過去幾年，中小企業(yè)的風(fēng)險態(tài)勢發(fā)生了很大變化。坦率地說：小企業(yè)繼承了一系列數(shù)字風(fēng)險。其中許多風(fēng)險，例如供應(yīng)鏈和云相關(guān)風(fēng)險，可能會傷害和摧毀小企業(yè)。同時，擁有更多資源的企業(yè)可以承受沖擊。需要何時以及如何提高小型企業(yè)的網(wǎng)絡(luò)安全呢?

也有非數(shù)字風(fēng)險，如：想想制造、原材料和非軟件供應(yīng)鏈問題。這些使運(yùn)營變得脆弱，但仍可能在某處留下數(shù)字蹤跡。這些問題也會影響小企業(yè)，而小企業(yè)本身對它們的影響很小。以美國為例，根據(jù)美國小企業(yè)管理局 (SBA) 的數(shù)據(jù)，即使在 COVID-19 停工期間，小企業(yè)仍占美國企業(yè)的近 99.9%，雇傭了近一半的勞動力。因此，在對經(jīng)濟(jì)穩(wěn)定造成如此巨大影響和威脅的情況下，SBA 為小企業(yè)提供一些基本指導(dǎo)以使其免受網(wǎng)絡(luò)安全威脅并從災(zāi)難中恢復(fù)也就不足為奇了。同理，在我國中小企業(yè)也是龐大的數(shù)字支撐，同樣在疫情之下能夠吸納非常多的勞動力。但對小企業(yè)來說也有好消息。他們可以利用一些企業(yè)級材料變得更有彈性。概念和方法通常是相同的，根據(jù)規(guī)模和范圍調(diào)整的是應(yīng)用和細(xì)節(jié)。網(wǎng)絡(luò)安全的防護(hù)手段，是世界通用的。美國可以用的，我們自然也可以借鑒之。

為什么小型企業(yè)網(wǎng)絡(luò)安全很重要?

以前，小企業(yè)享有一定的“網(wǎng)絡(luò)免疫力”。坦率地說，操作更簡單，至少從技術(shù)意義上來說。由于依賴較少，例如不依賴數(shù)字?jǐn)?shù)據(jù)庫，因此更容易抵御“網(wǎng)絡(luò)風(fēng)暴”。小型企業(yè)更有可能使用紙質(zhì)記錄，它們面臨不同類型的威脅，但仍然受到數(shù)字空間的保護(hù)。但是，由于電子商務(wù)，其中許多保護(hù)措施已被削弱。老式收銀機(jī)或銅線、調(diào)制解調(diào)器連接的信用卡授權(quán)機(jī)現(xiàn)在被手機(jī)、讀卡器適配器和5G 連接所取代。在一家小型家族企業(yè)中長大，持有的最接近客戶數(shù)據(jù)的東西是信用卡碳印記單。我們在短時間內(nèi)銷毀了這些單據(jù)，一旦我們知道交易完成并且沒有客戶跟進(jìn)。在那個年代，我擔(dān)心的唯一違規(guī)行為是晚上有一個竊賊闖入大門。

具有企業(yè)能力的小型企業(yè)網(wǎng)絡(luò)安全

但對于小企業(yè)來說，今天的風(fēng)險狀況發(fā)生了變化。不管他們是否知道，都在使用企業(yè)級功能(軟件、云計算、支付處理、連接)，從而導(dǎo)致風(fēng)險繼承。如今，小型企業(yè)必須審查與服務(wù)提供商的合同，以確定數(shù)據(jù)駐留、保留和銷毀要求?；蛘撸麄儽仨毧紤]替代云提供商和網(wǎng)絡(luò)主機(jī)來涵蓋小型企業(yè)的網(wǎng)絡(luò)安全。這種效率交易也有一個警告。作為一家小型企業(yè)，除非您支付高價，否則您可能無法獲得所需的優(yōu)先權(quán)。企業(yè)可能會在數(shù)百萬美元的損失中幸存下來。但是，對于一家小企業(yè)來說，在錯誤的時間失去幾筆巨款，你的大門就會永遠(yuǎn)關(guān)閉。進(jìn)入風(fēng)險評估。它旨在告知風(fēng)險偏好、確定資源分配領(lǐng)域并管理年度網(wǎng)絡(luò)安全預(yù)算。

將基于風(fēng)險的方法融入小型企業(yè)

小型企業(yè)可能會有人戴兩頂帽子和三頂帽子。企業(yè)主發(fā)現(xiàn)自己同時擔(dān)任首席執(zhí)行官、首席財務(wù)官、首席信息安全官和清理人員的工作并不少見。但無論是小型企業(yè)中的一個人，還是企業(yè)中的多人，都有一些關(guān)鍵問題可以幫助量化安全風(fēng)險。 風(fēng)險量化智能論文中找到這些內(nèi)容：

• 如何構(gòu)建有關(guān)風(fēng)險的業(yè)務(wù)案例?
• 小型企業(yè)網(wǎng)絡(luò)安全工具的總體投資回報率是多少?
• 如何解決漏洞和威脅?
• 公司如何避免下一個頭條或生存?

統(tǒng)一這些發(fā)現(xiàn)可以幫助小型企業(yè)決定要修復(fù)什么、管理什么以及外包什么。以下是一些問題，在得到回答后，可以協(xié)調(diào)工作并確定優(yōu)先事項：

• 對小企業(yè)的網(wǎng)絡(luò)安全風(fēng)險有很好的理解或共識嗎?
• 是否所有相關(guān)的利益相關(guān)者都從相關(guān)的角度看待風(fēng)險?
• 是否存在評估風(fēng)險的通用語言?
• 是否擁有做出正確決定所需的信息?
• 安全策略是否與業(yè)務(wù)策略不符?對于小型企業(yè)來說，為了進(jìn)一步了解這一點，是否有安全策略?
• 有衡量風(fēng)險的方法嗎?

充分利用有限資源的價值

在小型企業(yè)網(wǎng)絡(luò)安全方面，有些事情很容易解決。意識和培訓(xùn)是肘部油脂。即使對于那些不想花太多錢的人來說，也有很多選擇。存在免費(fèi)和低成本的工具。如果正在管理自己的基礎(chǔ)架構(gòu)，那么，如果沒有很好地維護(hù)它，那么成本可能會更高。一些托管服務(wù)提供商的幫助可以在這里使用。甚至可以考慮外包一些服務(wù)，或者發(fā)現(xiàn)使用的服務(wù)提供商對我們來說風(fēng)險太大。如果負(fù)擔(dān)得起，甚至可以考慮進(jìn)行快速的第三方評估，以了解風(fēng)險在哪里，包括可見或隱藏的風(fēng)險。

風(fēng)險評估有所作為

這一切都在風(fēng)險評估中。NIST SP 800-30 風(fēng)險評估指南等指南的原則，即使是為政府和企業(yè)設(shè)計的，仍然適用于小型企業(yè)。像這樣的文件中的材料會引起企業(yè)主的共鳴，即使只是看一眼執(zhí)行摘要。最后，小企業(yè)的主要收獲是：由于不是你自己的過錯，卻繼承了一系列可能讓你措手不及的風(fēng)險。由于這些風(fēng)險現(xiàn)在就在軌道上，因此請進(jìn)行風(fēng)險評估，找出對業(yè)務(wù)重要的事情，制定具有成本效益的戰(zhàn)略，通過合理的投資保護(hù)業(yè)務(wù)，并決定修復(fù)、管理什么，最后外包。