安全投資回報率 是虛幻還是現(xiàn)實？

申請免費試用、咨詢電話：400-8352-114

投資回報率，或者也叫ROI，是公司業(yè)務中很重要的話題。所有公司企業(yè)都在努力追求創(chuàng)造積極的投資回報率，較高的投資回報率才能保證公司的繼續(xù)正常發(fā)展。

投資回報率問題在IT安全部分也同樣是個很重要的話題。很多公司客戶希望通過投資回報率模式來展現(xiàn)公司某一特定的安全投資是否物有所值，同樣地，供應商也在向客戶們提供這樣一種投資回報率模式，能夠顯示他們的某個安全系統(tǒng)是否提供了最佳投資回報率。

理論上來說，安全投資回報率一個很好的理念，但是大多數(shù)在實踐中不能實現(xiàn)。

在我開始談論細節(jié)問題之前，我想要說清楚一個問題，實際上，安全部分“投資回報率”的說法其實是不準確的，安全并不是一種能夠提供匯報的投資，不像一個新工廠或者某種金融工具。我們希望看到的是，人們投資在安全部分的資金能夠為他們節(jié)省成本開支，安全部分的投資是為了預防災難，而不是某種收益。

但是任何一個參與過公司年終預算削減的人都知道，當我們在做成本計算的時候，實際上，降低成本就等于是增加收益。因此，盡管安全并不能直接提供投資回報率，但是損失預防肯定會降低公司的最終成本。

公司應該執(zhí)行那些能夠直接影響其最終成本的安全對策，而不是將更多的資金花費在值得解決的安全問題上。反過來說，他們不應該忽視那些存在其他更廉價的緩解辦法的正在耗費公司成本的安全問題。明智的公司需要向?qū)Υ渌魏紊虡I(yè)決策一樣對待安全問題：成本v.s利益。

最經(jīng)典的方法就是我們所謂的年均損失預計(ALE，annualized loss expectancy),而且這是一種十分直接簡單的方法。計算安全事件的成本時，既要計算有形資產(chǎn)(例如時間和金錢)，也要考慮無形資產(chǎn)(例如聲譽和競爭優(yōu)勢)，然后乘以這個安全事件一年內(nèi)發(fā)生的次數(shù)。得出的結(jié)果就是你需要在該安全事件上投資的成本，以求降低安全問題的發(fā)生幾率。因此，舉例來說，如果你的店鋪有10%被搶劫的可能性，并且被搶劫的成本時10000美元，那么你就需要每年花費1000美元在安全問題上?；ㄙM更多的錢只會浪費你的成本，而花費更少的錢，同樣說明你在浪費成本。

當然，每年花費的1000美元安全費用并不能將被搶劫的幾率降低到零，以符合成本效益。如果安全解決方案將搶劫偷盜的幾率降低了40%(降低到每年6%)，那么你的安全花費就不會超過400美元。如果另外一個安全解決方案能夠?qū)尳賻茁式档?0%，那么它就值800美元。如果兩種安全解決方案，每一種解決方案都能降低50%的偷盜率，而第一種只要花費300美元，另一種則需要700美元，那么我們很清楚地看出，第一種解決方案更加劃算。

必要的數(shù)據(jù)

完成這項工作的關鍵在于完整的數(shù)據(jù)，這種方法實際上是精算的方法。如果你在一個便利店對是否安裝安全攝像機問題進行ALE分析，那么你就需要知道附近其他便利店的犯罪發(fā)生幾率，并且要大概知道多少臺攝像機才能夠迫使搶劫犯去搶劫其他便利店。另外你還需要知道一宗劫案的成本消耗：無論是商品、時間、由于驚嚇顧客造成的銷售損失以及對員工士氣的打擊等。你還必須知道沒有攝像機時，對員工工作士氣的影響――可能你還很難找到雇員為你上夜班。有了上述所有數(shù)據(jù)，你就可以計算出安裝攝像機的費用實際上會比你晚上關閉店鋪損失的成本要低，并且我們假設的情況是關閉的店鋪沒有遭到搶劫。然后你就可以決定是否安裝監(jiān)控攝像機了。

