如何计算投资回报率并借此证明网络安全预算有效性

标签:电子商务安全风险管理技术产品

访客:36254  发表于:2016-01-06 10:44:24

只要能够以管理层能够理解的语言与其探讨预算问题,大家就一定可以实现自己的需求。

大约八年之前,Bruce Schneier曾经撰写过一篇伟大的文章,旨在探讨如何在企业内部计算网络安全支出的投资回报率。自那时开始,年度网络安全开支与全球网络犯罪成本就开始大幅提升。

尽管各组织机构预计将在2016年内将信息安全预算同比提升24%,但仍有不少安全管理人士不知道该如何证明自己所管理的资金被切实应用到网络安全事务当中。从传统角度看,欧洲较美国表现得更为保守,而且越来越多的欧洲安全管理者被要求削减自身初始网络安全预算——具体包括清除部分项目或者以成本更为你说的途径作为替代。

企业需要赚取资金以支付员工薪酬(其中当然也包括网络安全团队的工资),因此从这个角度来看,以财务数字为出发点显然更加明确也更为合理。然而,如果大家准备的网络安全预算申请报告中充斥着大量术语以及管理层所无法理解的表述,那么将其原样交上去几乎不会起到任何正面效果。

举例来说,我们首先来探讨中等规模电子商务网站用于保护前端的预算开支。为了简化整个讨论过程,我们在这里不会计算连锁攻击的风险,例如近来较为常见的由网站安全漏洞引发的高级持续威胁。

我们将把基准定在直接财务损失预防效果所带来的投资回报方面:如果每支出10美元能够在年内实现约100美元的高风险安全事件,那么相信企业管理层肯定乐于掏出这点小钱。一般来讲,实现这项目标的难题分为两点:一是如何证明我们确实需要这10美元(而非7美元或者8美元),其二则是这10美元是怎样帮助企业预防可能出现的100美元直接经济损失的。

首先,我们需要计算所谓ALE,即年度预期损失:预期之内的、由特定风险及威胁(如果未受合理控制)所造成的经济损失约值。为了给出较为准确的结果,我们可以使用一项来自CISSP®-ISSMP®官方指南的简化ALE计算公式:

ALE = (每年事故数量) X (每起事故潜在经济损失)

在我们的案例当中,每年事故数量可以取较为合理的12起,这意味着每个月发生一次通过网络前端实现的严重入侵行为。我们当然也可以进一步扩大事故规模,不过请别忘记现在是在向管理层申请预算,所以选取太过夸张的数字肯定会引发质疑。

接下来的每起事故潜在经济损失则较为棘手,因为安全损失当中包含着众多因素及子因素。网络威胁如今已经开始影响到穆迪评级(E安全百科:穆迪评级目的是为投资者提供一个简单的等级系统,从而了解 有关证券的相对信用质量等级。),但同时其带来的往往是一种非常主观的影响,因为我们几乎不可能预测某起特定数据泄露事故会对参评方带来怎样的具体影响。同样的难题还来自商业声誉损失、股票价格下滑以及由数据泄露引发的其它公共影响损失。

因此,我们可以尝试选取所在行业当中由受信来源提供的平均安全事故损失数字。举例来说,根据卡巴斯基实验室最近发布的一项调查结果,中小型企业遭遇每次安全事故所承担的平均损失为38000美元。在某些情况下,管理层可能会对这个相对“较大”的数额提出质疑,因此我们还需要选择更为切实且不可避免的损失产生可能,从而将事故成本与当前管理工作结合起来以确保额度的可信性。立足于电子商务网站前端,我们可以轻松列举出以下几项造成损失的因素:

客户数据库及其它敏感信息失窃及泄露的成本

电子商务门户网站在电子取证及恢复时产生的成本

第三方专家进行调查并实施补救带来的成本

法律与合规罚款造成的成本

显而易见,我们可以轻松计算出与PCI DSS合规相关的罚款成本。举例来说,如果大家属于PCI二级商家,那么由于数据泄露而导致降为一级所带来的全部相关成本都应被计入经济损失。另外,第三方顾问带来的相关成本同样易于计算,一般来讲其估算调查及处理时长不会短于一周——这意味着至少带来10000美元损失。

举例来说,TalkTalk(由于自身业务规模与黑客活动影响)的总体经济损失就高达3500万英镑,相比之下选择38000美元这一数字确实非常可信。与此同时,需要指出的是由英国政府及PwC所发布的2015年信息安全事故调查报告指出,中小型企业由于数据泄露事故造成的平均损失在75000英镑到31万800英镑之间(分别折合11万2千美元与46万6200美元),这一结果明显高于我们的预期。不过让我们继续以前面提到的38000美元为基准,并将其代入我们的公式:

ALE = (每年事故数量) X (每事故潜在经济损失)

ALE = 12 X 38000美元

ALE = 45万6000美元

这就是一家企业在不采取任何网络前端保护措施情况下需要预计承担的年均经济损失。当然,每项新的事故都会提升具体损失额度,但这里我们姑且选择这样的初步计算结果。

下一步则在于证明我们所要求预算数字的合理性。最简单的实现办法就是向所在企业管理人员提供一份最具效果及效率的解决方案及产品清单,并根据其具体性价比做出谨慎选择。为了保护网络前端(这里笔者省略掉了SDLC以及其它一些与安全开发、维护与合规相关的费用),我们通常需要:

Web应用防火墙——尽管应用防火墙无法保护我们在高复杂性攻击活动中幸免,但其仍然能够有效应对多种僵尸攻击及其它“烦人”的恶意行为、自动化攻击乃至脚本入侵。

持续漏洞扫描与安全监控解决方案——今天的安全区域很可能成为未来的漏洞多发地带,而且每年一次的渗透测试根本无法及时发现问题。因此,持续安全监控就变得非常重要。

定期进行由第三方专家参与的人工或混合型评估工作——这方面最典型的例子就是最近由High-Tech Bridge在Zen Cart这一高人气电子商务平台当中发现的严重RCE。该漏洞仅存在于最新版本当中,而且此前未能由任何自动扫描工具所发现。

实现以上三项工作每年会带来40000美元成本,而我们可以借此推导并计算出网络安全预算的投资回报率。我们仍然选取来自CISSP®-ISSMP®官方指南中的投资回报公式:

投资回报率 = (ALE / 对策成本) X 100%

投资回报率= (45万6000美元 / 40000美元) X 100%

投资回报率= 1140%

尽管如此可观的投资回报率在一定程度上属于立足于技术角度的纯主观结论,但相信其也足以说服大家所在企业的管理人员以积极心态面对问题,而不是在遭遇到跨站点脚本攻击等威胁之后才追悔莫及。

瑞士普华永道网络安全专家Robert Metcalf指出:“网络安全的主旨在于风险管理与损失预防,而不仅仅是创造营收。因此,投入到安全领域的任何资金都必须证明其侧重于防御哪些恶意行为,同时论证此类行为对于企业业务意味着什么。最重要的是,我们该如何将这些可能被作为攻击活动目标的关键性资产与强而有力的证据相结合,从而证明企业需要对其投入大量资源以保护自身商业信誉免受威胁。”

总而言之,只要能够以管理层能够理解的语言与其探讨预算问题,大家就一定可以实现自己的需要。

网络

如何计算投资回报率并借此证明网络安全预算有效性

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");