选择。存在免费和低成本的工具。如果您管理自己的基础设施,如果维护不善,成本可能会更高。可以在此处使用一些托管服务提供商的帮助。甚至可能考虑外包一些服务,或者发现所使用的服务提供商对我们来说风险太大。如果您负担得起,甚至可以考虑进行快速的第三方评估,看看风险在哪里,是可见的还是隐藏的。风险评估大有作为这一切都在风险评估中。NISTSP800-30风险评估指南等指南的原则,尽管它们是为政府和企业设计的,但仍然适用于小型企业。像这样的文件中的材料会引起企业主的共鸣,即使只是看一眼执行摘要。最后,小型企业的主要收获是,如果不是您自己的过错,您将继承一大堆可能让您措手不及的风险。由于这些风险现在已经步入正轨,因此请进行风险评估,找出对业务重要的因素,制定具有成本效益的战略以通过合理的投资保护业务,并决定修复、管理和最终外包的内容。
