Você deve estar razoavelmente seguro - ficará surpreso com a quantidade de servidores que estão executando o IIS que não estão atrás de um firewall. Se houver dados confidenciais (números de cartão de crédito, etc), você gostaria de ser mais cauteloso, mas para uso normal, não é algo que eu estaria preocupado.
O risco real é de qualquer coisa que você esteja hospedando - os aplicativos hospedados têm maior probabilidade de causar problemas de segurança do que expor o próprio servidor.