如何建立安全的投资回报率模型

ZDNet安全频道 原创翻译 转载请以文字链形式注明出处

在加利福尼亚召开的RSA2008安全会议上，来自全球各地企业的首席安全官聚集一堂，讨论面临的挑战之一，如何说服企业领导购买他们看到的最新最强大的安全产品。这是因为传统的投资回报率（ ROI ）模型并不适用于安全产品，而投资回报率是预算批准者唯一认同的标准，首席安全官应该怎么做才能达到目的呢？

首席安全官周围聚集了来自各个方面的关注。有希望可以不受约束地使用IT资源的公司员工，有来自新监管机构预期更严格的数据控制法，还包括了只认可投资回报率的董事会里那些整天关注于橡皮图章性质项目的朋辈。

最近，布鲁斯·施奈尔以安全专家的身份对澳大利亚进行了一次访问。通过访问，他得到了大量的数据来说明安全事件对企业的影响有多大。

IBRS安全分析师詹姆士·特纳同意这样的观点，“投资回报率计算通常依赖于对结果进行量化预测，这个是需要面临的挑战。”

“对于大部分IT项目来说，这是具有挑战性的，因为它们都会受到无用投入的影响导致无用的结果。但是从安全产品的角度来看的话，这些都是可以改变的，因为所有的坏事情都是可以避免的。”

用户角度
用户希望，可以不受约束地访问Web 2.0和在“云”应用中远程访问内部系统。这样的访问不应该被当作奢侈品，而是应当作为保持竞争力的手段。

安全厂商Blue Coat的澳大利亚区经理韦恩·内奇说，“对于安全人员来说，由于这些技术导致的信息泄露是不可以被接受的。”

首席财务官的角度
提供更多的资金以确保其增长是越来越难实现。

在多数大型企业中，要想获得财政预算在很大程度上取决于项目表现出的投资回报率。但由于安全是属于预防措施，所以在安全方面的投资并不符合投资回报率方程。

“因此，好事没发生，但坏事也不一定会出现。这使得它看上去更象保险，或者某种怪异的租赁计划。”

基于风险的投资回报率模型
关于投资回报率，施奈尔有自己的理论。他认为，尽管从安全角度计算投资回报率是“极其困难的，但并非总是不可能的” 。

为了简洁起见，IT安全项目可以被分为两种不同的类型——第一种是采用了新的商业模式——可以带来可见的回报。

举例来说，在一个项目中，投资回报率可以通过建立更有效的业务流程来衡量。一个允许客户自助服务的认证系统，可以消除帮助台的长龙队伍，对工作人员的需求也会减少。

另一方面，到目前为止，实施的大多数较为常见的IT安全项目，是类似“保险”——它们是预防性质，并只提供不可见难以衡量的回报。项目的费用很容易计算，但回报率很难计算。

安全厂商RSA的澳大利亚区经理马克·布伦认为，百分之九十的安全项目属于保护性质的。它们可以保护机密资料以杜绝外泄的可能，防止病毒和黑客从外部接入公司网络。

这些项目需要首席安全官通过风险管理模式在投资回报率模型中表现出来，在另一面以数字的形式显示出来。

通常情况下，预测将首先处理包括数据，服务和基础设施在内的信息源。并对它们会受到的威胁和弱点进行分析确定。

所谓威胁指的是任何不希望的结果，无论是网站被修改，财务机密资料被泄露还是被提起诉讼。所谓弱点是指缺乏对某一特定资产的正确保护。

第三，需要建立一个可以对资产进行估价的指标。它其实和分类一样的简单，可以按照风险的状况分为高中低三种情况。

为了在最终获得以美圆形式表达的结果，很多东西处理起来很复杂。例如，一个客户数据库的价值到底应该是多少？

而且即使这个结果得出来了，依然要对不希望发生的事件导致的损失进行预测。为此。需要将该资产的价值乘以其暴露因子——资产价值在该事件发生时将失去的比例——得到一个简单的预期结果。

在安全项目领域，尽管它可能是有缺陷的，但投资回报率模型是唯一一个可以让控制资金的行政人员接受的指标。

在最后两个步骤中，投入和产出的预测非常困难。一些价值不得不通过猜测决定。一个公开上市公司的首席财务官的敏感财务数据的价值到底是多少，被泄露给市场是否过早？将对股价有什么影响？该公司是否可能会被罚款？预测需要考虑到的，不仅仅是资产的价值，而且包括在事件发生后及其它较持久的影响下，成本处理的问题。

举例来说，如果一台包含了公司机密数据的笔记本电脑被盗，从硬件资产角度来看，损失是微乎其微的。因此，所有的损失不过是等待新的替代系统的时间。但潜在影响的损失，其实包括了丢失的数据如果落到坏人手里可能带来的影响，这个可能会给公司带来很大的损害。

同样，在客户信用卡的详细资料被通过黑客手段盗窃的案件中，数据的价值、联络客户的费用和新的替换用卡的费用、任何欺诈行为可能造成的损失、案件导致公司声誉的破坏、被追加的罚款、这些客户和其它潜在客户选择了其它地方，这些损失也需要被预测和计算。

Ponemon研究所最新公布的关于丢失的数据记录平均成本的一份研究报告显示，在美国，平均一条丢失的记录的损失是一百九十七美圆。但对于大规模的活动来说，整体数据成本的损失是数千元至数千万之间，平均为六百三十万美圆。

