安全投資回報(bào)率 是虛幻還是現(xiàn)實(shí)？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

投資回報(bào)率，或者也叫ROI，是公司業(yè)務(wù)中很重要的話題。所有公司企業(yè)都在努力追求創(chuàng)造積極的投資回報(bào)率，較高的投資回報(bào)率才能保證公司的繼續(xù)正常發(fā)展。

投資回報(bào)率問題在IT安全部分也同樣是個(gè)很重要的話題。很多公司客戶希望通過投資回報(bào)率模式來展現(xiàn)公司某一特定的安全投資是否物有所值，同樣地，供應(yīng)商也在向客戶們提供這樣一種投資回報(bào)率模式，能夠顯示他們的某個(gè)安全系統(tǒng)是否提供了最佳投資回報(bào)率。

理論上來說，安全投資回報(bào)率一個(gè)很好的理念，但是大多數(shù)在實(shí)踐中不能實(shí)現(xiàn)。

在我開始談?wù)摷?xì)節(jié)問題之前，我想要說清楚一個(gè)問題，實(shí)際上，安全部分“投資回報(bào)率”的說法其實(shí)是不準(zhǔn)確的，安全并不是一種能夠提供匯報(bào)的投資，不像一個(gè)新工廠或者某種金融工具。我們希望看到的是，人們投資在安全部分的資金能夠?yàn)樗麄児?jié)省成本開支，安全部分的投資是為了預(yù)防災(zāi)難，而不是某種收益。

但是任何一個(gè)參與過公司年終預(yù)算削減的人都知道，當(dāng)我們?cè)谧龀杀居?jì)算的時(shí)候，實(shí)際上，降低成本就等于是增加收益。因此，盡管安全并不能直接提供投資回報(bào)率，但是損失預(yù)防肯定會(huì)降低公司的最終成本。

公司應(yīng)該執(zhí)行那些能夠直接影響其最終成本的安全對(duì)策，而不是將更多的資金花費(fèi)在值得解決的安全問題上。反過來說，他們不應(yīng)該忽視那些存在其他更廉價(jià)的緩解辦法的正在耗費(fèi)公司成本的安全問題。明智的公司需要向?qū)Υ渌魏紊虡I(yè)決策一樣對(duì)待安全問題：成本v.s利益。

最經(jīng)典的方法就是我們所謂的年均損失預(yù)計(jì)(ALE，annualized loss expectancy),而且這是一種十分直接簡單的方法。計(jì)算安全事件的成本時(shí)，既要計(jì)算有形資產(chǎn)(例如時(shí)間和金錢)，也要考慮無形資產(chǎn)(例如聲譽(yù)和競爭優(yōu)勢)，然后乘以這個(gè)安全事件一年內(nèi)發(fā)生的次數(shù)。得出的結(jié)果就是你需要在該安全事件上投資的成本，以求降低安全問題的發(fā)生幾率。因此，舉例來說，如果你的店鋪有10%被搶劫的可能性，并且被搶劫的成本時(shí)10000美元，那么你就需要每年花費(fèi)1000美元在安全問題上?；ㄙM(fèi)更多的錢只會(huì)浪費(fèi)你的成本，而花費(fèi)更少的錢，同樣說明你在浪費(fèi)成本。

當(dāng)然，每年花費(fèi)的1000美元安全費(fèi)用并不能將被搶劫的幾率降低到零，以符合成本效益。如果安全解決方案將搶劫偷盜的幾率降低了40%(降低到每年6%)，那么你的安全花費(fèi)就不會(huì)超過400美元。如果另外一個(gè)安全解決方案能夠?qū)尳賻茁式档?0%，那么它就值800美元。如果兩種安全解決方案，每一種解決方案都能降低50%的偷盜率，而第一種只要花費(fèi)300美元，另一種則需要700美元，那么我們很清楚地看出，第一種解決方案更加劃算。

必要的數(shù)據(jù)

完成這項(xiàng)工作的關(guān)鍵在于完整的數(shù)據(jù)，這種方法實(shí)際上是精算的方法。如果你在一個(gè)便利店對(duì)是否安裝安全攝像機(jī)問題進(jìn)行ALE分析，那么你就需要知道附近其他便利店的犯罪發(fā)生幾率，并且要大概知道多少臺(tái)攝像機(jī)才能夠迫使搶劫犯去搶劫其他便利店。另外你還需要知道一宗劫案的成本消耗：無論是商品、時(shí)間、由于驚嚇顧客造成的銷售損失以及對(duì)員工士氣的打擊等。你還必須知道沒有攝像機(jī)時(shí)，對(duì)員工工作士氣的影響――可能你還很難找到雇員為你上夜班。有了上述所有數(shù)據(jù)，你就可以計(jì)算出安裝攝像機(jī)的費(fèi)用實(shí)際上會(huì)比你晚上關(guān)閉店鋪損失的成本要低，并且我們假設(shè)的情況是關(guān)閉的店鋪沒有遭到搶劫。然后你就可以決定是否安裝監(jiān)控?cái)z像機(jī)了。

