平衡的理論為安全提供了前進(jìn)的方向，但是在前進(jìn)的道路中，需要具有可操作性的具體方法來(lái)指導(dǎo)。

ALE批判

在信息安全風(fēng)險(xiǎn)管理中有個(gè)特別有名的公式，那就是ALE(Annual Lose Expectation),它表示某個(gè)特定的安全事件損失的價(jià)值與其年度發(fā)生頻率的乘積。

代表性定義如下：ALE=SLE*ARO

其中，SLE是單一損失期望，ARO是年度發(fā)生率。

ALE出現(xiàn)在各種各樣的教科書中，像流行的CISSP的培訓(xùn)教材，就連著名安全專家Bruce Schneier在其著作《secrets and lies: Digital Security in a Networked World》中對(duì)ALE也有所描述。ALE是定量風(fēng)險(xiǎn)評(píng)估中的核心概念，有了ALE，從財(cái)務(wù)的角度對(duì)安全風(fēng)險(xiǎn)損失以及所選擇的控制措施進(jìn)行分析，依照成本效應(yīng)原則，選擇安全對(duì)策，有理有據(jù)，整個(gè)思路流暢，邏輯清晰。但是風(fēng)險(xiǎn)管理實(shí)踐當(dāng)中，ALE卻遭遇重重困難，主要體現(xiàn)在以下幾個(gè)方面：

局外人難以建模

缺乏事件發(fā)生可能性和預(yù)測(cè)損失的數(shù)據(jù)

首先，ALE不是一個(gè)簡(jiǎn)單的數(shù)學(xué)可以說(shuō)明的問(wèn)題。局外人制定的損失事件不能表現(xiàn)一個(gè)典型的損失事件的特性。一般來(lái)說(shuō)，安全事件具有低概率、高危險(xiǎn)性的時(shí)間。這使得他們難以建模。而非得要建模的話，那只能妥協(xié)并作出不合理的假設(shè)。

其次，ALE的實(shí)施者根本沒(méi)有能力以及具有合適的方法去估計(jì)可能性和損失。確實(shí)很難預(yù)知一個(gè)損失事件發(fā)生的可能性，這最可能的途徑之一是通過(guò)對(duì)歷史數(shù)據(jù)的分析，得出統(tǒng)計(jì)特性來(lái)預(yù)測(cè)將來(lái)，但是，在信息安全領(lǐng)域，歷史數(shù)據(jù)的缺失是不爭(zhēng)的事實(shí)。另外，預(yù)估損失事件對(duì)資產(chǎn)的影響也存在巨大挑戰(zhàn)，這種挑戰(zhàn)來(lái)自兩個(gè)層次，第一層次是資產(chǎn)本身價(jià)值的估計(jì)，第二層次是資產(chǎn)損失百分比。Bruce schneier把ALE說(shuō)成”有很多猜測(cè)的工作”，說(shuō)白了，就是需要拍腦袋。

再次，整個(gè)模型對(duì)假定中的微小變化非常敏感，因?yàn)橐豁?xiàng)資產(chǎn)或者資產(chǎn)組同時(shí)可能會(huì)遭受多個(gè)威脅的攻擊，而一個(gè)威脅可能會(huì)對(duì)多項(xiàng)資產(chǎn)或者資產(chǎn)組產(chǎn)生破壞，任意一個(gè)資產(chǎn)價(jià)值以及威脅發(fā)生可能性變化，就會(huì)傳遞到整個(gè)模型，產(chǎn)生的變化也就較大。試想一下，在ALE上建立的風(fēng)險(xiǎn)管理模型，猶如沙灘上的高樓大廈，這樣的大廈盡管能夠登高享受美麗海景，但是你敢登嗎?!

需要數(shù)字說(shuō)話

難道我們只能望樓興嘆嗎?實(shí)踐中對(duì)信息安全的測(cè)量的要求是實(shí)實(shí)在在存在的，而且會(huì)越來(lái)越突出。著名數(shù)學(xué)物理學(xué)家lord kelvin說(shuō)過(guò)“你不能改進(jìn)你不能測(cè)量的東西”。信息安全經(jīng)理必要知道當(dāng)前的信息安全管理體系運(yùn)行如何：

安全團(tuán)隊(duì)獲得了什么成果?

安全團(tuán)隊(duì)是否為組織增加了價(jià)值?

我怎樣才能表明我們有多少價(jià)值?

我怎么能夠判斷部門的預(yù)算?

我怎樣才能激發(fā)我的團(tuán)隊(duì)獲得更多的成績(jī)?

安全團(tuán)隊(duì)成員也有必要知道事情的進(jìn)展:

我們當(dāng)前處在哪里?

我能否具有成就感以激發(fā)更多工作熱情?

我能否看清自己的職業(yè)發(fā)展?

我能否在接下來(lái)的員工考核中預(yù)估自己的成績(jī)?

高層管理必要去判斷事情的成?。?/p>

哪種類型的保障能夠表明當(dāng)前的系統(tǒng)安全是充分的?

我怎樣才能表明已經(jīng)履行了適度勤勉(due deligence)的責(zé)任?

我們是否領(lǐng)先別人還是落后別人，或者處在中游水平?

我是否正在履行公司治理的責(zé)任?

我從安全投資中獲得哪種類型的回報(bào)?

yajing