作者：Kelley Katsanos

主题：安全性和弹性：合规性与安全健康

最近的一份报告显示，由于大型机构往往都会实施更强大的安全性措施，因此违法者将越来越多地染指配备较差安全实践的中小型企业（SMB）。企业需要在战略层面制定安全计划以降低风险。

落后于大企业

普华永道（PWC）最近发布了一份名为《在相互关联的世界里管理网络风险：2015年全球国家信息安全调查主要发现》的报告，调查基于全球超过9700名在安全、IT和商务领域的高管的反馈。调查发现，2014年发现了4280万起安全事故，相比2013增长了48％。

与2013年同期相比，2014年大型机构检测到的事故增加了44％，而这很可能要归功于其成熟的安全流程,这让发现这些事故变得更容易。

随着大型企业的安全措施变得更加有效，罪犯越来越多地将目标瞄准那些采用不那么强大安全系统的中型企业。2014年中型企业检测到的事故增加了64％，而小企业检测到的事故则减少了5%，且在信息安全上投入的花费变得更少。较低的比例并不意味着他们没有受到攻击，而是他们有限的安全投资可能无法产生出能够检测这类攻击的工具。

该报告指出，尽管小企业往往认为最开始他们并不足以吸引到罪犯，“……复杂的敌人往往会先针对中小型公司进行攻击，从而在这个互联的业务生态系统中获得立足之地，因为在这个生态系统中较大的组织与这些中小企业存在着合作伙伴关系。”所以应该让所有中小企业都要慎重考虑信息安全。

风险缓解

中小型企业需要了解或评估其合作伙伴和供应链的安全性能，由于与大型组织相比，他们大多只有一些较为简单的安全实践和有限的资源，他们最好咨询托管安全服务或是购买网络保险以解决风险。但是就像大公司经常做的那样，如果网络安全事故发生，中小企业还需要处理其可能产生的后果。一旦弄明白了其中的利害关系，为了遏制风险，中小企业就需要找到战略性做法来解决安全性问题。

战略性思考

中小企业需要确定他们必须要坚守的东西，并且制定出相应的安全计划和积极的措施来保护这些资产。虽然资源可能是有限的，但只要知道企业所拥有的是什么，存放在哪里以及谁有权访问它将使安全规划更加顺利。

中高层管理人员和董事会的积极参与可以树立起一种文化，把信息安全当回事。据普华永道事务所称，在大多数机构里董事会并没有参加重要的信息安全活动。

此外，许多企业希望保护自己的业务不受外部的威胁，而那些紧迫的威胁往往来自内部。普华永道发现，35％的内幕犯罪来自现有员工。持续的培训包括员工对与安全相关的问题的意识，这些培训需要整个组织的每个人参与。中小企业需要鼓励反馈，打造每个人都愿意加入的一个有效的安全计划，并且让实施的安全实践成为日常运作的一部分。