網(wǎng)絡(luò)安全相比而言是比較困難的，因?yàn)椴]有足夠的數(shù)據(jù)提供給我們。我們并沒有網(wǎng)絡(luò)空間犯罪率數(shù)據(jù)，而且我們沒有關(guān)于單個(gè)安全解決方案對(duì)于降低安全風(fēng)險(xiǎn)的幾率。我們甚至都沒有事件成本的數(shù)據(jù)。

其中一個(gè)問題就是安全威脅變化太快，我們?cè)噲D預(yù)防的安全問題變化得太快了以至于我們都來不及計(jì)算相關(guān)數(shù)據(jù)。就算我們計(jì)算出了一些數(shù)據(jù)，又將出現(xiàn)其他的我們不具備相關(guān)數(shù)據(jù)的新的安全威脅。所以我們?cè)诰W(wǎng)絡(luò)世界，不能簡單地使用ALE模式。

另外還存在一個(gè)問題，就是當(dāng)計(jì)算罕見的昂貴的事件時(shí)，我們的數(shù)學(xué)計(jì)算方法將很快失效。假設(shè)你公司的名字因?yàn)橐患y堪的網(wǎng)絡(luò)安全事件出現(xiàn)在報(bào)紙上，然后你計(jì)算出了損失成本(名譽(yù)成本損失、客戶損失等)估約為20,000,000，并且我們假設(shè)這種事件每年發(fā)生的幾率是萬分之一，那么ALE得出的結(jié)論將是你每年只需要花費(fèi)不超過2000美元來降低這種安全風(fēng)險(xiǎn)。

到目前為止，這是個(gè)很不錯(cuò)的方法。但是也許你的首席財(cái)務(wù)官會(huì)認(rèn)為這種安全事件只需要花費(fèi)10,000,000，當(dāng)然你也不能爭辯，因?yàn)槲覀冎皇窃诠浪恪５鞘紫?cái)務(wù)官在這里就已經(jīng)將你的安全預(yù)算削減了一半。如果某個(gè)供應(yīng)商向你兜售一種產(chǎn)品，這種能夠通過網(wǎng)絡(luò)分析師的分析得出這種安全事件的發(fā)生幾率實(shí)際上是千分之一，那么接受這個(gè)數(shù)據(jù)把，因?yàn)榧词箖r(jià)格是高于該產(chǎn)品10倍的產(chǎn)品都將是個(gè)不錯(cuò)的投資。

當(dāng)你在處理更加罕見更加巨額的事件時(shí)，問題將變得更加復(fù)雜。假設(shè)你們是一家氯氣廠，正受到降低恐怖主義威脅的問題的控告，那么你認(rèn)為因?yàn)橐淮尉薮蟮闹旅谋銈児緫?yīng)該承受多大的成本消耗呢?無論是金錢上的或是名譽(yù)上的。100萬美元?10億美元?100億美元?發(fā)生幾率是：十萬分之一?百萬分之一?千萬分之一?取決于你回答這兩個(gè)問題的答案，而且任何答案都只是猜測，你可以花費(fèi)10美元甚至是10萬美元來降低這個(gè)安全風(fēng)險(xiǎn)。

或者我們來看看另一個(gè)例子：機(jī)場安全風(fēng)險(xiǎn)。假設(shè)所有的新機(jī)場安全措施都增加了機(jī)場乘客的候機(jī)時(shí)間，我假設(shè)時(shí)間是每名乘客為30分鐘。2007年在美國候機(jī)的乘客有7.6億人，這就意味著額外的候機(jī)時(shí)間耗費(fèi)了我們所有人總共43000年的額外等候時(shí)間。假設(shè)一個(gè)人的壽命為70年，那么這增加的候機(jī)時(shí)間每年都“奪取了”620人的終生性命，如果根據(jù)每天16小時(shí)的清醒時(shí)間來計(jì)算則奪取了930人的性命。所以問題就是：如果我們真的不考慮部署機(jī)場安全措施，奪取的性命真的會(huì)比恐怖主義者奪取的性命要多么?

貨物既出概不退貨

這就是為什么我在本文的開頭說安全供應(yīng)商提供的大多數(shù)投資回報(bào)率模式都是無稽之談的原因，當(dāng)然他們的模式能夠表明他們的產(chǎn)品或者服務(wù)具備金融意識(shí)：他們能夠計(jì)算出成本收益數(shù)據(jù)。

但是這并不是說ALE是沒有用的，它給我們的提示是：1)不要相信任何使用議程分析的人所得出的任何分析數(shù)據(jù);2)將所有結(jié)果僅僅當(dāng)作一種指引或向?qū)А?/P>

所以當(dāng)你從供應(yīng)商處獲得投資回報(bào)模型的時(shí)候，使用模型的框架然后填入你自己的數(shù)據(jù)。(甚至不要向供應(yīng)商展示你對(duì)他們產(chǎn)品模型的改進(jìn)，他們不會(huì)認(rèn)為任何降低他們產(chǎn)品或者服務(wù)成本收益的改變是“改進(jìn)”)，然后將得出的結(jié)果數(shù)據(jù)作為一般指南，當(dāng)你在決定是否購買安全產(chǎn)品或者服務(wù)的時(shí)候，進(jìn)行風(fēng)險(xiǎn)管理以及合規(guī)分析。（IT專家網(wǎng)）