【IT168 评论】组织不必花费太多时间评估网络安全情况，以了解自身业务安全。因为无论组织的规模多大，在这种环境下都面临着巨大的风险。但是，知道风险有多大吗?

　　关注中小企业

　　网络犯罪分子多年来一直针对大型企业进行网络攻击，这导致许多中小企业认为他们在某种程度上是免疫的。但是情况并非如此。其实中小企业面临着更大的风险，因为黑客知道许多公司缺乏安全基础设施来抵御攻击。

　　根据调研机构的调查，目前43%的网络攻击是针对中小企业的。尽管如此，只有14%的中小企业将其网络风险、漏洞和攻击的能力评估为“高效”。

　　最可怕的是，有60%的小企业在网络攻击发生后的六个月内被迫关闭。

　　换句话说，如果是一家财富500强公司或美国的家族企业，网络威胁并不能造成这么大的损失，并且这些公司将会制定计划来保护自己免遭代价昂贵的攻击。

　　以下是一些可帮助评估组织的整体风险水平的提示：

　　1.识别威胁

　　在评估风险时，第一步是识别威胁。每个组织都面临着自己的一系列独特威胁，但一些最常见的威胁包括：

　　●恶意软件和勒索软件攻击

　　●未经授权的访问

　　●授权用户滥用信息

　　●无意的人为错误

　　●由于备份流程不佳导致数据丢失

　　●数据泄漏

　　识别面临的威胁将使组织能够了解薄弱环节，并制定应急计划。

　　2.利用评估工具

　　组织不必独自去做任何事情。根据目前正在使用的解决方案和系统，市场上有许多评估工具和测试可以帮助组织了解正在发生的事情。

　　微软安全评估和规划工具包就是一个例子。组织会看到“解决方案加速器”，它们基本上是基于场景的指南，可帮助IT专业人员处理与其当前基础设施相关的风险和威胁。

　　利用评估工具可以帮助组织在相当混乱和分散的环境中找到清晰的信息。

　　3.确定风险等级

　　了解组织面临的威胁是一回事，但某些威胁比其他威胁更危险。为了描绘出威胁的精确图像，重要的是要指定风险级别。

　　低影响风险对组织的未来影响微乎其微或不存在。中等影响风险具有破坏性，但可以通过正确的步骤恢复。高影响的风险是巨大的，可能会对组织产生永久性的影响。

　　4. 雇用外部公司

　　有时候引入一家外部安全公司来进行风险评估，并确定组织是否已经被入侵或被攻破会很有帮助。

　　“独立渗透测试也是测试组织的弹性和准备情况的有效方法。”安全杂志的Steven Chabinsky写道，“把门锁上是一回事，测试是否有人能够超越侵入是另一回事。”

　　虽然与外部公司合作并订购独立渗透测试的成本可能很高，但这远远低于实际受到黑客攻击的损失。

　　始终知道自己的情况

　　网络安全并不是一件组织可以置之不理的事情。组织总是需要知道自己的情况，这样才能适当地保护自己的业务、员工和客户。正式和非正式风险评估将帮助组织有效地应对风险。