當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA信息化
安全投資回報(bào)率: 到底是虛幻還是現(xiàn)實(shí)?
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來源:泛普軟件投資回報(bào)率,或者也叫ROI,是公司業(yè)務(wù)中很重要的話題。所有公司企業(yè)都在努力追求創(chuàng)造積極的投資回報(bào)率,較高的投資回報(bào)率才能保證公司的繼續(xù)正常發(fā)展。
投資回報(bào)率問題在IT安全部分也同樣是個(gè)很重要的話題。很多公司客戶希望通過投資回報(bào)率模式來展現(xiàn)公司某一特定的安全投資是否物有所值,同樣地,供應(yīng)商也在向客戶們提供這樣一種投資回報(bào)率模式,能夠顯示他們的某個(gè)安全系統(tǒng)是否提供了最佳投資回報(bào)率。
理論上來說,安全投資回報(bào)率一個(gè)很好的理念,但是大多數(shù)在實(shí)踐中不能實(shí)現(xiàn)。
在我開始談?wù)摷?xì)節(jié)問題之前,我想要說清楚一個(gè)問題,實(shí)際上,安全部分“投資回報(bào)率”的說法其實(shí)是不準(zhǔn)確的,安全并不是一種能夠提供匯報(bào)的投資,不像一個(gè)新工廠或者某種金融工具。我們希望看到的是,人們投資在安全部分的資金能夠?yàn)樗麄児?jié)省成本開支,安全部分的投資是為了預(yù)防災(zāi)難,而不是某種收益。
但是任何一個(gè)參與過公司年終預(yù)算削減的人都知道,當(dāng)我們?cè)谧龀杀居?jì)算的時(shí)候,實(shí)際上,降低成本就等于是增加收益。因此,盡管安全并不能直接提供投資回報(bào)率,但是損失預(yù)防肯定會(huì)降低公司的最終成本。
公司應(yīng)該執(zhí)行那些能夠直接影響其最終成本的安全對(duì)策,而不是將更多的資金花費(fèi)在值得解決的安全問題上。反過來說,他們不應(yīng)該忽視那些存在其他更廉價(jià)的緩解辦法的正在耗費(fèi)公司成本的安全問題。明智的公司需要向?qū)Υ渌魏紊虡I(yè)決策一樣對(duì)待安全問題:成本v.s利益。
最經(jīng)典的方法就是我們所謂的年均損失預(yù)計(jì)(ALE,annualized loss expectancy),而且這是一種十分直接簡(jiǎn)單的方法。計(jì)算安全事件的成本時(shí),既要計(jì)算有形資產(chǎn)(例如時(shí)間和金錢),也要考慮無形資產(chǎn)(例如聲譽(yù)和競(jìng)爭(zhēng)優(yōu)勢(shì)),然后乘以這個(gè)安全事件一年內(nèi)發(fā)生的次數(shù)。得出的結(jié)果就是你需要在該安全事件上投資的成本,以求降低安全問題的發(fā)生幾率。因此,舉例來說,如果你的店鋪有10%被搶劫的可能性,并且被搶劫的成本時(shí)10000美元,那么你就需要每年花費(fèi)1000美元在安全問題上?;ㄙM(fèi)更多的錢只會(huì)浪費(fèi)你的成本,而花費(fèi)更少的錢,同樣說明你在浪費(fèi)成本。
當(dāng)然,每年花費(fèi)的1000美元安全費(fèi)用并不能將被搶劫的幾率降低到零,以符合成本效益。如果安全解決方案將搶劫偷盜的幾率降低了40%(降低到每年6%),那么你的安全花費(fèi)就不會(huì)超過400美元。如果另外一個(gè)安全解決方案能夠?qū)尳賻茁式档?0%,那么它就值800美元。如果兩種安全解決方案,每一種解決方案都能降低50%的偷盜率,而第一種只要花費(fèi)300美元,另一種則需要700美元,那么我們很清楚地看出,第一種解決方案更加劃算。
必要的數(shù)據(jù)
