特别安全测试对小企业有好处吗？

Question

虽然反光在企业规模安全程序中，我有一个问题，小规模的企业是否从一个临时的安全测试中受益？

与企业规模相比，在没有人力资源的小型组织中，有哪些建议可以解决安全问题？

Answer 1

我认为任何测试都比没有测试好。特别测试的问题在于，它可能会造成错误的安全感，或者没有达到正确的目标。该公司认为，由于临时测试，它总体上提高了安全性。这可能是真的，但同时，由于这类测试的性质，很可能还没有发现一个主要的安全漏洞。

小企业的安全是极其困难的。除了缺乏执行工作所需的人力资源外，您的安全意识也常常很低。相对于确保系统的用户是知情的，并且不做愚蠢的事情，比如点击可疑邮件中的坏链接，获得基本的技术配置是相对容易的。如果有一个用户无意中将恶意代码带入您的网络，并绕过您为保护系统所采取的所有措施，那么对您的软件和基础设施进行多少测试并不重要。

小企业面临的最大挑战之一是让业主认识到，信息技术投资与其他基础设施投资不同。当你投资于新的实物资产，如建筑物，更新的家具和配件等，一旦投资被支付，你通常不需要太多的持续投资/维护。有了IT基础设施，持续的维护和对持续投资的需求往往要高得多.很多时候，小企业认为他们可以买到一台服务器，可能会付钱给某个人来开发一些专门的软件并完成他们的工作。他们没有认识到为确保服务器得到修补和更新所需的持续投资，维护简单的软件以确保其保持最新，与支持软件和操作系统的后期版本兼容，并修补不断变化的威胁等等。

我的方法是在可能的情况下，积极劝阻小企业不要经营基础设施。我鼓励小企业利用SaaS和云服务。尽可能地将他们实际负责维护的信息技术限制在最低限度。这可能是一个挑战，因为他们不了解所有隐藏的成本-它看起来更便宜的做它自己。您需要公开隐藏的成本，以使他们能够做出完全知情的决定，并确保这包括一些基本的定期测试/检查、可靠的自动备份等，并确保有一个计划来应对失败。该计划需要包括如何从失败(即灾难恢复)中恢复，以及如何在恢复期间继续业务，即业务连续性。

在企业除了运行/开发自己的软件之外别无选择的情况下，寻找能够限制他们对安全性投资的解决方案。例如，托管公司负责硬件和操作系统安全，而业务只需要担心应用程序安全性的托管提供商。努力帮助企业制定程序，促进良好做法和对风险的理解，并努力确保这些程序真正反映企业面临的实际风险(而不仅仅是实施良好做法，评估特定良好做法旨在防范和确定该业务是否真的面临风险的风险)，并认识到您无法消除所有安全风险--永远不会有足够的资源。您需要准确地确定特定业务的真正风险，并对它们进行优先级排序，以便为特殊测试提供的任何资源都针对最高优先级。清楚地说明没有解决的风险以及风险的可能性和后果，以便企业能够在知情的情况下决定是否需要投资于额外的资源。