作者介绍:陈岌,谷安天下咨询顾问。擅长领域:ISO 27001信息安全管理体系建设/信息安全产品技术/信息安全风险管理/IT审计
世事无绝对,这个观点没人反对;同样风险理论告诉我们,安全无绝对,一切安全活动应该建立在风险管理的基础上,绝对的零风险是不存在的,要想实现零风险,也是不现实的;在计算机安全领域有一句格言:“真正安全的计算机是拔下网线,断掉电源,放置在地下仓库的保险柜中,并在仓库内充满毒气,在仓库外安排士兵守卫。”显然,这样的计算机是无法使用的。计算机系统的安全性越高,风险越小,其可用性越低,需要付出的成本也就越大,一般来说,需要在安全和风险,以及安全和成本投入之间做一种平衡。
平衡的理论为安全提供了前进的方向,但是在前进的道路中,需要具有可操作性的具体方法来指导。
ALE批判
在信息安全风险管理中有个特别有名的公式,那就是ALE(Annual Lose Expectation),它表示某个特定的安全事件损失的价值与其年度发生频率的乘积。
代表性定义如下:ALE=SLE*ARO
其中,SLE是单一损失期望,ARO是年度发生率。
ALE出现在各种各样的教科书中,像流行的CISSP的培训教材,就连著名安全专家Bruce Schneier在其著作《secrets and lies: Digital Security in a Networked World》中对ALE也有所描述。ALE是定量风险评估中的核心概念,有了ALE,从财务的角度对安全风险损失以及所选择的控制措施进行分析,依照成本效应原则,选择安全对策,有理有据,整个思路流畅,逻辑清晰。但是风险管理实践当中,ALE却遭遇重重困难,主要体现在以下几个方面:
局外人难以建模
缺乏事件发生可能性和预测损失的数据
首先,ALE不是一个简单的数学可以说明的问题。局外人制定的损失事件不能表现一个典型的损失事件的特性。一般来说,安全事件具有低概率、高危险性的时间。这使得他们难以建模。而非得要建模的话,那只能妥协并作出不合理的假设。
其次,ALE的实施者根本没有能力以及具有合适的方法去估计可能性和损失。确实很难预知一个损失事件发生的可能性,这最可能的途径之一是通过对历史数据的分析,得出统计特性来预测将来,但是,在信息安全领域,历史数据的缺失是不争的事实。另外,预估损失事件对资产的影响也存在巨大挑战,这种挑战来自两个层次,第一层次是资产本身价值的估计,第二层次是资产损失百分比。Bruce schneier把ALE说成”有很多猜测的工作”,说白了,就是需要拍脑袋。
再次,整个模型对假定中的微小变化非常敏感,因为一项资产或者资产组同时可能会遭受多个威胁的攻击,而一个威胁可能会对多项资产或者资产组产生破坏,任意一个资产价值以及威胁发生可能性变化,就会传递到整个模型,产生的变化也就较大。试想一下,在ALE上建立的风险管理模型,犹如沙滩上的高楼大厦,这样的大厦尽管能够登高享受美丽海景,但是你敢登吗?!
需要数字说话
难道我们只能望楼兴叹吗?实践中对信息安全的测量的要求是实实在在存在的,而且会越来越突出。著名数学物理学家lord kelvin说过“你不能改进你不能测量的东西”。信息安全经理必要知道当前的信息安全管理体系运行如何:
安全团队获得了什么成果?
安全团队是否为组织增加了价值?
我怎样才能表明我们有多少价值?
我怎么能够判断部门的预算?
我怎样才能激发我的团队获得更多的成绩?
安全团队成员也有必要知道事情的进展:
我们当前处在哪里?
我能否具有成就感以激发更多工作热情?
我能否看清自己的职业发展?
我能否在接下来的员工考核中预估自己的成绩?
高层管理必要去判断事情的成败:
哪种类型的保障能够表明当前的系统安全是充分的?
我怎样才能表明已经履行了适度勤勉(due deligence)的责任?
我们是否领先别人还是落后别人,或者处在中游水平?
我是否正在履行公司治理的责任?
我从安全投资中获得哪种类型的回报?