完成這項(xiàng)工作的關(guān)鍵在于完整的數(shù)據(jù),這種方法實(shí)際上是精算的方法。如果你在一個(gè)便利店對(duì)是否安裝安全攝像機(jī)問題進(jìn)行ALE分析,那么你就需要知道附近其他便利店的犯罪發(fā)生幾率,并且要大概知道多少臺(tái)攝像機(jī)才能夠迫使搶劫犯去搶劫其他便利店。另外你還需要知道一宗劫案的成本消耗:無論是商品、時(shí)間、由于驚嚇顧客造成的銷售損失以及對(duì)員工士氣的打擊等。你還必須知道沒有攝像機(jī)時(shí),對(duì)員工工作士氣的影響――可能你還很難找到雇員為你上夜班。有了上述所有數(shù)據(jù),你就可以計(jì)算出安裝攝像機(jī)的費(fèi)用實(shí)際上會(huì)比你晚上關(guān)閉店鋪損失的成本要低,并且我們假設(shè)的情況是關(guān)閉的店鋪沒有遭到搶劫。然后你就可以決定是否安裝監(jiān)控?cái)z像機(jī)了。
網(wǎng)絡(luò)安全相比而言是比較困難的,因?yàn)椴]有足夠的數(shù)據(jù)提供給我們。我們并沒有網(wǎng)絡(luò)空間犯罪率數(shù)據(jù),而且我們沒有關(guān)于單個(gè)安全解決方案對(duì)于降低安全風(fēng)險(xiǎn)的幾率。我們甚至都沒有事件成本的數(shù)據(jù)。
其中一個(gè)問題就是安全威脅變化太快,我們?cè)噲D預(yù)防的安全問題變化得太快了以至于我們都來不及計(jì)算相關(guān)數(shù)據(jù)。就算我們計(jì)算出了一些數(shù)據(jù),又將出現(xiàn)其他的我們不具備相關(guān)數(shù)據(jù)的新的安全威脅。所以我們?cè)诰W(wǎng)絡(luò)世界,不能簡(jiǎn)單地使用ALE模式。
另外還存在一個(gè)問題,就是當(dāng)計(jì)算罕見的昂貴的事件時(shí),我們的數(shù)學(xué)計(jì)算方法將很快失效。假設(shè)你公司的名字因?yàn)橐患y堪的網(wǎng)絡(luò)安全事件出現(xiàn)在報(bào)紙上,然后你計(jì)算出了損失成本(名譽(yù)成本損失、客戶損失等)估約為20,000,000,并且我們假設(shè)這種事件每年發(fā)生的幾率是萬分之一,那么ALE得出的結(jié)論將是你每年只需要花費(fèi)不超過2000美元來降低這種安全風(fēng)險(xiǎn)。
到目前為止,這是個(gè)很不錯(cuò)的方法。但是也許你的首席財(cái)務(wù)官會(huì)認(rèn)為這種安全事件只需要花費(fèi)10,000,000,當(dāng)然你也不能爭(zhēng)辯,因?yàn)槲覀冎皇窃诠浪?。但是首席?cái)務(wù)官在這里就已經(jīng)將你的安全預(yù)算削減了一半。如果某個(gè)供應(yīng)商向你兜售一種產(chǎn)品,這種能夠通過網(wǎng)絡(luò)分析師的分析得出這種安全事件的發(fā)生幾率實(shí)際上是千分之一,那么接受這個(gè)數(shù)據(jù)把,因?yàn)榧词箖r(jià)格是高于該產(chǎn)品10倍的產(chǎn)品都將是個(gè)不錯(cuò)的投資。
當(dāng)你在處理更加罕見更加巨額的事件時(shí),問題將變得更加復(fù)雜。假設(shè)你們是一家氯氣廠,正受到降低恐怖主義威脅的問題的控告,那么你認(rèn)為因?yàn)橐淮尉薮蟮闹旅谋銈児緫?yīng)該承受多大的成本消耗呢?無論是金錢上的或是名譽(yù)上的。100萬美元?10億美元?100億美元?發(fā)生幾率是:十萬分之一?百萬分之一?千萬分之一?取決于你回答這兩個(gè)問題的答案,而且任何答案都只是猜測(cè),你可以花費(fèi)10美元甚至是10萬美元來降低這個(gè)安全風(fēng)險(xiǎn)。
或者我們來看看另一個(gè)例子:機(jī)場(chǎng)安全風(fēng)險(xiǎn)。假設(shè)所有的新機(jī)場(chǎng)安全措施都增加了機(jī)場(chǎng)乘客的候機(jī)時(shí)間,我假設(shè)時(shí)間是每名乘客為 30分鐘。2007年在美國(guó)候機(jī)的乘客有7.6億人,這就意味著額外的候機(jī)時(shí)間耗費(fèi)了我們所有人總共43000年的額外等候時(shí)間。假設(shè)一個(gè)人的壽命為70 年,那么這增加的候機(jī)時(shí)間每年都“奪取了”620人的終生性命,如果根據(jù)每天16小時(shí)的清醒時(shí)間來計(jì)算則奪取了930人的性命。所以問題就是:如果我們真的不考慮部署機(jī)場(chǎng)安全措施,奪取的性命真的會(huì)比恐怖主義者奪取的性命要多么?
