最近一直在跟很多IT的兄弟谈信息安全的问题,讨论的内容有很多,技术的、管理的、发展方向的,但有一件事大家都很明确:针对国内的企业现状,信息安全在各个企业中得到的重视程度都不够。
要加强信息安全,无论是管理手段,技术手段或者物理手段,仅靠IT人去推动都会显的十分困难,连CISSP指南里都说过,信息安全一定要执行层面的领导亲自关注并带头推动,才能有较好的效果。
那么如何劝说领导对信息安全加大投入并关注,有两种方法是最有效的,一种是合规性,如果信息安全不合规,会引申出一系列的问题,在中国通常是主管部门的安全审计不合格,企业管理层会负上领导责任,这种情况下,推动安全系统的投入比较好办一点。还有就是经历过痛苦的,由于信息安全管理不善,造成了数据资产的损失,直接带来经济上的损失或者无形资产上的损失,领导终于下了狠话要把安全抓上来,这个属于亡羊补牢的。
在国际上有很多比较成熟的法规要求企业在经营活动当中,对信息安全和个人隐私提供必要的保护,如著名的HIPA法案,PCI DSS等。中国也有这方面的一些规范,但目前执行力度不是很严也没有强制的要求,除了军工、政府、机要等行政上有要求的,商业企业的信息安全管理普遍较弱,在这些企业里,要提高管理层对信息安全的认识还有一种方法可以使用,就是把风险量化了,用金钱价值来衡量数据资产损坏或丢失带来损失。当领导对抽象的数据风险,IT风险不太容易理解的时候,这也不失为一个较好的方法。
将IT风险量化并不是一件很难的事,目前有较好的价值估算模型可以使用,难就难在量化的过程当中,对事件发生概率的估计和事件造成损失的比率的定量性估算,这些关键点需要有实际工作经验的老手进行合理的评估并给出。
以下举例说明风险损失的价值估算
以某CRM系统为例,某公司的客户信息,价格信息产品信息等,全部存于公司的CRM系统当中,公司这些资讯的价值为100万元。
如果系统受到攻击,数据造成泄漏或损坏,那么信息损失为80万元,重建并恢复需10万元,那么单一可预见损失(Single Loss Expectancy)
SLE=80万+10万=90万元,也就是说,一旦信息安全问题发生在CRM上,可预见的损失额为90万元,针对总价值100万元,那么这一事件的风险因子就是90/100=0.9(Exposure Factor)
然而对系统的攻击并不是每时每刻都在发生,即便CRM系统目前处于弱保护状态中,有经验的IT管理人员评估大约每三年才会有一次较强攻击并造成上述的损失。那么该风险的年度发生率ARO(Annualized Rate of Occurrence)就是1/3,约为33.33%。
针对该风险,年度可预见损失ALE (Annual Loss Expectancy)=SLE*ARO=90万*33.33%,约为30万元。
好了,有了上述的基本概念,那么我们如果要上一套安全防护系统,比如说是应用级的防火墙,设备设计寿命5年,共花费采购费用20万和5年的维护费用5万共计25万元,每年的花费为25/5=5万元,每年花费5万元,预期减少风险30万元,该防火墙对公司的价值贡献为25万元。
以上仅是一简单的计算举例,将风险概念量化并评估的计算过程,虽然简单但可以提供将抽象概念价值化的手段。在其它的风险评估模型中,也有定性的分析方法,比如将风险评估为红色、黑色等级别,或者标示为高危、一般等等分析的方法,比如著名的Delphi技术法。
参考资料《CISSP All in one exam guide》