“你经常可以看到厂商拿出各种各样的统计数据，什么数据对股票价格的影响，成本记录等等，”IBRS的特纳说。“但这些其实是非常棘手的。他们取决于包括公司、行业在内的很多方面，价值也不好确定。实际上，这些数字更适合于讨论用，而不是定价。”

如果我是董事会的成员，我是不会对一个没有量化的项目感兴趣。

Agreon系统董事总经理，布赖恩·布朗尼格

在这个过程中的最后一步是利用每年的发生率乘以单一预期损失率，这又是一个非常棘手的问题，因为这个事件可能从来没有发生过。最后的数字就可以用来比较保护资产的费用投资了。

对于IT安全项目来说，必要的投资是很容易分析的。

例如，计算保护一个基于电子商务服务器的赌博网站的投资回报率是比较容易的。只要找出该网站在受到拒绝服务攻击的停机时间，并算出在这段时间失去了多少收入就可以了。

但正如施奈尔所说，实际上很难找到一个成本按年发生的事件。对于公司来说，它们从来没有，或只有很少。实际上，很难保证有效性。

没有其它的方式
在安全项目领域，尽管它可能是存在缺陷的，但投资回报率模型是唯一一个可以让控制资金的行政人员接受的指标。

通过突出数据泄露、知识产权盗窃、监管罚款以及声誉损害这些恐怖故事来取得支持是很难获得成功的。

安全厂商Blue Coat的澳大利亚区经理韦恩·内奇

“我知道[施奈尔]是来自那里的，”安全管理服务供应商Earthwave创始人兼首席执行官，卡罗·米尔森说道，“但是首席安全官依然越来越多的利用投资回报率进行财政预算，因为这是商业活动必须的。如果要继续提供服务的话，投资回报率是他们唯一认可的指标。”

“当你进行一个有关资金预算的会话的时间，”安全厂商Clearswift的董事总经理彼得·克罗夫特说到，“就资金方面提出问题是非常有诱惑力的。技术人员可能给出了选择的条件，但实际上没有用处。首先解决的必须是资金的问题。”

“投资回报率指标是有用处的，”Agreon系统董事总经理，布赖恩·布朗尼格认为，“如果我是董事会成员的话，是不会对一个没有量化的项目感兴趣。”

这使得首席安全官，比以往任何时候更类似风险管理经理而不是技术人员。许多具有IT经理背景的首席安全官发现这是一个挑战。

“最大的挑战就是找到一种沟通方式，”RSA的布伦说，“这里是RSA会议，我们可以讨论风险管理。尽管不是新的，但是还是需要进行相应的讨论。企业对风险的要求有多高。”

RSA最近推出了一种新的服务——风险咨询服务，可以帮助客户量化其面临的风险。布伦说，许多首席安全官需要事先建立相关的模型和参考，以便对风险进行量化；这个时间，外部的帮助是必要的。

审计本身不是答案。但你可以告诉首席财务官，这意味着我们可以利用资金进行新的工作。

Clearswift董事总经理，彼得·克罗夫特

“如果你有健康记录或帐单资料之类的数据，这很可能是一个突破点。”他说，“在这种情况下，安全风险是可以量化。”

市场是存在这种需求的，他说，如果真正有帮助的话，公司也会愿意支付相关的费用，即使是来自一个安全厂商的。

“风险咨询是一项有偿服务，因为它可以生成在哪里会出现风险的报告，以及风险的相关信息，还会提供减少风险的建议， ” 布伦说。 “选择这样的服务是非常有价值的。”。

建立安全的投资回报率模型

在平衡投资回报率模型和IT安全需要的时间，Blue Coat的内奇警告首席安全官们，不要采取空降模式。

通过突出数据泄露、知识产权盗窃、监管罚款以及声誉损害这些恐怖故事来获得支持是很难取得成功的。

相反，他们需要找到方法，从正面谈论安全需求。

首席安全官可以对类似反病毒和反垃圾邮件等技术的效果进行量化，内奇说，可以通过图表显示出一旦对网络进行清理，将为优先的商业应用腾出带宽，可以提高工作效率。

安全优先次序的设定和清除不安全的数据，可以优化现有的网络投资以及“推迟未来在网络基础设施上的投资， ”他说。

关于投资回报率的讨论必须进行和取得成功

Clearswift董事总经理，彼得·克罗夫特

同样，由于身份管理，电子邮件管理或网络管理解决方案实施可以带来收益，Clearswift的克罗夫特说，可以预测由于不需要通过网络日志在某处扫描可以节省的人力成本。他们可以被运用到新的创收项目中。你还可以对成长型问题进行量化。员工在家里使用VPN的时间这样的问题也可以进行量化，以提高工作效率。

最后，来自一些资格认证的第一步的安全项目也是可以被量化的。象ISO27002一类的信息安全守则，也可以作为工具在公司的大型合同中使用。

“审计本身不是答案。”克罗夫特说，“但你可以告诉首席财务官，这意味着我们可以利用资金进行新的工作。其实这也意味着与上游保持一致，并重视他们。”

首席安全官，克罗夫特说，已成为一个‘安全活动家’ 。

“他们不得不在公司内部倡导安全，”他说，“为此，他们需要与上层沟通，以获得资金的支持。关于投资回报率的讨论必须进行和取得成功。”