安全经济学：科技风险管理的呼吁行动

高级持续性威胁已经实现通过水坑式攻击传送零日漏洞。针对SCADA（监测控制和数据采集）系统、心脏监护器、汽车和其它设备的攻击者伺机而动。呼吁政府解决网络安全问题已经到了一个白热化的程度，而且现在违规不断。

随着科技渗透到我们的生活中，Skynet还在不断地发展物联网过程中，在“科技风险管理”领域的潜在缺点变得越来越明显。我们应该如何理性、合理的面对科技领域的缺点呢？

杜鲁门总统曾经有一句名言感叹道，“赐予我一个独臂的经济学家吧！”他希望这个经济学家可以消除“另一只手（另一方面）。”而他再一次面临一个涉及权衡的决定。在现实中，即使是名为Bob的经济学家也要讨论选择问题和备选方案，因为这就是经济学的内容。

权衡和稀缺资源

在科技风险管理领域，我们都在不断在做出涉及权衡的决策：什么样的商业合作伙伴我们应该审计呢？我们应该实施双因素身份验证或者主动取证功能吗？我们应该在什么时候重点关注补丁应用？我们应该怎样保护云环境？

比起权衡更糟糕的是，我们的资源稀缺。这个问题没有简单的答案，但是作为科技风险管理专业人士，我们每天都要面对这些问题。关于安全经济学，其本质上就是受限于现有资源和考虑到机会成本，有关科技相关风险决策的实践。以下是安全经济学的三个要素：

• 降低风险：在完美的科技风险管理世界，我们唯一的目标就是降低负面事件、违例和攻击最终导致损失的可能性或影响。简而言之，我们想要最大限度地发挥阻止不好的事情发生的能力。
• 稀缺资源：我们没有生活在一个完美的世界里，我们生活在一个可用资源受限的世界（除了一个家伙在每个会议中都说他有可观的预算）。所以，当我们分配这些人、时间、服务、钱、自动化解决方案和更多其它的资源时，我们寻求性价比最高的方案。
• 机会成本：决策影响到未来，对于一系列行动，我们通常会有一系列选择。机会成本涉及到我们本可以做但是一次做出选择时不能做到的所有事情。

在某些方面，我们努力优化降低风险。从理论上讲，这是有意义的：如果我们在两种不同的控制方法上花费1美元，然后一种方法可以降低2元风险，而另一种可以降低5元风险，我们当然会选择后一种，对吧？作为专业怀疑论者，我确定你在想我们可以精确地将风险测量到2元或5元是很不科学的，但是如果我们可以做到， 这就是我们的目标。

没有精确的测量

许多科技风险管理专家认为，因为决定因素往往难以精确测量，所以我们可以从某种程度上不将这些因素纳入到我们的决策中。每次我们都在任务清单中优先一个活动，这时我们就已经表明它比清单上的其它活动要重要。这导致我们形成了显示性偏好。

经济学家在“陈述”和“揭示”两者中做出了区分，简单地将两者定义为在分析决策和实用性时，“我们所说的”和“我们所做的”。幸运的是，在科技风险管理领 域中，“我们所做的”这部分是现成的。在资源分配决策中所做的事情显而易见。当我们决策执行一个复合活动时，我们花费金钱。当我们做出购买决定时，我们花 费服务或投资者的钱。所有的这些决定都揭示了一些涉及到其它行动的活动的感知价值的事情。

所以可以将安全经济学的第一个专栏作为对各种行动的呼吁。一次呼吁我们承认我们可以解决的许多风险都带有不同程度的相关概率和影响的行动。一次呼吁我们意识到我们不能解决所有问题的行动。一次呼吁我们明白我们能找到最佳决策的行动。