作者：Bob Miller

随着威胁侵入的方式日益繁复，对企业的保护显得越来越具挑战。创建一个恰当的IT安全计划用来保护企业并教育员工是至关重要的。

1. 不合规

为了提高企业所需的网络安全等级底线，包括PCI合规性（外部设备互连总线）的联邦IT法规正不断更新。熟悉这些法规并遵从它们对企业而言是十分关键的，正如一次失败的审计或许会对企业执行能力带来严重后果一样。这些法规包括应用于网络基建安全、物理安全、IT策略及程序、数据处理等方面的各项严格措施。

2. 网络威胁

对于那些在网上处理金融业务的企业而言，网络威胁已然成为企业的最大风险。不安全的网络基建、过时失效的IT监管政策及流程，成指数增长的网络攻击数量及类型均会导致上述威胁成为企业的主要风险。

在主要的恶意软件威胁中有一种新的病毒类型叫做勒索软件，它能在几乎不被发现的情况下对网络上的所有数据进行加密处理。所有企业都遭受到此类网络攻击的严重危害。除了那些通过邮件传染计算机的病毒、恶意软件、网络钓鱼攻击等预期的威胁，网络设备类型的增加扩大了遭受攻击的范围。

随着移动设备的普及，移动恶意软件的威胁数量已成指数倍上升。这些设备往往缺乏最基本的安全性，却经常允许接入企业的安全无线网络，从而绕过了相关技术防御。这将伴随着物联网（IoT）等其他新型网络设备类型的扩张，其中包括信用卡扫描仪、暖通空调（HVAC）系统、联网建筑安全、电话基础设施、甚至是远程照明系统等。所有这些设备都可能受到非法入侵，就安全网络而言正是脆弱的攻击点。

网络攻击的一大常见弱点在于员工安全意识培训的匮乏。这往往被视为次要事项，据估计，基本的员工安全意识能够预防大约90%的网络攻击。确保员工能够及时发现其计算机、移动设备或数据受到威胁，并且知道应立即向谁发出警报，这将决定其结局究竟是“麻烦”还是“灾难”。

3. 数据盗取或损坏

无论是外部侵入、员工出错还是内部攻击的原因，数据盗取或损坏都是十分严重的风险。任何数据的安全性或完整性受到威胁会对一个企业造成意义深远的影响。这可能导致严重的客户丢失和消费者信心丧失，并且对公司的财务产生巨大影响。如果发现企业由于缺乏充分的安全措施而出错，企业需承担客户和违反联邦法律的惩罚性赔偿。

4. 运营混乱

企业核心业务混乱会直接中断企业的运营能力。出于IT视角，导致这些风险的弱点包括网络威胁、没有冗余的停电、网络设备损坏或数据丢失等。正如无效的紧急恢复流程，缺乏可靠且经过测试的数据备份同样会对企业带来风险。上述这两种情况都将导致宕机时间延长，从而对企业运营能力带来进一步的损害。

5. 风险评估

风险评估的目的在于减少企业面对这些威胁的安全隐患，从而把这些威胁造成的潜在负面影响降到最低。在识别并评估了潜在风险之后，下一步便是根据资源对企业的价值以及在企业受到外在威胁时造成的影响来进行优先级排序。之后进行彻底的分析，以确定缓解风险最适合、最可行、最符合公司资源和需求的方法。