過去幾年，中小企業的風險態勢發生了很大變化。坦率地說：小企業繼承了一系列數字風險。其中許多風險，例如供應鏈和云相關風險，可能會傷害和摧毀小企業。同時，擁有更多資源的企業可以承受沖擊。需要何時以及如何提高小型企業的網絡安全呢?

也有非數字風險，如：想想制造、原材料和非軟件供應鏈問題。這些使運營變得脆弱，但仍可能在某處留下數字蹤跡。這些問題也會影響小企業，而小企業本身對它們的影響很小。以美國為例，根據美國小企業管理局 (SBA) 的數據，即使在 COVID-19 停工期間，小企業仍占美國企業的近 99.9%，雇傭了近一半的勞動力。因此，在對經濟穩定造成如此巨大影響和威脅的情況下，SBA 為小企業提供一些基本指導以使其免受網絡安全威脅并從災難中恢復也就不足為奇了。同理，在我國中小企業也是龐大的數字支撐，同樣在疫情之下能夠吸納非常多的勞動力。但對小企業來說也有好消息。他們可以利用一些企業級材料變得更有彈性。概念和方法通常是相同的，根據規模和范圍調整的是應用和細節。網絡安全的防護手段，是世界通用的。美國可以用的，我們自然也可以借鑒之。

為什么小型企業網絡安全很重要?

以前，小企業享有一定的“網絡免疫力”。坦率地說，操作更簡單，至少從技術意義上來說。由于依賴較少，例如不依賴數字數據庫，因此更容易抵御“網絡風暴”。小型企業更有可能使用紙質記錄，它們面臨不同類型的威脅，但仍然受到數字空間的保護。但是，由于電子商務，其中許多保護措施已被削弱。老式收銀機或銅線、調制解調器連接的信用卡授權機現在被手機、讀卡器適配器和5G 連接所取代。在一家小型家族企業中長大，持有的最接近客戶數據的東西是信用卡碳印記單。我們在短時間內銷毀了這些單據，一旦我們知道交易完成并且沒有客戶跟進。在那個年代，我擔心的唯一違規行為是晚上有一個竊賊闖入大門。

具有企業能力的小型企業網絡安全

但對于小企業來說，今天的風險狀況發生了變化。不管他們是否知道，都在使用企業級功能(軟件、云計算、支付處理、連接)，從而導致風險繼承。如今，小型企業必須審查與服務提供商的合同，以確定數據駐留、保留和銷毀要求。或者，他們必須考慮替代云提供商和網絡主機來涵蓋小型企業的網絡安全。這種效率交易也有一個警告。作為一家小型企業，除非您支付高價，否則您可能無法獲得所需的優先權。企業可能會在數百萬美元的損失中幸存下來。但是，對于一家小企業來說，在錯誤的時間失去幾筆巨款，你的大門就會永遠關閉。進入風險評估。它旨在告知風險偏好、確定資源分配領域并管理年度網絡安全預算。

將基于風險的方法融入小型企業

小型企業可能會有人戴兩頂帽子和三頂帽子。企業主發現自己同時擔任首席執行官、首席財務官、首席信息安全官和清理人員的工作并不少見。但無論是小型企業中的一個人，還是企業中的多人，都有一些關鍵問題可以幫助量化安全風險。 風險量化智能論文中找到這些內容：

• 如何構建有關風險的業務案例?
• 小型企業網絡安全工具的總體投資回報率是多少?
• 如何解決漏洞和威脅?
• 公司如何避免下一個頭條或生存?

統一這些發現可以幫助小型企業決定要修復什么、管理什么以及外包什么。以下是一些問題，在得到回答后，可以協調工作并確定優先事項：

• 對小企業的網絡安全風險有很好的理解或共識嗎?
• 是否所有相關的利益相關者都從相關的角度看待風險?
• 是否存在評估風險的通用語言?
• 是否擁有做出正確決定所需的信息?
• 安全策略是否與業務策略不符?對于小型企業來說，為了進一步了解這一點，是否有安全策略?
• 有衡量風險的方法嗎?

充分利用有限資源的價值

在小型企業網絡安全方面，有些事情很容易解決。意識和培訓是肘部油脂。即使對于那些不想花太多錢的人來說，也有很多選擇。存在免費和低成本的工具。如果正在管理自己的基礎架構，那么，如果沒有很好地維護它，那么成本可能會更高。一些托管服務提供商的幫助可以在這里使用。甚至可以考慮外包一些服務，或者發現使用的服務提供商對我們來說風險太大。如果負擔得起，甚至可以考慮進行快速的第三方評估，以了解風險在哪里，包括可見或隱藏的風險。

風險評估有所作為

這一切都在風險評估中。NIST SP 800-30 風險評估指南等指南的原則，即使是為政府和企業設計的，仍然適用于小型企業。像這樣的文件中的材料會引起企業主的共鳴，即使只是看一眼執行摘要。最后，小企業的主要收獲是：由于不是你自己的過錯，卻繼承了一系列可能讓你措手不及的風險。由于這些風險現在就在軌道上，因此請進行風險評估，找出對業務重要的事情，制定具有成本效益的戰略，通過合理的投資保護業務，并決定修復、管理什么，最后外包。