組織不必花費(fèi)太多時間評估網(wǎng)絡(luò)安全情況，以了解自身業(yè)務(wù)安全。因?yàn)闊o論組織的規(guī)模多大，在這種環(huán)境下都面臨著巨大的風(fēng)險。但是，知道風(fēng)險有多大嗎?

關(guān)注中小企業(yè)

網(wǎng)絡(luò)犯罪分子多年來一直針對大型企業(yè)進(jìn)行網(wǎng)絡(luò)攻擊，這導(dǎo)致許多中小企業(yè)認(rèn)為他們在某種程度上是免疫的。但是情況并非如此。其實(shí)中小企業(yè)面臨著更大的風(fēng)險，因?yàn)楹诳椭涝S多公司缺乏安全基礎(chǔ)設(shè)施來抵御攻擊。

根據(jù)調(diào)研機(jī)構(gòu)的調(diào)查，目前43%的網(wǎng)絡(luò)攻擊是針對中小企業(yè)的。盡管如此，只有14%的中小企業(yè)將其網(wǎng)絡(luò)風(fēng)險、漏洞和攻擊的能力評估為“高效”。

最可怕的是，有60%的小企業(yè)在網(wǎng)絡(luò)攻擊發(fā)生后的六個月內(nèi)被迫關(guān)閉。

換句話說，如果是一家財富500強(qiáng)公司或美國的家族企業(yè)，網(wǎng)絡(luò)威脅并不能造成這么大的損失，并且這些公司將會制定計(jì)劃來保護(hù)自己免遭代價昂貴的攻擊。

以下是一些可幫助評估組織的整體風(fēng)險水平的提示：

1. 識別威脅

在評估風(fēng)險時，第一步是識別威脅。每個組織都面臨著自己的一系列獨(dú)特威脅，但一些最常見的威脅包括：

• 惡意軟件和勒索軟件攻擊
• 未經(jīng)授權(quán)的訪問
• 授權(quán)用戶濫用信息
• 無意的人為錯誤
• 由于備份流程不佳導(dǎo)致數(shù)據(jù)丟失
• 數(shù)據(jù)泄漏

識別面臨的威脅將使組織能夠了解薄弱環(huán)節(jié)，并制定應(yīng)急計(jì)劃。

2. 利用評估工具

組織不必獨(dú)自去做任何事情。根據(jù)目前正在使用的解決方案和系統(tǒng)，市場上有許多評估工具和測試可以幫助組織了解正在發(fā)生的事情。

微軟安全評估和規(guī)劃工具包就是一個例子。組織會看到“解決方案加速器”，它們基本上是基于場景的指南，可幫助IT專業(yè)人員處理與其當(dāng)前基礎(chǔ)設(shè)施相關(guān)的風(fēng)險和威脅。

利用評估工具可以幫助組織在相當(dāng)混亂和分散的環(huán)境中找到清晰的信息。

3. 確定風(fēng)險等級

了解組織面臨的威脅是一回事，但某些威脅比其他威脅更危險。為了描繪出威脅的精確圖像，重要的是要指定風(fēng)險級別。

低影響風(fēng)險對組織的未來影響微乎其微或不存在。中等影響風(fēng)險具有破壞性，但可以通過正確的步驟恢復(fù)。高影響的風(fēng)險是巨大的，可能會對組織產(chǎn)生永久性的影響。

4. 雇用外部公司

有時候引入一家外部安全公司來進(jìn)行風(fēng)險評估，并確定組織是否已經(jīng)被入侵或被攻破會很有幫助。

“獨(dú)立滲透測試也是測試組織的彈性和準(zhǔn)備情況的有效方法。”安全雜志的Steven Chabinsky寫道，“把門鎖上是一回事，測試是否有人能夠超越侵入是另一回事。”

雖然與外部公司合作并訂購獨(dú)立滲透測試的成本可能很高，但這遠(yuǎn)遠(yuǎn)低于實(shí)際受到黑客攻擊的損失。

始終知道自己的情況

網(wǎng)絡(luò)安全并不是一件組織可以置之不理的事情。組織總是需要知道自己的情況，這樣才能適當(dāng)?shù)乇Ｗo(hù)自己的業(yè)務(wù)、員工和客戶。正式和非正式風(fēng)險評估將幫助組織有效地應(yīng)對風(fēng)險。