研究创新


风险管理的价值角度初探

作者简介:陈岌,谷安天下咨询经理,11年信息安全领域研究与从业经验,主要从事信息安全实施规划、信息安全风险评估、信息安全管理体系建立和实施、等级保护等方面工作,具备丰富的信息安全管理咨询与IT审计实践经验。曾服务的主要客户有:工商银行、中国电信、用友软件、北京NTT DATA、太平洋保险等。长期从事CISSP等信息安全培训工作。

安帮网(www.sec580.com)创始人,安帮网是国内唯一一家信息安全人士互动社区,并拥有国内最大的信息安全资料库。

文章正文:

世事无绝对,这个观点没人反对;同样风险理论告诉我们,安全无绝对,一切安全活动应该建立在风险管理的基础上,绝对的零风险是不存在的,要想实现零风险,也是不现实的;在计算机安全领域有一句格言:“真正安全的计算机是拔下网线,断掉电源,放置在地下仓库的保险柜中,并在仓库内充满毒气,在仓库外安排士兵守卫。”显然,这样的计算机是无法使用的。计算机系统的安全性越高,风险越小,其可用性越低,需要付出的成本也就越大,一般来说,需要在安全和风险,以及安全和成本投入之间做一种平衡。


平衡的理论为安全提供了前进的方向,但是在前进的道路中,需要具有可操作性的具体方法来指导。

ALE批判

在信息安全风险管理中有个特别有名的公式,那就是ALEAnnual Lose Expectation,它表示某个特定的安全事件损失的价值与其年度发生频率的乘积。

代表性定义如下:ALE=SLE*ARO

其中,SLE是单一损失期望,ARO是年度发生率。

ALE出现在各种各样的教科书中,像流行的CISSP的培训教材,就连著名安全专家Bruce Schneier在其著作《secrets and lies: Digital Security in a Networked World》中对ALE也有所描述。ALE是定量风险评估中的核心概念,有了ALE,从财务的角度对安全风险损失以及所选择的控制措施进行分析,依照成本效应原则,选择安全对策,有理有据,整个思路流畅,逻辑清晰。但是风险管理实践当中,ALE却遭遇重重困难,主要体现在以下几个方面:

局外人难以建模

缺乏事件发生可能性和预测损失的数据

首先,ALE不是一个简单的数学可以说明的问题。局外人制定的损失事件不能表现一个典型的损失事件的特性。一般来说,安全事件具有低概率、高危险性的时间。这使得他们难以建模。而非得要建模的话,那只能妥协并作出不合理的假设。

其次,ALE的实施者根本没有能力以及具有合适的方法去估计可能性和损失。确实很难预知一个损失事件发生的可能性,这最可能的途径之一是通过对历史数据的分析,得出统计特性来预测将来,但是,在信息安全领域,历史数据的缺失是不争的事实。另外,预估损失事件对资产的影响也存在巨大挑战,这种挑战来自两个层次,第一层次是资产本身价值的估计,第二层次是资产损失百分比。Bruce schneierALE说成有很多猜测的工作,说白了,就是需要拍脑袋。

再次,整个模型对假定中的微小变化非常敏感,因为一项资产或者资产组同时可能会遭受多个威胁的攻击,而一个威胁可能会对多项资产或者资产组产生破坏,任意一个资产价值以及威胁发生可能性变化,就会传递到整个模型,产生的变化也就较大。试想一下,在ALE上建立的风险管理模型,犹如沙滩上的高楼大厦,这样的大厦尽管能够登高享受美丽海景,但是你敢登吗?!

需要数字说话

难道我们只能望楼兴叹吗?实践中对信息安全的测量的要求是实实在在存在的,而且会越来越突出。著名数学物理学家lord kelvin说过“你不能改进你不能测量的东西”。信息安全经理   必要知道当前的信息安全管理体系运行如何:

安全团队获得了什么成果?

安全团队是否为组织增加了价值?

我怎样才能表明我们有多少价值?

我怎么能够判断部门的预算?

我怎样才能激发我的团队获得更多的成绩?

安全团队成员也有必要知道事情的进展:

我们当前处在哪里?

我能否具有成就感以激发更多工作热情?

我能否看清自己的职业发展?

我能否在接下来的员工考核中预估自己的成绩?

高层管理必要去判断事情的成败:

哪种类型的保障能够表明当前的系统安全是充分的?

