企业风险管理之价值角度的初探

申请免费试用、咨询电话：400-8352-114

企业风险管理之价值角度初探 1

世事无绝对，这个观点没人反对;同样风险理论告诉我们，安全无绝对，一切安全活动应该建立在风险管理的基础上，绝对的零风险是不存在的，要想实现零风险，也是不现实的;在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下仓库的保险柜中，并在仓库内充满毒气，在仓库外安排士兵守卫。”显然，这样的计算机是无法使用的。计算机系统的安全性越高，风险越小，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全和风险，以及安全和成本投入之间做一种平衡。

平衡的理论为安全提供了前进的方向，但是在前进的道路中，需要具有可操作性的具体方法来指导。

ALE批判

在信息安全风险管理中有个特别有名的公式，那就是ALE(Annual Lose Expectation),它表示某个特定的安全事件损失的价值与其年度发生频率的乘积。

代表性定义如下：ALE=SLE*ARO

其中，SLE是单一损失期望，ARO是年度发生率。

ALE出现在各种各样的教科书中，像流行的CISSP的培训教材，就连著名安全专家Bruce Schneier在其著作《secrets and lies: Digital Security in a Networked World》中对ALE也有所描述。ALE是定量风险评估中的核心概念，有了ALE，从财务的角度对安全风险损失以及所选择的控制措施进行分析，依照成本效应原则，选择安全对策，有理有据，整个思路流畅，逻辑清晰。但是风险管理实践当中，ALE却遭遇重重困难，主要体现在以下几个方面：

·局外人难以建模

·缺乏事件发生可能性和预测损失的数据

首先，ALE不是一个简单的数学可以说明的问题。局外人制定的损失事件不能表现一个典型的损失事件的特性。一般来说，安全事件具有低概率、高危险性的时间。这使得他们难以建模。而非得要建模的话，那只能妥协并作出不合理的假设。

其次，ALE的实施者根本没有能力以及具有合适的方法去估计可能性和损失。确实很难预知一个损失事件发生的可能性，这最可能的途径之一是通过对历史数据的分析，得出统计特性来预测将来，但是，在信息安全领域，历史数据的缺失是不争的事实。另外，预估损失事件对资产的影响也存在巨大挑战，这种挑战来自两个层次，第一层次是资产本身价值的估计，第二层次是资产损失百分比。Bruce schneier把ALE说成“有很多猜测的工作”，说白了，就是需要拍脑袋。

再次，整个模型对假定中的微小变化非常敏感，因为一项资产或者资产组同时可能会遭受多个威胁的攻击，而一个威胁可能会对多项资产或者资产组产生破坏，任意一个资产价值以及威胁发生可能性变化，就会传递到整个模型，产生的变化也就较大。试想一下，在ALE上建立的风险管理模型，犹如沙滩上的高楼大厦，这样的大厦尽管能够登高享受美丽海景，但是你敢登吗?!

需要数字说话

难道我们只能望楼兴叹吗?实践中对信息安全的测量的要求是实实在在存在的，而且会越来越突出。著名数学物理学家lord kelvin说过“你不能改进你不能测量的东西”。信息安全经理必要知道当前的信息安全管理体系运行如何：

·安全团队获得了什么成果?

·安全团队是否为组织增加了价值?

·我怎样才能表明我们有多少价值?

·我怎么能够判断部门的预算?

·我怎样才能激发我的团队获得更多的成绩?

安全团队成员也有必要知道事情的进展:

·我们当前处在哪里?

·我能否具有成就感以激发更多工作热情?

·我能否看清自己的职业发展?

·我能否在接下来的员工考核中预估自己的成绩?

高层管理必要去判断事情的成败：

·哪种类型的保障能够表明当前的系统安全是充分的?

·我怎样才能表明已经履行了适度勤勉(due deligence)的责任?

·我们是否领先别人还是落后别人，或者处在中游水平?

·我是否正在履行公司治理的责任?

·我从安全投资中获得哪种类型的回报?

又一困境

前几年，安全产业平均以每年20%的水平在递增，似乎近两年这种增长在放慢。正如世界万物都逃脱不掉万有引力的吸引一样，就得往地下掉。其实，这也说明企业在安全方面的投入变得越来越理性，越来越多的投资人在考虑，投入值得吗?为什么要投入这么多?这个问题无法回避。这就是所谓的投资回报或者成本效益的问题。投资意味着当前投入一些资源包括人力、财力和物力，是为了在以后的一段时间获得收益;而回报就是收益本身。而投资安全的本质是增加更多的控制。而好的安全则意味着什么事情都不会发生，确实，本该如此，不应有安全事件发生，因为控制措施有效得力。但是这似乎又是是最要要命的，你想想，老板能容忍一帮清闲的家伙白拿银子啊。投资之后，似乎好的安全的回报还不如银子打水漂，因为连个水漂都没有。

尽管如此，安全也要前行，它需要被推销、被理解、被执行。一些安全从业者试图用类比保险的方法向企业高层管理灌输信息安全理念。用安全来类比保险，其实是没有认识清楚安全和保险的本质，保险不是一种预防性的措施，比如人寿险即对你的生活质量没有任何帮助，也不会延长你的生命，对于保单本人没有任何利益。这种类比的方式把安全限于了没有价值的困境，甚至还沦为背上业务绊脚石的恶名。因为有来自业务部门的抱怨说安全降低了他们的工作效率，拿口令这个简单的例子来说，从简单的两三位非得改为至少六位而且须有大小写加特殊字符等等，这无疑加重了记忆的负担，忘记密码也就成了常事，这能不影响工作么!?回想一下，长假后上班第一天，公司里谁最忙?系统管理员啊。干嘛去了?去重置密码啦!

挣扎探索

类比保险这个矛盾的命题对安全是没有任何益处的。既然投入回报意味着实际的利益发生，而且需要去衡量到底有多少的回报。不管你喜欢不喜欢，如果你打算说服高层管信息安全增加了组织的价值，你必须能够证明附加了哪些价值，以及度量这些价值。那么这个时候与其去说投入回报还不如说价值回报，因为投资回报的计算仅仅是一项投资的全部价值的一小部分，而且有时计算某项投资的回报时，事实上会存在负的情况，但是收获了一些无形的利益，比如客户的满意度，获得信息的便利性等;

信息安全上的投资管理问题主要涉及两个个方面，第一方面是投入决策，第二方面是利益的实现;稍做展开，前者关注的是我们是否做了“正确的事情”，也就是企业有限的资源是否投放在当前优先级最高，风险最大的地方，后者关注的是我们有没有“把事情做正确”，也即实施了控制措施之后，残余风险是否降到了企业可以接受的水平。而这两个方面，包含了三个基本的要素，那就是成本，价值和风险。因此，我们需要一种框架、工具或技术，在适当颗粒水平的基础上为价值，成本和风险进行广泛的定量分析和比较。