Usted está solicitando una lista completa de los problemas de seguridad que una empresa podría enfrentar. Esta pregunta es demasiado amplia para ser respondida porque la seguridad es un campo enorme y en constante cambio. Dicho esto, intentaré dar una respuesta que al menos introduzca el tamaño del problema.
Pensando en el software por el momento, debe comenzar su revisión de seguridad enumerando cada sistema operativo (incluida la versión y el número de parche) que está ejecutando en su empresa. Ahora, enumere cada pieza de software que se está ejecutando (incluyendo la versión y el número de parche), ahora busque esa lista completa en enlace o en cualquier otro lugar para ver las vulnerabilidades conocidas contra Esas versiones de esos softwares. Ahora, ¿qué sucede con los parches? ¿Tiene procedimientos implementados para asegurarse de que su software se mantenga actualizado? ¿Qué hay de las configuraciones? ¿Ha introducido alguna vulnerabilidad debido a la forma en que ha configurado su software? (Las exploraciones de puertos activos y las cosas pueden detectar algunos de estos problemas, pero no todos). De todos modos, la lista continúa ...
Y eso es solo software. Debe hacer cosas similares para el hardware (por ejemplo, equipo de enrutamiento de red y teléfono), acceso físico (por ejemplo, ¿qué salas contienen información confidencial? ¿Cómo son las cerraduras de las puertas? ¿Quién tiene acceso? ¿Registra o registra quién ingresa? Etc.), y personas (por ejemplo, ¿qué capacitación de seguridad le brindan a sus empleados? ¿Tiene controles y balances en su lugar?).
Finalmente, abordaré tu punto de que eres una pequeña empresa . La única forma en que lo anterior difiere para una compañía pequeña en comparación con una Fortune 500 es en la cantidad de riesgo: la cantidad de esfuerzo que espera que un atacante gaste en usted, y la cantidad del daño si hay una violación, y la complejidad de una auditoría: las empresas más grandes solo tienen más máquinas, personas y datos para proteger