行業新聞與博客

業內專家表示，小型公司和慈善機構與大型公司和慈善機構面臨着同樣日益增長的安全風險，但缺乏預算和資源並不一定會成為改善安全性的障礙。

較小組織的安全領導人告訴 Infosecurity Europe 2024，限制較小組織選擇的不僅僅是財務限制。

缺乏人才——很少有公司擁有專門的安全團隊，甚至 IT 團隊——需要採取更具創新性的方法。然而，有些問題，例如需要用商業術語解釋網絡安全風險，適用於各種規模的組織。

阿爾茨海默病協會網絡安全負責人 Cheryl Sims-Hancock 表示，安全預算應放在 IT 預算的背景下考慮。約 20% 的支出用於安全。但她補充説，該慈善機構經常與甚至沒有安全或 IT 能力的小型組織合作。

這意味着要與這些供應商和合作夥伴合作，幫助提高他們的安全性，保護供應鏈。“我們必須應對的挑戰是確保第三方風險得到控制，”她説。

不斷修補

ISC2 首席信息安全官 John France 對此表示同意。“在中小企業中，95% 的企業沒有專職網絡安全人員，或者專職網絡安全人員不足一半，”他説。這使得小型組織更有必要專注於基礎工作。

修補等步驟不需要特殊技能，但需要嚴謹地確保應用補丁和更新。“你需要了解什麼對你來説是重要的，並保護好它，”弗朗斯解釋道。

規模較小的組織還可以利用 CyberFirst 和 Cyber Essentials 等方案，以較少的成本構建基礎級別的安全保障。

Kinly 首席信息安全官唐·吉布森 (Don Gibson) 表示，企業還可以更好地利用現有軟件的功能。

“有多少人擁有他們應得的一切？”他問道。“我從未在一家公司工作過，而且投資回報率真的非常非常低。”

中小企業應該審視他們擁有的工具，看看它們如何與自己的風險狀況相匹配——可以移除未使用的產品並節省資金。“充分利用技術，”吉布森建議道。

無需花錢即可投資

但花錢並不是提高安全性的唯一方法。小型組織可以通過培訓和意識以及利用免費資源來增強防禦能力。

“你必須進行投資，即使你沒有資金投資，”西姆斯-漢考克説。“供應商、大學或 NCSC 提供免費資源。任何小型組織都可以獲得政府資助的網絡意識。”

IASME 聯盟首席執行官 Emma Philpott 補充道，讓小企業，尤其是科技行業以外的企業儘可能輕鬆地獲得基本的網絡安全“非常非常重要”。