企業(yè)風(fēng)險(xiǎn)管理之價(jià)值角度的初探

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

企業(yè)風(fēng)險(xiǎn)管理之價(jià)值角度初探 1

世事無(wú)絕對(duì)，這個(gè)觀點(diǎn)沒(méi)人反對(duì);同樣風(fēng)險(xiǎn)理論告訴我們，安全無(wú)絕對(duì)，一切安全活動(dòng)應(yīng)該建立在風(fēng)險(xiǎn)管理的基礎(chǔ)上，絕對(duì)的零風(fēng)險(xiǎn)是不存在的，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)，也是不現(xiàn)實(shí)的;在計(jì)算機(jī)安全領(lǐng)域有一句格言：“真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下倉(cāng)庫(kù)的保險(xiǎn)柜中，并在倉(cāng)庫(kù)內(nèi)充滿毒氣，在倉(cāng)庫(kù)外安排士兵守衛(wèi)。”顯然，這樣的計(jì)算機(jī)是無(wú)法使用的。計(jì)算機(jī)系統(tǒng)的安全性越高，風(fēng)險(xiǎn)越小，其可用性越低，需要付出的成本也就越大，一般來(lái)說(shuō)，需要在安全和風(fēng)險(xiǎn)，以及安全和成本投入之間做一種平衡。

平衡的理論為安全提供了前進(jìn)的方向，但是在前進(jìn)的道路中，需要具有可操作性的具體方法來(lái)指導(dǎo)。

ALE批判

在信息安全風(fēng)險(xiǎn)管理中有個(gè)特別有名的公式，那就是ALE(Annual Lose Expectation),它表示某個(gè)特定的安全事件損失的價(jià)值與其年度發(fā)生頻率的乘積。

代表性定義如下：ALE=SLE*ARO

其中，SLE是單一損失期望，ARO是年度發(fā)生率。

ALE出現(xiàn)在各種各樣的教科書(shū)中，像流行的CISSP的培訓(xùn)教材，就連著名安全專家Bruce Schneier在其著作《secrets and lies: Digital Security in a Networked World》中對(duì)ALE也有所描述。ALE是定量風(fēng)險(xiǎn)評(píng)估中的核心概念，有了ALE，從財(cái)務(wù)的角度對(duì)安全風(fēng)險(xiǎn)損失以及所選擇的控制措施進(jìn)行分析，依照成本效應(yīng)原則，選擇安全對(duì)策，有理有據(jù)，整個(gè)思路流暢，邏輯清晰。但是風(fēng)險(xiǎn)管理實(shí)踐當(dāng)中，ALE卻遭遇重重困難，主要體現(xiàn)在以下幾個(gè)方面：

·局外人難以建模

·缺乏事件發(fā)生可能性和預(yù)測(cè)損失的數(shù)據(jù)

首先，ALE不是一個(gè)簡(jiǎn)單的數(shù)學(xué)可以說(shuō)明的問(wèn)題。局外人制定的損失事件不能表現(xiàn)一個(gè)典型的損失事件的特性。一般來(lái)說(shuō)，安全事件具有低概率、高危險(xiǎn)性的時(shí)間。這使得他們難以建模。而非得要建模的話，那只能妥協(xié)并作出不合理的假設(shè)。

其次，ALE的實(shí)施者根本沒(méi)有能力以及具有合適的方法去估計(jì)可能性和損失。確實(shí)很難預(yù)知一個(gè)損失事件發(fā)生的可能性，這最可能的途徑之一是通過(guò)對(duì)歷史數(shù)據(jù)的分析，得出統(tǒng)計(jì)特性來(lái)預(yù)測(cè)將來(lái)，但是，在信息安全領(lǐng)域，歷史數(shù)據(jù)的缺失是不爭(zhēng)的事實(shí)。另外，預(yù)估損失事件對(duì)資產(chǎn)的影響也存在巨大挑戰(zhàn)，這種挑戰(zhàn)來(lái)自兩個(gè)層次，第一層次是資產(chǎn)本身價(jià)值的估計(jì)，第二層次是資產(chǎn)損失百分比。Bruce schneier把ALE說(shuō)成“有很多猜測(cè)的工作”，說(shuō)白了，就是需要拍腦袋。

再次，整個(gè)模型對(duì)假定中的微小變化非常敏感，因?yàn)橐豁?xiàng)資產(chǎn)或者資產(chǎn)組同時(shí)可能會(huì)遭受多個(gè)威脅的攻擊，而一個(gè)威脅可能會(huì)對(duì)多項(xiàng)資產(chǎn)或者資產(chǎn)組產(chǎn)生破壞，任意一個(gè)資產(chǎn)價(jià)值以及威脅發(fā)生可能性變化，就會(huì)傳遞到整個(gè)模型，產(chǎn)生的變化也就較大。試想一下，在ALE上建立的風(fēng)險(xiǎn)管理模型，猶如沙灘上的高樓大廈，這樣的大廈盡管能夠登高享受美麗海景，但是你敢登嗎?!

需要數(shù)字說(shuō)話

難道我們只能望樓興嘆嗎?實(shí)踐中對(duì)信息安全的測(cè)量的要求是實(shí)實(shí)在在存在的，而且會(huì)越來(lái)越突出。著名數(shù)學(xué)物理學(xué)家lord kelvin說(shuō)過(guò)“你不能改進(jìn)你不能測(cè)量的東西”。信息安全經(jīng)理必要知道當(dāng)前的信息安全管理體系運(yùn)行如何：

·安全團(tuán)隊(duì)獲得了什么成果?

·安全團(tuán)隊(duì)是否為組織增加了價(jià)值?

