在大数据和数字化的时代，任何企业都无法避免某种形式的数字化风险。即使是间接的，如供应链或第三方供应商的漏洞，而遭受网络安全事件的企业也会面临从负面财务结果到声誉受损的各种影响，2018年，Facebook的事件就是很好的例证。大企业尚如此，那么就中小型企业而言，后果可能尤其严重，因为正如统计数据显示的那样，在遭遇网络安全事故的企业中，有60%的该类企业在6个月内倒闭。

这一新的现实使得数字风险管理成为任何一家公司都不能忽视的业务需求。问题是，威胁的范围是如此之大，并且多样，以至于小企业很难知道要防范哪些威胁，以及如何确保它们得到尽可能多的保护。然而，制定一个全面的数字风险策略并不复杂。我们所需要的是在三个关键领域给予正确的关注，以创建坚实的基础、支持性的流程和防止意外事件的发生。下面是在制定数字风险策略过程中中小企业应该关注的三个地方：

把安全放在首位

任何全面的数字风险策略的核心都必须是对所有面向客户的数字系统和后端技术进行全面审查，以查找现有的漏洞。这意味着，企业需要检查每一个软件和硬件组件，以确保没有安全更新或补丁丢失，以及评估所有系统，以删除包含已知漏洞或已达到生命周期结束状态的软件。完成这一步后，下一步是投资于商业防火墙和最新的端点安全解决方案。

在解决现有系统中任何已知的漏洞并升级防御措施之后，下一步是使用渗透测试公司的服务。渗透测试，也被称为道德黑客，是一种将系统置于真实环境中进行测试，以根除任何遗留的操作漏洞的方法。如果所有的系统都能通过测试而不受损害，这意味着业务有一个坚实的基础，可以消除几乎所有不可预见的数字风险。

创建辅助性的业务流程和策略

创建数字风险战略的下一步是认识到，网络安全不是一项一蹴而就的任务。如果业务流程不是为了维护操作安全性而定制的，那么拥有坚实的基础将很快变得毫无意义。在实践中，这意味着创建和执行与客户数据保留和处理相关的合理策略。确保这些政策符合欧盟的GDPR就是一个好主意，即使是对不受其法律约束的企业也是如此。如果有必要的话，这将使未来的合规变得更容易，因为科技行业的领导者已经在推动美国出台类似的法规。定期审计也应该成为一种规范，以确保所有员工在数据处理和系统访问方面都遵循适当的程序。

未雨绸缪

一个完善的中小企业数字风险管理战略的第三个也是最后一个关键，是在网络安全事件发生时有一个合适的计划以便及时处理。这是基于这样一个事实：没有任何防御是完美的，威胁发展得如此之快，成为受害者总是有可能的。为了防止出现最坏的情况，关键是维护所有关键业务数据的操作备份，并创建响应计划来处理任何潜在的威胁。该计划应该包括如何通知受影响的客户，谁将负责恢复(内部或通过外部供应商)，以及在处理事件时确保业务连续性的步骤。如今，甚至可以通过网络和数据保险来弥补出现问题时的损失。企业数字风险管理战略的这一部分，可能意味着在网络安全事件中幸存下来与成为又一个不幸的受害者之间的差别，因此在这里需要谨慎对待。

执行至关重要

俗话说得好，不管是人是鼠，即使最如意的安排设计，结局也往往会出其不意，因此，数字风险管理最终归结为执行力。将他们的努力集中在这里列出的三个领域的中小型企业最终将得到一个解决主要关注领域的路线图，从防范风险到在所有其他方面都失败时进行恢复。然而，遵循该路线图是将一个好的计划转化为有效工作的唯一方法，因此业务的所有级别人员强制遵从性非常重要。只要执行得到应有的重视，任何中小企业都会发现自己在数字风险方面处于良好的状态，并有很好的机会保护自己不受最坏的意外情况的影响。

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。