行业新闻与博客

业内专家表示，小型公司和慈善机构与大型公司和慈善机构面临着同样日益增长的安全风险，但缺乏预算和资源并不一定会成为改善安全性的障碍。

较小组织的安全领导人告诉 Infosecurity Europe 2024，限制较小组织选择的不仅仅是财务限制。

缺乏人才——很少有公司拥有专门的安全团队，甚至 IT 团队——需要采取更具创新性的方法。然而，有些问题，例如需要用商业术语解释网络安全风险，适用于各种规模的组织。

阿尔茨海默病协会网络安全负责人 Cheryl Sims-Hancock 表示，安全预算应放在 IT 预算的背景下考虑。约 20% 的支出用于安全。但她补充说，该慈善机构经常与甚至没有安全或 IT 能力的小型组织合作。

这意味着要与这些供应商和合作伙伴合作，帮助提高他们的安全性，保护供应链。“我们必须应对的挑战是确保第三方风险得到控制，”她说。

不断修补

ISC2 首席信息安全官 John France 对此表示同意。“在中小企业中，95% 的企业没有专职网络安全人员，或者专职网络安全人员不足一半，”他说。这使得小型组织更有必要专注于基础工作。

修补等步骤不需要特殊技能，但需要严谨地确保应用补丁和更新。“你需要了解什么对你来说是重要的，并保护好它，”弗朗斯解释道。

规模较小的组织还可以利用 CyberFirst 和 Cyber Essentials 等方案，以较少的成本构建基础级别的安全保障。

Kinly 首席信息安全官唐·吉布森 (Don Gibson) 表示，企业还可以更好地利用现有软件的功能。

“有多少人拥有他们应得的一切？”他问道。“我从未在一家公司工作过，而且投资回报率真的非常非常低。”

中小企业应该审视他们拥有的工具，看看它们如何与自己的风险状况相匹配——可以移除未使用的产品并节省资金。“充分利用技术，”吉布森建议道。

无需花钱即可投资

但花钱并不是提高安全性的唯一方法。小型组织可以通过培训和意识以及利用免费资源来增强防御能力。

“你必须进行投资，即使你没有资金投资，”西姆斯-汉考克说。“供应商、大学或 NCSC 提供免费资源。任何小型组织都可以获得政府资助的网络意识。”

IASME 联盟首席执行官 Emma Philpott 补充道，让小企业，尤其是科技行业以外的企业尽可能轻松地获得基本的网络安全“非常非常重要”。