·我怎樣才能表明我們有多少價(jià)值?

·我怎么能夠判斷部門的預(yù)算?

·我怎樣才能激發(fā)我的團(tuán)隊(duì)獲得更多的成績(jī)?

安全團(tuán)隊(duì)成員也有必要知道事情的進(jìn)展:

·我們當(dāng)前處在哪里?

·我能否具有成就感以激發(fā)更多工作熱情?

·我能否看清自己的職業(yè)發(fā)展?

·我能否在接下來(lái)的員工考核中預(yù)估自己的成績(jī)?

高層管理必要去判斷事情的成?。?/P>

·哪種類型的保障能夠表明當(dāng)前的系統(tǒng)安全是充分的?

·我怎樣才能表明已經(jīng)履行了適度勤勉(due deligence)的責(zé)任?

·我們是否領(lǐng)先別人還是落后別人，或者處在中游水平?

·我是否正在履行公司治理的責(zé)任?

·我從安全投資中獲得哪種類型的回報(bào)?

又一困境

前幾年，安全產(chǎn)業(yè)平均以每年20%的水平在遞增，似乎近兩年這種增長(zhǎng)在放慢。正如世界萬(wàn)物都逃脫不掉萬(wàn)有引力的吸引一樣，就得往地下掉。其實(shí)，這也說(shuō)明企業(yè)在安全方面的投入變得越來(lái)越理性，越來(lái)越多的投資人在考慮，投入值得嗎?為什么要投入這么多?這個(gè)問(wèn)題無(wú)法回避。這就是所謂的投資回報(bào)或者成本效益的問(wèn)題。投資意味著當(dāng)前投入一些資源包括人力、財(cái)力和物力，是為了在以后的一段時(shí)間獲得收益;而回報(bào)就是收益本身。而投資安全的本質(zhì)是增加更多的控制。而好的安全則意味著什么事情都不會(huì)發(fā)生，確實(shí)，本該如此，不應(yīng)有安全事件發(fā)生，因?yàn)榭刂拼胧┯行У昧Α５沁@似乎又是是最要要命的，你想想，老板能容忍一幫清閑的家伙白拿銀子啊。投資之后，似乎好的安全的回報(bào)還不如銀子打水漂，因?yàn)檫B個(gè)水漂都沒(méi)有。

盡管如此，安全也要前行，它需要被推銷、被理解、被執(zhí)行。一些安全從業(yè)者試圖用類比保險(xiǎn)的方法向企業(yè)高層管理灌輸信息安全理念。用安全來(lái)類比保險(xiǎn)，其實(shí)是沒(méi)有認(rèn)識(shí)清楚安全和保險(xiǎn)的本質(zhì)，保險(xiǎn)不是一種預(yù)防性的措施，比如人壽險(xiǎn)即對(duì)你的生活質(zhì)量沒(méi)有任何幫助，也不會(huì)延長(zhǎng)你的生命，對(duì)于保單本人沒(méi)有任何利益。這種類比的方式把安全限于了沒(méi)有價(jià)值的困境，甚至還淪為背上業(yè)務(wù)絆腳石的惡名。因?yàn)橛衼?lái)自業(yè)務(wù)部門的抱怨說(shuō)安全降低了他們的工作效率，拿口令這個(gè)簡(jiǎn)單的例子來(lái)說(shuō)，從簡(jiǎn)單的兩三位非得改為至少六位而且須有大小寫(xiě)加特殊字符等等，這無(wú)疑加重了記憶的負(fù)擔(dān)，忘記密碼也就成了常事，這能不影響工作么!?回想一下，長(zhǎng)假后上班第一天，公司里誰(shuí)最忙?系統(tǒng)管理員啊。干嘛去了?去重置密碼啦!

掙扎探索

類比保險(xiǎn)這個(gè)矛盾的命題對(duì)安全是沒(méi)有任何益處的。既然投入回報(bào)意味著實(shí)際的利益發(fā)生，而且需要去衡量到底有多少的回報(bào)。不管你喜歡不喜歡，如果你打算說(shuō)服高層管信息安全增加了組織的價(jià)值，你必須能夠證明附加了哪些價(jià)值，以及度量這些價(jià)值。那么這個(gè)時(shí)候與其去說(shuō)投入回報(bào)還不如說(shuō)價(jià)值回報(bào)，因?yàn)橥顿Y回報(bào)的計(jì)算僅僅是一項(xiàng)投資的全部?jī)r(jià)值的一小部分，而且有時(shí)計(jì)算某項(xiàng)投資的回報(bào)時(shí)，事實(shí)上會(huì)存在負(fù)的情況，但是收獲了一些無(wú)形的利益，比如客戶的滿意度，獲得信息的便利性等;

信息安全上的投資管理問(wèn)題主要涉及兩個(gè)個(gè)方面，第一方面是投入決策，第二方面是利益的實(shí)現(xiàn);稍做展開(kāi)，前者關(guān)注的是我們是否做了“正確的事情”，也就是企業(yè)有限的資源是否投放在當(dāng)前優(yōu)先級(jí)最高，風(fēng)險(xiǎn)最大的地方，后者關(guān)注的是我們有沒(méi)有“把事情做正確”，也即實(shí)施了控制措施之后，殘余風(fēng)險(xiǎn)是否降到了企業(yè)可以接受的水平。而這兩個(gè)方面，包含了三個(gè)基本的要素，那就是成本，價(jià)值和風(fēng)險(xiǎn)。因此，我們需要一種框架、工具或技術(shù)，在適當(dāng)顆粒水平的基礎(chǔ)上為價(jià)值，成本和風(fēng)險(xiǎn)進(jìn)行廣泛的定量分析和比較。