争取IT安全预算获得批准时会用到的几种诀窍

对于每一个人来说，风险管理都属于必须要做的工作。人们只要醒着，就必须自身当前面临的各种风险情况进行全面评估，并根据分析得出的结果进行决策。不过，由于该过程的自动化程度非常高，所以往往在事情发生之后很久人们才会意识到真正的原因所在。 

举例来说，人们在确定过马路是否属于安全时采取的具体步骤就属于这样的情况。 

无法消除的风险

其中，最糟糕的部分就是完全无法消除的风险——不论怎么做，采取什么措施都不能避免——所能做的全部工作仅仅就是降低出现的概率。因此，为了确认面临的各种风险是如何被减少的，专家们首先要做的工作就是对它们进行分类处理：

•　固有风险：当公司没有建立起内部控制措施时会发生危险的可能性或者带来的问题所导致的风险程度。

•　剩余风险：该风险（也称为“漏洞”或者“暴露”）指的是那些在运用了全部风险控制以及管理技术后还会保存下来不能被有效管理的固有风险。　　

对于人们来说，剩余风险就属于最需要担心的部分。众所周知，过马路的时间应当观察道路左右的车辆行驶状况，但很少有人会抬头看天——这就属于剩余风险——毕竟，压顶而来的陨石属于千年也难得一遇的罕见情形。

而对于安全专家和高管们来说，剩余风险就属于重要推动力之一。当然，这其中的原因并不属于显而易见的情况。我最初以为——当然，现在看来属于完全错误的——它就意味着需要尽全力来确认所有风险的可能性。但是，最终我却发现实际完全不是这样的情况。

如何实现平衡

现在，人们都会同意风险不能被完全消除的这一观点；因此，面临的具体问题就变成了应该将实际风险减少到什么程度？在什么时间，就会出现降低风险的花费将比风险爆发导致的损失还高的情况？这些就属于最棘手的问题，处理不好的话将会让风险评估措施陷入盲人摸象的状态。

我试图理解这一点，因此就努力阅读了几篇发表在风险思考网站上的文章。大家都知道该网站的位置所在。导致的结果就是发现了《信息安全合规工作中的量化风险与成本分析》这篇文章。作为该文的作者，罗恩·利奥波夫斯基不仅拥有国际注册信息系统安全专家（ＣＩＳＳＰ）以及信息安全经理（ＣＩＳＭ）的专业资格，而且还担任着信息安全审计以及合规公司ＥＲＥ信息安全和合规审计的总经理。

IT技术风险管理

在这里，我先简单总结一下；罗恩在文章中将关注重点放在了信息技术安全上。当然，这确实属于非常重要的部分。毕竟，在谈及高管们是如何忽视信息技术安全问题并发现“他们唯一在意的就是花费的成本会有多高”的内容时，我已经没有足够资本来让所有读者保持信任。

在读完文章后，我发现罗恩的观点确实属于真知灼见。它对如何说服高管以及技术专家的具体做法进行了非常到位的说明。当然，更糟糕的现实就是我并不了解风险管理。因此，为了防止把情况搞糟，我就联系上了罗恩。

在回复我的邮件时，罗恩提及自己正在度假。这让我突然感到压力非常大，认为截稿期限将成为非常棘手的问题。但值得庆幸的是，罗恩表示：“如果访谈可以通过网络进行的话，我将非常高兴地回复你提出的问题。”这简直是太好了。

卡斯勒：对于绝大部分信息安全经理来说，都已经了解过风险管理的基本概念。不过，他们知道的全部内容也就仅此而已。对此，你有什么建议么？

利奥波夫斯基：从经理们自身角度来考虑的话，工作的关键应当放在如何保证作出的决定被高层管理者接受上。就个人而言，我会考虑到以下几方面中的潜在剩余风险：

•　由于无法进行正常生产而导致在产品和收入方面出现的各种损失

•　为恢复安全生产而导致时间和工作方面出现的相关损失

•　法律方面出现的问题

•　对公司品牌造成的损害

•　调整对合规方面带来的影响

•　隐私对合规方面带来的影响

•　在客户关系方面带来的损害

•　知识产品、竞争力或者专有信息等方面出现的相关损失

•　没有获得足够安全保护导致客户流失波及到的潜在利润损失

卡斯勒：在文章中，你提出应当利用高管听得懂的语言来进行介绍。在这里，所谓的关键基本上就是指——投资回报率。当具体到风险货币价值分配的情况时，这真属于可行的选择么？

