返回
风险管理的价值角度初探

风险管理的价值角度初探

ID:37894375

大小:669.52 KB

页数:8页

时间:2019-06-02

风险管理的价值角度初探_第1页
风险管理的价值角度初探_第2页
风险管理的价值角度初探_第3页
风险管理的价值角度初探_第4页
风险管理的价值角度初探_第5页
资源描述:

《风险管理的价值角度初探》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、风险管理的价值角度初探风险管理的价值角度初探本文编者:北京谷安天下科技有限公司网址:www.gooann.com地址:北京市海淀区中关村南大街2号数码大厦A座806电话:010-51626887(北京)021-51379800(上海)0755-82024056(深圳)0991-6999166(新疆)手机:13581709033www.gooann.com1风险管理的价值角度初探风险管理的价值角度初探作者:陈笈谷安天下咨询经理世事无绝对,这个观点没人反对;同样风险理论告诉我们,安全无绝对,一切安全活动应该建立在风险管理的基础上,绝对的零风险是不存在的,要想实现零风险,也是不现实的;

2、在计算机安全领域有一句格言:“真正安全的计算机是拔下网线,断掉电源,放置在地下仓库的保险柜中,并在仓库内充满毒气,在仓库外安排士兵守卫。”显然,这样的计算机是无法使用的。计算机系统的安全性越高,风险越小,其可用性越低,需要付出的成本也就越大,一般来说,需要在安全和风险,以及安全和成本投入之间做一种平衡。平衡的理论为安全提供了前进的方向,但是在前进的道路中,需要具有可操作性的具体方法来指导。ALE批判在信息安全风险管理中有个特别有名的公式,那就是ALE(AnnualLoseExpectation),它表示某个特定的安全事件损失的价值与其年度发生频率的乘积。代表性定义如下:ALE=S

3、LE*ARO其中,SLE是单一损失期望,ARO是年度发生率。ALE出现在各种各样的教科书中,像流行的CISSP的培训教材,就连著名安全专家BruceSchneier在其著作《secretsandlies:DigitalSecurityinaNetworkedWorld》中对ALE也有所描述。ALE是定量风险评估中的核心概念,有了ALE,从财务的角度对安全风险损失以及所选择的控制措施进行分析,依照成本效应原则,选择安全对策,有理有据,整个思路流畅,逻辑清晰。但是风险管理实践当中,ALE却遭遇重重困难,主要体现在以下几个www.gooann.com2风险管理的价值角度初探方面:局外

4、人难以建模缺乏事件发生可能性和预测损失的数据首先,ALE不是一个简单的数学可以说明的问题。局外人制定的损失事件不能表现一个典型的损失事件的特性。一般来说,安全事件具有低概率、高危险性。这使得他们难以建模。而非得要建模的话,那只能妥协并做出不合理的假设。其次,ALE的实施者根本没有能力以及具有合适的方法去估计可能性和损失。确实很难预知一个损失事件发生的可能性,最可能的途径之一是通过对历史数据的分析,得出统计特性来预测将来,但是,在信息安全领域,历史数据的缺失是不争的事实。另外,预估损失事件对资产的影响也存在巨大挑战,这种挑战来自两个层次,第一层次是资产本身价值的估计,第二层次是资

5、产损失百分比。Bruceschneier把ALE说成“有很多猜测的工作”,说白了,就是需要拍脑袋。再次,整个模型对假定中的微小变化非常敏感,因为一项资产或者资产组同时可能会遭受多个威胁的攻击,而一个威胁可能会对多项资产或者资产组产生破坏,任意一个资产价值以及威胁发生可能性变化,就会传递到整个模型,产生的变化也就较大。试想一下,在ALE上建立的风险管理模型,犹如沙滩上的高楼大厦,这样的大厦尽管能够登高享受美丽海景,但是你敢登吗?!需要数字说话难道我们只能望楼兴叹吗?实践中对信息安全的测量的要求是实实在在存在的,而且会越来越突出。著名数学物理学家lordkelvin说过“你不能改进你

6、不能测量的东西”。信息安全经理必要知道当前的信息安全管理体系运行如何:安全团队获得了什么成果?安全团队是否为组织增加了价值?我怎样才能表明我们有多少价值?我怎么能够判断部门的预算?我怎样才能激发我的团队获得更多的成绩?安全团队成员也有必要知道事情的进展:我们当前处在哪里?www.gooann.com3风险管理的价值角度初探我能否具有成就感以激发更多工作热情?我能否看清自己的职业发展?我能否在接下来的员工考核中预估自己的成绩?高层管理必要去判断事情的成败:哪种类型的保障能够表明当前的系统安全是充分的?我怎样才能表明已经履行了适度勤勉(duedeligence)

7、的责任?我们是领先别人还是落后别人,或者处在中游水平?我是否正在履行公司治理的责任?我从安全投资中获得哪种类型的回报?又一困境前几年,安全产业平均以每年20%的水平在递增,似乎近两年这种增长在放慢。正如世界万物都逃脱不掉万有引力的吸引一样,就得往地下掉。其实,这也说明企业在安全方面的投入变得越来越理性,越来越多的投资人在考虑,投入值得吗?为什么要投入这么多?这个问题无法回避。这就是所谓的投资回报或者成本效益的问题。投资意味着当前投入一些资源包括人力、财力和物力,是为了在以后

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。