組織不必花費太多時間評估網絡安全情況，以了解自身業務安全。因為無論組織的規模多大，在這種環境下都面臨著巨大的風險。但是，知道風險有多大嗎?

關注中小企業

網絡犯罪分子多年來一直針對大型企業進行網絡攻擊，這導致許多中小企業認為他們在某種程度上是免疫的。但是情況并非如此。其實中小企業面臨著更大的風險，因為黑客知道許多公司缺乏安全基礎設施來抵御攻擊。

根據調研機構的調查，目前43%的網絡攻擊是針對中小企業的。盡管如此，只有14%的中小企業將其網絡風險、漏洞和攻擊的能力評估為“高效”。

最可怕的是，有60%的小企業在網絡攻擊發生后的六個月內被迫關閉。

換句話說，如果是一家財富500強公司或美國的家族企業，網絡威脅并不能造成這么大的損失，并且這些公司將會制定計劃來保護自己免遭代價昂貴的攻擊。

以下是一些可幫助評估組織的整體風險水平的提示：

1. 識別威脅

在評估風險時，第一步是識別威脅。每個組織都面臨著自己的一系列獨特威脅，但一些最常見的威脅包括：

• 惡意軟件和勒索軟件攻擊
• 未經授權的訪問
• 授權用戶濫用信息
• 無意的人為錯誤
• 由于備份流程不佳導致數據丟失
• 數據泄漏

識別面臨的威脅將使組織能夠了解薄弱環節，并制定應急計劃。

2. 利用評估工具

組織不必獨自去做任何事情。根據目前正在使用的解決方案和系統，市場上有許多評估工具和測試可以幫助組織了解正在發生的事情。

微軟安全評估和規劃工具包就是一個例子。組織會看到“解決方案加速器”，它們基本上是基于場景的指南，可幫助IT專業人員處理與其當前基礎設施相關的風險和威脅。

利用評估工具可以幫助組織在相當混亂和分散的環境中找到清晰的信息。

3. 確定風險等級

了解組織面臨的威脅是一回事，但某些威脅比其他威脅更危險。為了描繪出威脅的精確圖像，重要的是要指定風險級別。

低影響風險對組織的未來影響微乎其微或不存在。中等影響風險具有破壞性，但可以通過正確的步驟恢復。高影響的風險是巨大的，可能會對組織產生永久性的影響。

4. 雇用外部公司

有時候引入一家外部安全公司來進行風險評估，并確定組織是否已經被入侵或被攻破會很有幫助。

“獨立滲透測試也是測試組織的彈性和準備情況的有效方法。”安全雜志的Steven Chabinsky寫道，“把門鎖上是一回事，測試是否有人能夠超越侵入是另一回事。”

雖然與外部公司合作并訂購獨立滲透測試的成本可能很高，但這遠遠低于實際受到黑客攻擊的損失。

始終知道自己的情況

網絡安全并不是一件組織可以置之不理的事情。組織總是需要知道自己的情況，這樣才能適當地保護自己的業務、員工和客戶。正式和非正式風險評估將幫助組織有效地應對風險。