企業(yè)風(fēng)險管理之價值角度的初探

申請免費試用、咨詢電話：400-8352-114

企業(yè)風(fēng)險管理之價值角度初探 1

世事無絕對，這個觀點沒人反對;同樣風(fēng)險理論告訴我們，安全無絕對，一切安全活動應(yīng)該建立在風(fēng)險管理的基礎(chǔ)上，絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險，也是不現(xiàn)實的;在計算機安全領(lǐng)域有一句格言：“真正安全的計算機是拔下網(wǎng)線，斷掉電源，放置在地下倉庫的保險柜中，并在倉庫內(nèi)充滿毒氣，在倉庫外安排士兵守衛(wèi)?！憋@然，這樣的計算機是無法使用的。計算機系統(tǒng)的安全性越高，風(fēng)險越小，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全和風(fēng)險，以及安全和成本投入之間做一種平衡。

平衡的理論為安全提供了前進的方向，但是在前進的道路中，需要具有可操作性的具體方法來指導(dǎo)。

ALE批判

在信息安全風(fēng)險管理中有個特別有名的公式，那就是ALE(Annual Lose Expectation),它表示某個特定的安全事件損失的價值與其年度發(fā)生頻率的乘積。

代表性定義如下：ALE=SLE*ARO

其中，SLE是單一損失期望，ARO是年度發(fā)生率。

ALE出現(xiàn)在各種各樣的教科書中，像流行的CISSP的培訓(xùn)教材，就連著名安全專家Bruce Schneier在其著作《secrets and lies: Digital Security in a Networked World》中對ALE也有所描述。ALE是定量風(fēng)險評估中的核心概念，有了ALE，從財務(wù)的角度對安全風(fēng)險損失以及所選擇的控制措施進行分析，依照成本效應(yīng)原則，選擇安全對策，有理有據(jù)，整個思路流暢，邏輯清晰。但是風(fēng)險管理實踐當(dāng)中，ALE卻遭遇重重困難，主要體現(xiàn)在以下幾個方面：

·局外人難以建模

·缺乏事件發(fā)生可能性和預(yù)測損失的數(shù)據(jù)

首先，ALE不是一個簡單的數(shù)學(xué)可以說明的問題。局外人制定的損失事件不能表現(xiàn)一個典型的損失事件的特性。一般來說，安全事件具有低概率、高危險性的時間。這使得他們難以建模。而非得要建模的話，那只能妥協(xié)并作出不合理的假設(shè)。

其次，ALE的實施者根本沒有能力以及具有合適的方法去估計可能性和損失。確實很難預(yù)知一個損失事件發(fā)生的可能性，這最可能的途徑之一是通過對歷史數(shù)據(jù)的分析，得出統(tǒng)計特性來預(yù)測將來，但是，在信息安全領(lǐng)域，歷史數(shù)據(jù)的缺失是不爭的事實。另外，預(yù)估損失事件對資產(chǎn)的影響也存在巨大挑戰(zhàn)，這種挑戰(zhàn)來自兩個層次，第一層次是資產(chǎn)本身價值的估計，第二層次是資產(chǎn)損失百分比。Bruce schneier把ALE說成“有很多猜測的工作”，說白了，就是需要拍腦袋。

再次，整個模型對假定中的微小變化非常敏感，因為一項資產(chǎn)或者資產(chǎn)組同時可能會遭受多個威脅的攻擊，而一個威脅可能會對多項資產(chǎn)或者資產(chǎn)組產(chǎn)生破壞，任意一個資產(chǎn)價值以及威脅發(fā)生可能性變化，就會傳遞到整個模型，產(chǎn)生的變化也就較大。試想一下，在ALE上建立的風(fēng)險管理模型，猶如沙灘上的高樓大廈，這樣的大廈盡管能夠登高享受美麗海景，但是你敢登嗎?!

需要數(shù)字說話

難道我們只能望樓興嘆嗎?實踐中對信息安全的測量的要求是實實在在存在的，而且會越來越突出。著名數(shù)學(xué)物理學(xué)家lord kelvin說過“你不能改進你不能測量的東西”。信息安全經(jīng)理必要知道當(dāng)前的信息安全管理體系運行如何：

·安全團隊獲得了什么成果?

·安全團隊是否為組織增加了價值?

·我怎樣才能表明我們有多少價值?

