過去幾年，中小企業(yè)的風險態(tài)勢發(fā)生了很大變化。坦率地說：小企業(yè)繼承了一系列數(shù)字風險。其中許多風險，例如供應鏈和云相關風險，可能會傷害和摧毀小企業(yè)。同時，擁有更多資源的企業(yè)可以承受沖擊。需要何時以及如何提高小型企業(yè)的網絡安全呢?

也有非數(shù)字風險，如：想想制造、原材料和非軟件供應鏈問題。這些使運營變得脆弱，但仍可能在某處留下數(shù)字蹤跡。這些問題也會影響小企業(yè)，而小企業(yè)本身對它們的影響很小。以美國為例，根據(jù)美國小企業(yè)管理局 (SBA) 的數(shù)據(jù)，即使在 COVID-19 停工期間，小企業(yè)仍占美國企業(yè)的近 99.9%，雇傭了近一半的勞動力。因此，在對經濟穩(wěn)定造成如此巨大影響和威脅的情況下，SBA 為小企業(yè)提供一些基本指導以使其免受網絡安全威脅并從災難中恢復也就不足為奇了。同理，在我國中小企業(yè)也是龐大的數(shù)字支撐，同樣在疫情之下能夠吸納非常多的勞動力。但對小企業(yè)來說也有好消息。他們可以利用一些企業(yè)級材料變得更有彈性。概念和方法通常是相同的，根據(jù)規(guī)模和范圍調整的是應用和細節(jié)。網絡安全的防護手段，是世界通用的。美國可以用的，我們自然也可以借鑒之。

為什么小型企業(yè)網絡安全很重要?

以前，小企業(yè)享有一定的“網絡免疫力”。坦率地說，操作更簡單，至少從技術意義上來說。由于依賴較少，例如不依賴數(shù)字數(shù)據(jù)庫，因此更容易抵御“網絡風暴”。小型企業(yè)更有可能使用紙質記錄，它們面臨不同類型的威脅，但仍然受到數(shù)字空間的保護。但是，由于電子商務，其中許多保護措施已被削弱。老式收銀機或銅線、調制解調器連接的信用卡授權機現(xiàn)在被手機、讀卡器適配器和5G 連接所取代。在一家小型家族企業(yè)中長大，持有的最接近客戶數(shù)據(jù)的東西是信用卡碳印記單。我們在短時間內銷毀了這些單據(jù)，一旦我們知道交易完成并且沒有客戶跟進。在那個年代，我擔心的唯一違規(guī)行為是晚上有一個竊賊闖入大門。

具有企業(yè)能力的小型企業(yè)網絡安全

但對于小企業(yè)來說，今天的風險狀況發(fā)生了變化。不管他們是否知道，都在使用企業(yè)級功能(軟件、云計算、支付處理、連接)，從而導致風險繼承。如今，小型企業(yè)必須審查與服務提供商的合同，以確定數(shù)據(jù)駐留、保留和銷毀要求?；蛘撸麄儽仨毧紤]替代云提供商和網絡主機來涵蓋小型企業(yè)的網絡安全。這種效率交易也有一個警告。作為一家小型企業(yè)，除非您支付高價，否則您可能無法獲得所需的優(yōu)先權。企業(yè)可能會在數(shù)百萬美元的損失中幸存下來。但是，對于一家小企業(yè)來說，在錯誤的時間失去幾筆巨款，你的大門就會永遠關閉。進入風險評估。它旨在告知風險偏好、確定資源分配領域并管理年度網絡安全預算。

將基于風險的方法融入小型企業(yè)

小型企業(yè)可能會有人戴兩頂帽子和三頂帽子。企業(yè)主發(fā)現(xiàn)自己同時擔任首席執(zhí)行官、首席財務官、首席信息安全官和清理人員的工作并不少見。但無論是小型企業(yè)中的一個人，還是企業(yè)中的多人，都有一些關鍵問題可以幫助量化安全風險。 風險量化智能論文中找到這些內容：

• 如何構建有關風險的業(yè)務案例?
• 小型企業(yè)網絡安全工具的總體投資回報率是多少?
• 如何解決漏洞和威脅?
• 公司如何避免下一個頭條或生存?

統(tǒng)一這些發(fā)現(xiàn)可以幫助小型企業(yè)決定要修復什么、管理什么以及外包什么。以下是一些問題，在得到回答后，可以協(xié)調工作并確定優(yōu)先事項：

• 對小企業(yè)的網絡安全風險有很好的理解或共識嗎?
• 是否所有相關的利益相關者都從相關的角度看待風險?
• 是否存在評估風險的通用語言?
• 是否擁有做出正確決定所需的信息?
• 安全策略是否與業(yè)務策略不符?對于小型企業(yè)來說，為了進一步了解這一點，是否有安全策略?
• 有衡量風險的方法嗎?

充分利用有限資源的價值

在小型企業(yè)網絡安全方面，有些事情很容易解決。意識和培訓是肘部油脂。即使對于那些不想花太多錢的人來說，也有很多選擇。存在免費和低成本的工具。如果正在管理自己的基礎架構，那么，如果沒有很好地維護它，那么成本可能會更高。一些托管服務提供商的幫助可以在這里使用。甚至可以考慮外包一些服務，或者發(fā)現(xiàn)使用的服務提供商對我們來說風險太大。如果負擔得起，甚至可以考慮進行快速的第三方評估，以了解風險在哪里，包括可見或隱藏的風險。

風險評估有所作為

這一切都在風險評估中。NIST SP 800-30 風險評估指南等指南的原則，即使是為政府和企業(yè)設計的，仍然適用于小型企業(yè)。像這樣的文件中的材料會引起企業(yè)主的共鳴，即使只是看一眼執(zhí)行摘要。最后，小企業(yè)的主要收獲是：由于不是你自己的過錯，卻繼承了一系列可能讓你措手不及的風險。由于這些風險現(xiàn)在就在軌道上，因此請進行風險評估，找出對業(yè)務重要的事情，制定具有成本效益的戰(zhàn)略，通過合理的投資保護業(yè)務，并決定修復、管理什么，最后外包。