小型企业网络安全：修复什么、管理什么以及外包什么

过去几年，中小企业的风险态势发生了很大变化。坦率地说：小企业继承了一系列数字风险。其中许多风险，例如供应链和云相关风险，可能会伤害和摧毁小企业。同时，拥有更多资源的企业可以承受冲击。需要何时以及如何提高小型企业的网络安全呢?

也有非数字风险，如：想想制造、原材料和非软件供应链问题。这些使运营变得脆弱，但仍可能在某处留下数字踪迹。这些问题也会影响小企业，而小企业本身对它们的影响很小。以美国为例，根据美国小企业管理局 (SBA) 的数据，即使在 COVID-19 停工期间，小企业仍占美国企业的近 99.9%，雇佣了近一半的劳动力。因此，在对经济稳定造成如此巨大影响和威胁的情况下，SBA 为小企业提供一些基本指导以使其免受网络安全威胁并从灾难中恢复也就不足为奇了。同理，在我国中小企业也是庞大的数字支撑，同样在疫情之下能够吸纳非常多的劳动力。但对小企业来说也有好消息。他们可以利用一些企业级材料变得更有弹性。概念和方法通常是相同的，根据规模和范围调整的是应用和细节。网络安全的防护手段，是世界通用的。美国可以用的，我们自然也可以借鉴之。

为什么小型企业网络安全很重要?

以前，小企业享有一定的“网络免疫力”。坦率地说，操作更简单，至少从技术意义上来说。由于依赖较少，例如不依赖数字数据库，因此更容易抵御“网络风暴”。小型企业更有可能使用纸质记录，它们面临不同类型的威胁，但仍然受到数字空间的保护。但是，由于电子商务，其中许多保护措施已被削弱。老式收银机或铜线、调制解调器连接的信用卡授权机现在被手机、读卡器适配器和5G 连接所取代。在一家小型家族企业中长大，持有的最接近客户数据的东西是信用卡碳印记单。我们在短时间内销毁了这些单据，一旦我们知道交易完成并且没有客户跟进。在那个年代，我担心的唯一违规行为是晚上有一个窃贼闯入大门。

具有企业能力的小型企业网络安全

但对于小企业来说，今天的风险状况发生了变化。不管他们是否知道，都在使用企业级功能(软件、云计算、支付处理、连接)，从而导致风险继承。如今，小型企业必须审查与服务提供商的合同，以确定数据驻留、保留和销毁要求。或者，他们必须考虑替代云提供商和网络主机来涵盖小型企业的网络安全。这种效率交易也有一个警告。作为一家小型企业，除非您支付高价，否则您可能无法获得所需的优先权。企业可能会在数百万美元的损失中幸存下来。但是，对于一家小企业来说，在错误的时间失去几笔巨款，你的大门就会永远关闭。进入风险评估。它旨在告知风险偏好、确定资源分配领域并管理年度网络安全预算。

将基于风险的方法融入小型企业

小型企业可能会有人戴两顶帽子和三顶帽子。企业主发现自己同时担任首席执行官、首席财务官、首席信息安全官和清理人员的工作并不少见。但无论是小型企业中的一个人，还是企业中的多人，都有一些关键问题可以帮助量化安全风险。 风险量化智能论文中找到这些内容：

• 如何构建有关风险的业务案例?
• 小型企业网络安全工具的总体投资回报率是多少?
• 如何解决漏洞和威胁?
• 公司如何避免下一个头条或生存?

统一这些发现可以帮助小型企业决定要修复什么、管理什么以及外包什么。以下是一些问题，在得到回答后，可以协调工作并确定优先事项：

• 对小企业的网络安全风险有很好的理解或共识吗?
• 是否所有相关的利益相关者都从相关的角度看待风险?
• 是否存在评估风险的通用语言?
• 是否拥有做出正确决定所需的信息?
• 安全策略是否与业务策略不符?对于小型企业来说，为了进一步了解这一点，是否有安全策略?
• 有衡量风险的方法吗?

充分利用有限资源的价值

在小型企业网络安全方面，有些事情很容易解决。意识和培训是肘部油脂。即使对于那些不想花太多钱的人来说，也有很多选择。存在免费和低成本的工具。如果正在管理自己的基础架构，那么，如果没有很好地维护它，那么成本可能会更高。一些托管服务提供商的帮助可以在这里使用。甚至可以考虑外包一些服务，或者发现使用的服务提供商对我们来说风险太大。如果负担得起，甚至可以考虑进行快速的第三方评估，以了解风险在哪里，包括可见或隐藏的风险。

风险评估有所作为

这一切都在风险评估中。NIST SP 800-30 风险评估指南等指南的原则，即使是为政府和企业设计的，仍然适用于小型企业。像这样的文件中的材料会引起企业主的共鸣，即使只是看一眼执行摘要。最后，小企业的主要收获是：由于不是你自己的过错，却继承了一系列可能让你措手不及的风险。由于这些风险现在就在轨道上，因此请进行风险评估，找出对业务重要的事情，制定具有成本效益的战略，通过合理的投资保护业务，并决定修复、管理什么，最后外包。