對於網路安全風險評估 企業當如何妥善處理?

　　組織不必花費太多時間評估網路安全情況，以瞭解自身業務安全。因為無論組織的規模多大，在這種環境下都面臨著巨大的風險。但是，知道風險有多大嗎?

　　關注中小企業

　　網路犯罪分子多年來一直針對大型企業進行網路攻擊，這導致許多中小企業認為他們在某種程度上是免疫的。但是情況並非如此。其實中小企業面臨著更大的風險，因為駭客知道許多公司缺乏安全基礎設施來抵禦攻擊。

　　根據調研機構的調查，目前43%的網路攻擊是針對中小企業的。儘管如此，只有14%的中小企業將其網路風險、漏洞和攻擊的能力評估為“高效”。

　　最可怕的是，有60%的小企業在網路攻擊發生後的六個月內被迫關閉。

　　換句話說，如果是一家財富500強公司或美國的家族企業，網路威脅並不能造成這麼大的損失，並且這些公司將會制定計劃來保護自己免遭代價昂貴的攻擊。

　　以下是一些可幫助評估組織的整體風險水平的提示：

　　1.識別威脅

　　在評估風險時，第一步是識別威脅。每個組織都面臨著自己的一系列獨特威脅，但一些最常見的威脅包括：

　　●惡意軟體和勒索軟體攻擊

　　●未經授權的訪問

　　●授權使用者濫用資訊

　　●無意的人為錯誤

　　●由於備份流程不佳導致資料丟失

　　●資料洩漏

　　識別面臨的威脅將使組織能夠了解薄弱環節，並制定應急計劃。

　　2.利用評估工具

　　組織不必獨自去做任何事情。根據目前正在使用的解決方案和系統，市場上有許多評估工具和測試可以幫助組織瞭解正在發生的事情。

　　微軟安全評估和規劃工具包就是一個例子。組織會看到“解決方案加速器”，它們基本上是基於場景的指南，可幫助IT專業人員處理與其當前基礎設施相關的風險和威脅。

　　利用評估工具可以幫助組織在相當混亂和分散的環境中找到清晰的資訊。

　　3.確定風險等級

　　瞭解組織面臨的威脅是一回事，但某些威脅比其他威脅更危險。為了描繪出威脅的精確影像，重要的是要指定風險級別。

　　低影響風險對組織的未來影響微乎其微或不存在。中等影響風險具有破壞性，但可以透過正確的步驟恢復。高影響的風險是巨大的，可能會對組織產生永久性的影響。

　　4. 僱用外部公司

　　有時候引入一家外部安全公司來進行風險評估，並確定組織是否已經被入侵或被攻破會很有幫助。

　　“獨立滲透測試也是測試組織的彈性和準備情況的有效方法。”安全雜誌的Steven Chabinsky寫道，“把門鎖上是一回事，測試是否有人能夠超越侵入是另一回事。”

　　雖然與外部公司合作並訂購獨立滲透測試的成本可能很高，但這遠遠低於實際受到駭客攻擊的損失。

　　始終知道自己的情況

　　網路安全並不是一件組織可以置之不理的事情。組織總是需要知道自己的情況，這樣才能適當地保護自己的業務、員工和客戶。正式和非正式風險評估將幫助組織有效地應對風險。