安全投资回报率 是虚幻还是现实？

申请免费试用、咨询电话：400-8352-114

投资回报率，或者也叫ROI，是公司业务中很重要的话题。所有公司企业都在努力追求创造积极的投资回报率，较高的投资回报率才能保证公司的继续正常发展。

投资回报率问题在IT安全部分也同样是个很重要的话题。很多公司客户希望通过投资回报率模式来展现公司某一特定的安全投资是否物有所值，同样地，供应商也在向客户们提供这样一种投资回报率模式，能够显示他们的某个安全系统是否提供了最佳投资回报率。

理论上来说，安全投资回报率一个很好的理念，但是大多数在实践中不能实现。

在我开始谈论细节问题之前，我想要说清楚一个问题，实际上，安全部分“投资回报率”的说法其实是不准确的，安全并不是一种能够提供汇报的投资，不像一个新工厂或者某种金融工具。我们希望看到的是，人们投资在安全部分的资金能够为他们节省成本开支，安全部分的投资是为了预防灾难，而不是某种收益。

但是任何一个参与过公司年终预算削减的人都知道，当我们在做成本计算的时候，实际上，降低成本就等于是增加收益。因此，尽管安全并不能直接提供投资回报率，但是损失预防肯定会降低公司的最终成本。

公司应该执行那些能够直接影响其最终成本的安全对策，而不是将更多的资金花费在值得解决的安全问题上。反过来说，他们不应该忽视那些存在其他更廉价的缓解办法的正在耗费公司成本的安全问题。明智的公司需要向对待其他任何商业决策一样对待安全问题：成本v.s利益。

最经典的方法就是我们所谓的年均损失预计(ALE，annualized loss expectancy),而且这是一种十分直接简单的方法。计算安全事件的成本时，既要计算有形资产(例如时间和金钱)，也要考虑无形资产(例如声誉和竞争优势)，然后乘以这个安全事件一年内发生的次数。得出的结果就是你需要在该安全事件上投资的成本，以求降低安全问题的发生几率。因此，举例来说，如果你的店铺有10%被抢劫的可能性，并且被抢劫的成本时10000美元，那么你就需要每年花费1000美元在安全问题上。花费更多的钱只会浪费你的成本，而花费更少的钱，同样说明你在浪费成本。

当然，每年花费的1000美元安全费用并不能将被抢劫的几率降低到零，以符合成本效益。如果安全解决方案将抢劫偷盗的几率降低了40%(降低到每年6%)，那么你的安全花费就不会超过400美元。如果另外一个安全解决方案能够将抢劫几率降低80%，那么它就值800美元。如果两种安全解决方案，每一种解决方案都能降低50%的偷盗率，而第一种只要花费300美元，另一种则需要700美元，那么我们很清楚地看出，第一种解决方案更加划算。

必要的数据

完成这项工作的关键在于完整的数据，这种方法实际上是精算的方法。如果你在一个便利店对是否安装安全摄像机问题进行ALE分析，那么你就需要知道附近其他便利店的犯罪发生几率，并且要大概知道多少台摄像机才能够迫使抢劫犯去抢劫其他便利店。另外你还需要知道一宗劫案的成本消耗：无论是商品、时间、由于惊吓顾客造成的销售损失以及对员工士气的打击等。你还必须知道没有摄像机时，对员工工作士气的影响――可能你还很难找到雇员为你上夜班。有了上述所有数据，你就可以计算出安装摄像机的费用实际上会比你晚上关闭店铺损失的成本要低，并且我们假设的情况是关闭的店铺没有遭到抢劫。然后你就可以决定是否安装监控摄像机了。

网络安全相比而言是比较困难的，因为并没有足够的数据提供给我们。我们并没有网络空间犯罪率数据，而且我们没有关于单个安全解决方案对于降低安全风险的几率。我们甚至都没有事件成本的数据。

其中一个问题就是安全威胁变化太快，我们试图预防的安全问题变化得太快了以至于我们都来不及计算相关数据。就算我们计算出了一些数据，又将出现其他的我们不具备相关数据的新的安全威胁。所以我们在网络世界，不能简单地使用ALE模式。

另外还存在一个问题，就是当计算罕见的昂贵的事件时，我们的数学计算方法将很快失效。假设你公司的名字因为一件难堪的网络安全事件出现在报纸上，然后你计算出了损失成本(名誉成本损失、客户损失等)估约为20,000,000，并且我们假设这种事件每年发生的几率是万分之一，那么ALE得出的结论将是你每年只需要花费不超过2000美元来降低这种安全风险。

到目前为止，这是个很不错的方法。但是也许你的首席财务官会认为这种安全事件只需要花费10,000,000，当然你也不能争辩，因为我们只是在估算。但是首席财务官在这里就已经将你的安全预算削减了一半。如果某个供应商向你兜售一种产品，这种能够通过网络分析师的分析得出这种安全事件的发生几率实际上是千分之一，那么接受这个数据把，因为即使价格是高于该产品10倍的产品都将是个不错的投资。

当你在处理更加罕见更加巨额的事件时，问题将变得更加复杂。假设你们是一家氯气厂，正受到降低恐怖主义威胁的问题的控告，那么你认为因为一次巨大的致命的爆炸你们公司应该承受多大的成本消耗呢?无论是金钱上的或是名誉上的。100万美元?10亿美元?100亿美元?发生几率是：十万分之一?百万分之一?千万分之一?取决于你回答这两个问题的答案，而且任何答案都只是猜测，你可以花费10美元甚至是10万美元来降低这个安全风险。

或者我们来看看另一个例子：机场安全风险。假设所有的新机场安全措施都增加了机场乘客的候机时间，我假设时间是每名乘客为30分钟。2007年在美国候机的乘客有7.6亿人，这就意味着额外的候机时间耗费了我们所有人总共43000年的额外等候时间。假设一个人的寿命为70年，那么这增加的候机时间每年都“夺取了”620人的终生性命，如果根据每天16小时的清醒时间来计算则夺取了930人的性命。所以问题就是：如果我们真的不考虑部署机场安全措施，夺取的性命真的会比恐怖主义者夺取的性命要多么?

货物既出概不退货

这就是为什么我在本文的开头说安全供应商提供的大多数投资回报率模式都是无稽之谈的原因，当然他们的模式能够表明他们的产品或者服务具备金融意识：他们能够计算出成本收益数据。

但是这并不是说ALE是没有用的，它给我们的提示是：1)不要相信任何使用议程分析的人所得出的任何分析数据;2)将所有结果仅仅当作一种指引或向导。

所以当你从供应商处获得投资回报模型的时候，使用模型的框架然后填入你自己的数据。(甚至不要向供应商展示你对他们产品模型的改进，他们不会认为任何降低他们产品或者服务成本收益的改变是“改进”)，然后将得出的结果数据作为一般指南，当你在决定是否购买安全产品或者服务的时候，进行风险管理以及合规分析。（IT专家网）