貨物既出概不退貨
這就是為什么我在本文的開頭說安全供應(yīng)商提供的大多數(shù)投資回報(bào)率模式都是無稽之談的原因,當(dāng)然他們的模式能夠表明他們的產(chǎn)品或者服務(wù)具備金融意識(shí):他們能夠計(jì)算出成本收益數(shù)據(jù)。
但是這并不是說ALE是沒有用的,它給我們的提示是:1)不要相信任何使用議程分析的人所得出的任何分析數(shù)據(jù);2)將所有結(jié)果僅僅當(dāng)作一種指引或向?qū)А?/P>
所以當(dāng)你從供應(yīng)商處獲得投資回報(bào)模型的時(shí)候,使用模型的框架然后填入你自己的數(shù)據(jù)。(甚至不要向供應(yīng)商展示你對(duì)他們產(chǎn)品模型的改進(jìn),他們不會(huì)認(rèn)為任何降低他們產(chǎn)品或者服務(wù)成本收益的改變是“改進(jìn)”),然后將得出的結(jié)果數(shù)據(jù)作為一般指南,當(dāng)你在決定是否購(gòu)買安全產(chǎn)品或者服務(wù)的時(shí)候,進(jìn)行風(fēng)險(xiǎn)管理以及合規(guī)分析。(IT專家網(wǎng))
- 1“第八屆中國(guó)電子政務(wù)高峰論壇”5月即將開幕
- 2實(shí)戰(zhàn):遠(yuǎn)程管理對(duì)服務(wù)器管理的影響
- 3有OA,五大洲協(xié)同辦公
- 4協(xié)同辦公軟件可以為您做到什么?
- 5皖江XX協(xié)同辦公系統(tǒng) 實(shí)現(xiàn)方案匯報(bào)
- 6重慶泛普OA軟件的隱性知識(shí)顯性化
- 7卓尚服飾(杭州)有限公司借萬戶OA打造行業(yè)協(xié)同辦公新氣象
- 8漏洞頻頻曝光 如何保證企業(yè)網(wǎng)絡(luò)安全
- 9保障虛擬服務(wù)器環(huán)境安全的二十四個(gè)措施
- 10OA使跟蹤審計(jì)工作得以簡(jiǎn)化和提高效率
- 11分析磁帶技術(shù)在數(shù)據(jù)保護(hù)中的角色
- 12協(xié)作軟件的前景、進(jìn)展以及陣痛
- 13軟件渠道大會(huì)優(yōu)秀產(chǎn)品推薦之:軟易MasterOffice協(xié)同辦公管理系統(tǒng)
- 14最值代理軟件之:協(xié)同辦公軟件
- 15成長(zhǎng)型企業(yè)OA系統(tǒng)解決方案
- 16博通協(xié)同辦公系統(tǒng)解決方案
- 17服務(wù)器是IT底層 云計(jì)算興起仍無法取代
- 18降低內(nèi)部網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的10種方法
- 19識(shí)別常見十大漏洞 有效防止黑客入侵
- 20重慶房地產(chǎn)OA軟件是采用微軟.NET平臺(tái)技術(shù)
- 21SaaS模式下的數(shù)據(jù)安全保障及滿意度亟需完善
- 2210 OA協(xié)同辦公系統(tǒng)助您強(qiáng)化業(yè)務(wù)流程管理
- 23云計(jì)算的6個(gè)未來趨勢(shì)
- 24淺談OA放權(quán) 開源會(huì)否成為下一個(gè)增長(zhǎng)點(diǎn)
- 25協(xié)同辦公軟件為北京奔馳公司內(nèi)部銷售管理提供強(qiáng)大的信息技術(shù)支持
- 26華君協(xié)同辦公系統(tǒng)(華君OA)
- 27協(xié)同辦公走進(jìn)大OA平臺(tái)協(xié)作時(shí)代
- 28建立牢固虛擬化基礎(chǔ)是降低成本的關(guān)鍵
- 29專家指出關(guān)鍵任務(wù)的實(shí)施宜遠(yuǎn)離云計(jì)算
- 30提供商機(jī)全過程執(zhí)行跟蹤,形成體系化的銷售方法
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