我怎样才能表明已经履行了适度勤勉(due deligence)的责任?

我们是否领先别人还是落后别人,或者处在中游水平?

我是否正在履行公司治理的责任?

我从安全投资中获得哪种类型的回报?

又一困境

前几年,安全产业平均以每年20%的水平在递增,似乎近两年这种增长在放慢。正如世界万物都逃脱不掉万有引力的吸引一样,就得往地下掉。其实,这也说明企业在安全方面的投入变得越来越理性,越来越多的投资人在考虑,投入值得吗?为什么要投入这么多?这个问题无法回避。这就是所谓的投资回报或者成本效益的问题。投资意味着当前投入一些资源包括人力、财力和物力,是为了在以后的一段时间获得收益;而回报就是收益本身。而投资安全的本质是增加更多的控制。而好的安全则意味着什么事情都不会发生,确实,本该如此,不应有安全事件发生,因为控制措施有效得力。但是这似乎又是是最要要命的,你想想,老板能容忍一帮清闲的家伙白拿银子啊。投资之后,似乎好的安全的回报还不如银子打水漂,因为连个水漂都没有。

尽管如此,安全也要前行,它需要被推销、被理解、被执行。一些安全从业者试图用类比保险的方法向企业高层管理灌输信息安全理念。用安全来类比保险,其实是没有认识清楚安全和保险的本质,保险不是一种预防性的措施,比如人寿险即对你的生活质量没有任何帮助,也不会延长你的生命,对于保单本人没有任何利益。这种类比的方式把安全限于了没有价值的困境,甚至还沦为背上业务绊脚石的恶名。因为有来自业务部门的抱怨说安全降低了他们的工作效率,拿口令这个简单的例子来说,从简单的两三位非得改为至少六位而且须有大小写加特殊字符等等,这无疑加重了记忆的负担,忘记密码也就成了常事,这能不影响工作么!?回想一下,长假后上班第一天,公司里谁最忙?系统管理员啊。干嘛去了?去重置密码啦!

挣扎探索

类比保险这个矛盾的命题对安全是没有任何益处的。既然投入回报意味着实际的利益发生,而且需要去衡量到底有多少的回报。不管你喜欢不喜欢,如果你打算说服高层管信息安全增加了组织的价值,你必须能够证明附加了哪些价值,以及度量这些价值。那么这个时候与其去说投入回报还不如说价值回报,因为投资回报的计算仅仅是一项投资的全部价值的一小部分,而且有时计算某项投资的回报时,事实上会存在负的情况,但是收获了一些无形的利益,比如客户的满意度,获得信息的便利性等;

信息安全上的投资管理问题主要涉及两个方面,第一方面是投入决策,第二方面是利益的实现;稍做展开,前者关注的是我们是否做了“正确的事情”,也就是企业有限的资源是否投放在当前优先级最高,风险最大的地方,后者关注的是我们有没有“把事情做正确”,也即实施了控制措施之后,残余风险是否降到了企业可以接受的水平。而这两个方面,包含了三个基本的要素,那就是成本,价值和风险。因此,我们需要一种框架、工具或技术,在适当颗粒水平的基础上为价值,成本和风险进行广泛的定量分析和比较。

出路:决策框架

决策框架应该包含价值、费用和风险三个要素。三要素综合的结果是为风险管理决策提供良好保障。

价值

 

            

     风险

 

 

成本

结果

 

这个决策框架必须为定义一项风险消减的目标,分析可选择的控制措施、管理和评价当前的性能提供指导。同时能够为设计、分析、选择和投资项目以及管理、度量这些投资提供指导。必须要很好的理解这三个要素,以计划、论证、实施、评估以及管理安全投资活动。下面我们从分解价值、成本和风险构成来探讨这个框架如何为风险管理服务。

价值构成从两个方面来描述利益和排定其优先级。第一层次是要考虑一项议案(项目或活动)实现价值的能力,第二层次是要描述如何测量这些价值。企业投资价值需要进行分解,分解的因素应该不具有交叉性同时又是相关的。不同的行业有不同的价值因素,即使是同一行业,不同企业也有所不同。下表是企业价值构成因素分解的例子:

价值因素

描述

利益(举例)