·我怎么能夠判斷部門的預(yù)算?

·我怎樣才能激發(fā)我的團隊獲得更多的成績?

安全團隊成員也有必要知道事情的進展:

·我們當(dāng)前處在哪里?

·我能否具有成就感以激發(fā)更多工作熱情?

·我能否看清自己的職業(yè)發(fā)展?

·我能否在接下來的員工考核中預(yù)估自己的成績?

高層管理必要去判斷事情的成?。?/P>

·哪種類型的保障能夠表明當(dāng)前的系統(tǒng)安全是充分的?

·我怎樣才能表明已經(jīng)履行了適度勤勉(due deligence)的責(zé)任?

·我們是否領(lǐng)先別人還是落后別人，或者處在中游水平?

·我是否正在履行公司治理的責(zé)任?

·我從安全投資中獲得哪種類型的回報?

又一困境

前幾年，安全產(chǎn)業(yè)平均以每年20%的水平在遞增，似乎近兩年這種增長在放慢。正如世界萬物都逃脫不掉萬有引力的吸引一樣，就得往地下掉。其實，這也說明企業(yè)在安全方面的投入變得越來越理性，越來越多的投資人在考慮，投入值得嗎?為什么要投入這么多?這個問題無法回避。這就是所謂的投資回報或者成本效益的問題。投資意味著當(dāng)前投入一些資源包括人力、財力和物力，是為了在以后的一段時間獲得收益;而回報就是收益本身。而投資安全的本質(zhì)是增加更多的控制。而好的安全則意味著什么事情都不會發(fā)生，確實，本該如此，不應(yīng)有安全事件發(fā)生，因為控制措施有效得力。但是這似乎又是是最要要命的，你想想，老板能容忍一幫清閑的家伙白拿銀子啊。投資之后，似乎好的安全的回報還不如銀子打水漂，因為連個水漂都沒有。

盡管如此，安全也要前行，它需要被推銷、被理解、被執(zhí)行。一些安全從業(yè)者試圖用類比保險的方法向企業(yè)高層管理灌輸信息安全理念。用安全來類比保險，其實是沒有認(rèn)識清楚安全和保險的本質(zhì)，保險不是一種預(yù)防性的措施，比如人壽險即對你的生活質(zhì)量沒有任何幫助，也不會延長你的生命，對于保單本人沒有任何利益。這種類比的方式把安全限于了沒有價值的困境，甚至還淪為背上業(yè)務(wù)絆腳石的惡名。因為有來自業(yè)務(wù)部門的抱怨說安全降低了他們的工作效率，拿口令這個簡單的例子來說，從簡單的兩三位非得改為至少六位而且須有大小寫加特殊字符等等，這無疑加重了記憶的負(fù)擔(dān)，忘記密碼也就成了常事，這能不影響工作么!?回想一下，長假后上班第一天，公司里誰最忙?系統(tǒng)管理員啊。干嘛去了?去重置密碼啦!

掙扎探索

類比保險這個矛盾的命題對安全是沒有任何益處的。既然投入回報意味著實際的利益發(fā)生，而且需要去衡量到底有多少的回報。不管你喜歡不喜歡，如果你打算說服高層管信息安全增加了組織的價值，你必須能夠證明附加了哪些價值，以及度量這些價值。那么這個時候與其去說投入回報還不如說價值回報，因為投資回報的計算僅僅是一項投資的全部價值的一小部分，而且有時計算某項投資的回報時，事實上會存在負(fù)的情況，但是收獲了一些無形的利益，比如客戶的滿意度，獲得信息的便利性等;

信息安全上的投資管理問題主要涉及兩個個方面，第一方面是投入決策，第二方面是利益的實現(xiàn);稍做展開，前者關(guān)注的是我們是否做了“正確的事情”，也就是企業(yè)有限的資源是否投放在當(dāng)前優(yōu)先級最高，風(fēng)險最大的地方，后者關(guān)注的是我們有沒有“把事情做正確”，也即實施了控制措施之后，殘余風(fēng)險是否降到了企業(yè)可以接受的水平。而這兩個方面，包含了三個基本的要素，那就是成本，價值和風(fēng)險。因此，我們需要一種框架、工具或技術(shù)，在適當(dāng)顆粒水平的基礎(chǔ)上為價值，成本和風(fēng)險進行廣泛的定量分析和比較。