安全专家讲述：风险管理的价值角度初探

作者介绍：陈岌，谷安天下咨询顾问。擅长领域：ISO 27001信息安全管理体系建设/信息安全产品技术/信息安全风险管理/IT审计

世事无绝对，这个观点没人反对;同样风险理论告诉我们，安全无绝对，一切安全活动应该建立在风险管理的基础上，绝对的零风险是不存在的，要想实现零风险，也是不现实的;在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下仓库的保险柜中，并在仓库内充满毒气，在仓库外安排士兵守卫。”显然，这样的计算机是无法使用的。计算机系统的安全性越高，风险越小，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全和风险，以及安全和成本投入之间做一种平衡。

平衡的理论为安全提供了前进的方向，但是在前进的道路中，需要具有可操作性的具体方法来指导。

ALE批判

在信息安全风险管理中有个特别有名的公式，那就是ALE(Annual Lose Expectation),它表示某个特定的安全事件损失的价值与其年度发生频率的乘积。

代表性定义如下：ALE=SLE*ARO

其中，SLE是单一损失期望，ARO是年度发生率。

ALE出现在各种各样的教科书中，像流行的CISSP的培训教材，就连著名安全专家Bruce Schneier在其著作《secrets and lies: Digital Security in a Networked World》中对ALE也有所描述。ALE是定量风险评估中的核心概念，有了ALE，从财务的角度对安全风险损失以及所选择的控制措施进行分析，依照成本效应原则，选择安全对策，有理有据，整个思路流畅，逻辑清晰。但是风险管理实践当中，ALE却遭遇重重困难，主要体现在以下几个方面：

局外人难以建模

缺乏事件发生可能性和预测损失的数据

首先，ALE不是一个简单的数学可以说明的问题。局外人制定的损失事件不能表现一个典型的损失事件的特性。一般来说，安全事件具有低概率、高危险性的时间。这使得他们难以建模。而非得要建模的话，那只能妥协并作出不合理的假设。

其次，ALE的实施者根本没有能力以及具有合适的方法去估计可能性和损失。确实很难预知一个损失事件发生的可能性，这最可能的途径之一是通过对历史数据的分析，得出统计特性来预测将来，但是，在信息安全领域，历史数据的缺失是不争的事实。另外，预估损失事件对资产的影响也存在巨大挑战，这种挑战来自两个层次，第一层次是资产本身价值的估计，第二层次是资产损失百分比。Bruce schneier把ALE说成”有很多猜测的工作”，说白了，就是需要拍脑袋。

再次，整个模型对假定中的微小变化非常敏感，因为一项资产或者资产组同时可能会遭受多个威胁的攻击，而一个威胁可能会对多项资产或者资产组产生破坏，任意一个资产价值以及威胁发生可能性变化，就会传递到整个模型，产生的变化也就较大。试想一下，在ALE上建立的风险管理模型，犹如沙滩上的高楼大厦，这样的大厦尽管能够登高享受美丽海景，但是你敢登吗?!

需要数字说话

难道我们只能望楼兴叹吗?实践中对信息安全的测量的要求是实实在在存在的，而且会越来越突出。著名数学物理学家lord kelvin说过“你不能改进你不能测量的东西”。信息安全经理必要知道当前的信息安全管理体系运行如何：

安全团队获得了什么成果?

安全团队是否为组织增加了价值?

我怎样才能表明我们有多少价值?

我怎么能够判断部门的预算?

我怎样才能激发我的团队获得更多的成绩?

安全团队成员也有必要知道事情的进展:

我们当前处在哪里?

我能否具有成就感以激发更多工作热情?

我能否看清自己的职业发展?

我能否在接下来的员工考核中预估自己的成绩?

高层管理必要去判断事情的成败：

哪种类型的保障能够表明当前的系统安全是充分的?

我怎样才能表明已经履行了适度勤勉(due deligence)的责任?

我们是否领先别人还是落后别人，或者处在中游水平?

我是否正在履行公司治理的责任?

我从安全投资中获得哪种类型的回报?

未经允许不得转载：DOIT » 安全专家讲述：风险管理的价值角度初探