直接客户

有利于通过电子的方式所得服务用户或用户组,这些用户包括企业内部用户以及外部用户

为访问系统提供便利

企业运行

改善在企业运作和将来议案实现

压缩周转时间、改善基础设施

企业战略

有助于达得战略目标,重大事务优先权和相关授权

履行组织的任务

企业财务

获得财务利益

减少更正错误的费用

社会

有利于社会

获得社会的信任

 

从上表可以看出,一般情况下,这些价值因素在重要性方面不是等同的,需要根据他们对企业的重要性等级判定其权重。因此,在开发、管理或者评估一个项目(工程)时,决策者必须理解什么是重要的,也能够决定重要性的等级。以下问题是必须要回答的,也就是对他们来说,那种类型的价值是最重要的,以及这种价值相对其他价值而言到底有多重要(权重)。

要严格识别和定义价值度量标准,周密计划、和执行价值测量,因为其严格性和计划水平很大程度上决定了价值构成能否提供为评估一个项目的价值提供准确的框架。那么如何去识别和定义这些度量标准呢?应该从客户的角度去考虑价值,因为来自客户和股东的输入反映了他们的需求,创建和使用基于用户的度量标准更能有效的满足用户需求,为他们实现更多的财务和非财务的价值。在定义度量时应该包含以下四个方面:

§  简洁、说明性的名字-使用清晰的语言表达这个度量系统的广度和关注度。

§  简短的描述-能够提供足够的信息,使得任何读者能够准确的理解度量的对象。

§  性能测量- 一个项目的有效性的测量可能需要多个度量系统,这样才有可能确保为提出的度量对象搜集足够的信息。如果你不能测量他,那么大的度量系统是没有用的。一般情况下,在设置性能目标时,应该关注最终目标,也就是说,需要从长期的角度去考虑这个项目需要完成的东西是否达到其最终目标。

§  设置目标并且建立标准化的刻度-为每个目标以及价值的主观评价建立一个标准化的刻度。标准化的刻度提供了一种方法,这种方法把价值的主观和客观度量整合到单一的决策度量系统中。相比较而言,使用何种刻度不重要,重要的是这个刻度能够保持度量的一致。评价目标是否达到时,避免使用类似在…增长或者降低的词汇,要使用具体的可度量的词语。

成本构成与价值构成有些类似,成本构成是成本估算的基础, 它最重要的目标是完成一个完备、广泛的成本预估,以减少遗漏或者重复计算的风险。准确和完备的成本预算对项目的成功是至关重要的。这个目标达成是建立在对项目的彻底理解并且知道相关成本的估计的基础上的。成本构成可采取一个分层的架构,或者称之为费用树,估算时把费用层层分解,分解之后,复杂事物简单化,提高了估算的准确度。然后再层层汇总,最终得出项目整体成本。

在风险管理当中,风险是核心对象,安全投资的目的就是要消减风险,也是投资的出发点。风险构成关心两个问题,一个是有哪些风险,另一个是哪些风险是企业可以接受的。因此,风险构成达到两个目标,第一,为识别所有潜在的风险提供参考。第二,为判断和确定企业的风险可接受水平。对于第一个目标来说,当前介绍风险管理的国际标准、国家标准以及其他的参考材料已经是汗牛充栋,里面有很多有用参考,这里就不必累赘。第二目标的达成,价值和成本的准确估计是关键基础。为什么这么说呢?在定性的风险评估的方法当中我们可以看到,风险的可接受水平可以从以下几个方面来判断确定:

§  该风险的发生将对业务产生的影响;

§  处理该风险成本与风险发生后带来的损失的比较;

§  处理该风险的控制措施对业务运作效率影响程度;

§  处理该风险的控制措施在技术上能够实现难易度。

一般情况下,如果认为风险发生将对业务产生较大影响,符合成本效益原则,措施实施之后没有明显降低工作效率以及在技术实现上可行的话,那么都认为这种风险是不可以接受的。仔细分析,所有的这些因素都集中到两点,成本和价值的比较。只要不能获利,这种风险是可以接受的。

单纯的从经济的角度看投资回报必然使风险管理限于困境,我们只有跳出投资回报,把眼光放得更宽一些,从价值回报的角度来看风险管理,这为风险管理提供了新的出路。过去在信息安全的实践当中,我们过多的关注“把事情做正确”,现在该是开始关注“做正确的事情”的时候了。


  • 附件:风险管理的价值角度初探.rar

  • E-mail:market@gooann.com

    Fax:010-51626887-816