網(wǎng)絡安全相比而言是比較困難的，因為并沒有足夠的數(shù)據(jù)提供給我們。我們并沒有網(wǎng)絡空間犯罪率數(shù)據(jù)，而且我們沒有關于單個安全解決方案對于降低安全風險的幾率。我們甚至都沒有事件成本的數(shù)據(jù)。

其中一個問題就是安全威脅變化太快，我們試圖預防的安全問題變化得太快了以至于我們都來不及計算相關數(shù)據(jù)。就算我們計算出了一些數(shù)據(jù)，又將出現(xiàn)其他的我們不具備相關數(shù)據(jù)的新的安全威脅。所以我們在網(wǎng)絡世界，不能簡單地使用ALE模式。

另外還存在一個問題，就是當計算罕見的昂貴的事件時，我們的數(shù)學計算方法將很快失效。假設你公司的名字因為一件難堪的網(wǎng)絡安全事件出現(xiàn)在報紙上，然后你計算出了損失成本(名譽成本損失、客戶損失等)估約為20,000,000，并且我們假設這種事件每年發(fā)生的幾率是萬分之一，那么ALE得出的結(jié)論將是你每年只需要花費不超過2000美元來降低這種安全風險。

到目前為止，這是個很不錯的方法。但是也許你的首席財務官會認為這種安全事件只需要花費10,000,000，當然你也不能爭辯，因為我們只是在估算。但是首席財務官在這里就已經(jīng)將你的安全預算削減了一半。如果某個供應商向你兜售一種產(chǎn)品，這種能夠通過網(wǎng)絡分析師的分析得出這種安全事件的發(fā)生幾率實際上是千分之一，那么接受這個數(shù)據(jù)把，因為即使價格是高于該產(chǎn)品10倍的產(chǎn)品都將是個不錯的投資。

當你在處理更加罕見更加巨額的事件時，問題將變得更加復雜。假設你們是一家氯氣廠，正受到降低恐怖主義威脅的問題的控告，那么你認為因為一次巨大的致命的爆炸你們公司應該承受多大的成本消耗呢?無論是金錢上的或是名譽上的。100萬美元?10億美元?100億美元?發(fā)生幾率是：十萬分之一?百萬分之一?千萬分之一?取決于你回答這兩個問題的答案，而且任何答案都只是猜測，你可以花費10美元甚至是10萬美元來降低這個安全風險。

或者我們來看看另一個例子：機場安全風險。假設所有的新機場安全措施都增加了機場乘客的候機時間，我假設時間是每名乘客為30分鐘。2007年在美國候機的乘客有7.6億人，這就意味著額外的候機時間耗費了我們所有人總共43000年的額外等候時間。假設一個人的壽命為70年，那么這增加的候機時間每年都“奪取了”620人的終生性命，如果根據(jù)每天16小時的清醒時間來計算則奪取了930人的性命。所以問題就是：如果我們真的不考慮部署機場安全措施，奪取的性命真的會比恐怖主義者奪取的性命要多么?

貨物既出概不退貨

這就是為什么我在本文的開頭說安全供應商提供的大多數(shù)投資回報率模式都是無稽之談的原因，當然他們的模式能夠表明他們的產(chǎn)品或者服務具備金融意識：他們能夠計算出成本收益數(shù)據(jù)。

但是這并不是說ALE是沒有用的，它給我們的提示是：1)不要相信任何使用議程分析的人所得出的任何分析數(shù)據(jù);2)將所有結(jié)果僅僅當作一種指引或向?qū)А?/P>

所以當你從供應商處獲得投資回報模型的時候，使用模型的框架然后填入你自己的數(shù)據(jù)。(甚至不要向供應商展示你對他們產(chǎn)品模型的改進，他們不會認為任何降低他們產(chǎn)品或者服務成本收益的改變是“改進”)，然后將得出的結(jié)果數(shù)據(jù)作為一般指南，當你在決定是否購買安全產(chǎn)品或者服務的時候，進行風險管理以及合規(guī)分析。（IT專家網(wǎng)）