平衡的理論為安全提供了前進的方向，但是在前進的道路中，需要具有可操作性的具體方法來指導(dǎo)。

ALE批判

在信息安全風(fēng)險管理中有個特別有名的公式，那就是ALE(Annual Lose Expectation),它表示某個特定的安全事件損失的價值與其年度發(fā)生頻率的乘積。

代表性定義如下：ALE=SLE*ARO

其中，SLE是單一損失期望，ARO是年度發(fā)生率。

ALE出現(xiàn)在各種各樣的教科書中，像流行的CISSP的培訓(xùn)教材，就連著名安全專家Bruce Schneier在其著作《secrets and lies: Digital Security in a Networked World》中對ALE也有所描述。ALE是定量風(fēng)險評估中的核心概念，有了ALE，從財務(wù)的角度對安全風(fēng)險損失以及所選擇的控制措施進行分析，依照成本效應(yīng)原則，選擇安全對策，有理有據(jù)，整個思路流暢，邏輯清晰。但是風(fēng)險管理實踐當中，ALE卻遭遇重重困難，主要體現(xiàn)在以下幾個方面：

局外人難以建模

缺乏事件發(fā)生可能性和預(yù)測損失的數(shù)據(jù)

首先，ALE不是一個簡單的數(shù)學(xué)可以說明的問題。局外人制定的損失事件不能表現(xiàn)一個典型的損失事件的特性。一般來說，安全事件具有低概率、高危險性的時間。這使得他們難以建模。而非得要建模的話，那只能妥協(xié)并作出不合理的假設(shè)。

其次，ALE的實施者根本沒有能力以及具有合適的方法去估計可能性和損失。確實很難預(yù)知一個損失事件發(fā)生的可能性，這最可能的途徑之一是通過對歷史數(shù)據(jù)的分析，得出統(tǒng)計特性來預(yù)測將來，但是，在信息安全領(lǐng)域，歷史數(shù)據(jù)的缺失是不爭的事實。另外，預(yù)估損失事件對資產(chǎn)的影響也存在巨大挑戰(zhàn)，這種挑戰(zhàn)來自兩個層次，第一層次是資產(chǎn)本身價值的估計，第二層次是資產(chǎn)損失百分比。Bruce schneier把ALE說成”有很多猜測的工作”，說白了，就是需要拍腦袋。

再次，整個模型對假定中的微小變化非常敏感，因為一項資產(chǎn)或者資產(chǎn)組同時可能會遭受多個威脅的攻擊，而一個威脅可能會對多項資產(chǎn)或者資產(chǎn)組產(chǎn)生破壞，任意一個資產(chǎn)價值以及威脅發(fā)生可能性變化，就會傳遞到整個模型，產(chǎn)生的變化也就較大。試想一下，在ALE上建立的風(fēng)險管理模型，猶如沙灘上的高樓大廈，這樣的大廈盡管能夠登高享受美麗海景，但是你敢登嗎?!

需要數(shù)字說話

難道我們只能望樓興嘆嗎?實踐中對信息安全的測量的要求是實實在在存在的，而且會越來越突出。著名數(shù)學(xué)物理學(xué)家lord kelvin說過“你不能改進你不能測量的東西”。信息安全經(jīng)理必要知道當前的信息安全管理體系運行如何：

安全團隊獲得了什么成果?

安全團隊是否為組織增加了價值?

我怎樣才能表明我們有多少價值?

我怎么能夠判斷部門的預(yù)算?

我怎樣才能激發(fā)我的團隊獲得更多的成績?

安全團隊成員也有必要知道事情的進展:

我們當前處在哪里?

我能否具有成就感以激發(fā)更多工作熱情?

我能否看清自己的職業(yè)發(fā)展?

我能否在接下來的員工考核中預(yù)估自己的成績?

高層管理必要去判斷事情的成?。?/p>

哪種類型的保障能夠表明當前的系統(tǒng)安全是充分的?

我怎樣才能表明已經(jīng)履行了適度勤勉(due deligence)的責(zé)任?

我們是否領(lǐng)先別人還是落后別人，或者處在中游水平?

我是否正在履行公司治理的責(zé)任?

我從安全投資中獲得哪種類型的回報?

yajing