利奥波夫斯基：由于成本会对业务情况带来影响，所以，风险也应该成为其中的组成部分。为了达到确认潜在成本的既定目标，我建议开展以下方面的工作：

•　从财务经理、律师以及风险管理顾问等专家处征求专业意见

•　向涉及到的所有相关人员进行全面询问，并针对每起预测事件来计算负面影响成本

•　对相关业务的实际情况进行汇总调查，对于所有安全事件都进行成本分析

•　从业内专家或者行业协会处购买相关统计资料

卡斯勒：针对潜在风险问题，你声称最关键的措施就是利用年度损失期望（ＡＬＥ）来确定事件发生的可能性。在这里，你能否解释一下它的具体工作方式？

利奥波夫斯基：所谓的ＡＬＥ就是利用单起事故资金损失乘以单一损失期望（ＳＬＥ）乘以年度发生率（ＡＲＯ）而得出的全年资金损失总额。在这里：

•　单一损失期望（ＳＬＥ），即特定威胁可能造成的潜在损失总量。

•　年度发生率（ＡＲＯ），即威胁在一年内估计会发生的频率。

卡斯勒：现在，我们明白了如何将货币价值分配到具体风险上。对于业务工作来说，下面的任务就是找出防范每起风险发生将涉及到的具体成本。在这里，你提到：

“安全专家们非常了解防范措施的费用情况。有时间，高管们在观看防病毒和防火墙等技术的相关广告后会产生他们也可以非常了解这方面费用情况的错误想法。

而这就会导致将工作重点放在技术本身而不是安全以及合规等主要防范措施上的危险出现。”

接下来，人们就会接到针对以下防范措施领域的建议：

•　包括技术以及人事工作在内业务流程的重新设计工作

•　包含技术以及人事工作方面的具体策略

•　技术安全性

•　现场安全性

•　人事工作

•　培训与教育

•　用于确认有效性的第三方审计工作

大家没有看错，在这里确实并没有出现什么新事物。但是说实话，文章下面的内容才是让我感到震惊写出这篇文章的真正原因所在：

　　“信息安全属于做起来相当容易，但非常难于说明必要性所在的情况。”

　　下面的图中似乎就显示出管理层非常认可的几个项目。但谁能指出我们寻找的究竟是哪块？

利奥波夫斯基：上图所显示的是两种因素之间的关系：

•　潜在损失与风险　（事件发生的几率）

•　防范成本与风险　（事件发生的几率）

　　对于安全成本来说，最佳位置就是两条线交点所确定的数额。而绿色曲线的对应位置就是上述风险的总成本所在：

　　总成本＝亏损成本＋防范成本

　　在制定安全预算的时间，既定目标必然是尽量减少开支；所以，在理想情况下公司不会让防范费用变得比预期潜在损失还高。而作为合乎情理的检测措施，与风险相关的总成本绝对应当大于防范成本；否则的话，就意味着风险防范方面的财务规划中存在着相当严重的错误。

卡斯勒：我还有一个小问题——好吧，也许不是那么小。我正在关注的对象是中小型企业和疲于奔命的技术人员。对他们，你可以给出什么具体建议么？

利奥波夫斯基：这是一个大问题。毕竟，对于信息安全技术来说，在规划预算的时间是几乎不可能有足够时间或者资源来进行风险分析的。

　　因此，这里的第一步工作就应该是确认在管理层中是否存在对公司资产面临风险先后次序进行分配的任何文件。如果答案是没有的话，那么我的建议就是先让高管们认识到风险分析可以带来的好处。这样才可以保证他们在处理安全方面的相关预算时间，至少能够作出明智的决定。并且，无论管理层的决定是什么，我都会建议技术部门要求将具体内容以书面形式发布。

最后的思考

　　对于技术人员来说，学会利用风险管理和最佳成本点之类的语言与高管进行沟通，将可以让自己变得非常有说服力，工作开展起来也会轻松了很多。我就很想尝试这么做；在以后的文章中，我会告诉大家进展情况。

　　在这里，我非常感谢罗恩将这么复杂的问题明白地讲述给大家，并且帮助了广大技术人员可以更好地理解高层的语言。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友