盈亏的语言
安全专业人员花了很多时间来磨练他们的专业技能。你的强项可能是数据包分析,或者编程,或许你最擅长的是安全工程或渗透测试。或者,你可能有最好的技术能力,但当涉及到确定一个项目或一个新的安全工具的预算时,你需要理解并解释可能性和概率之间的区别。
为什么这个很重要?因为商业语言是基于利润和亏损的,而这部分是你取得进展的关键。你如何描述一个新的安全倡议的需求,让那些风险投资人明白这一点?
推进你进展的最好方法是通过定量或定性分析。具体来说,就是一个事件发生的可能性有多大,或者说概率有多大。正如CISSP通用知识体系(CBK)所描述的,”可能性与定性分析有关,而概率与定量有关”。 一些字典没有进行这种细微的区分,而是将可能性和概率作为同义词来对待,但是在安全领域这样是不明智的。
有什么区别?
记住两者区别的一个简单方法是,定性分析处理的是质量,而定量分析处理的是数量。
质量=可能性测量
数量=概率测量
许多人认为定性分析不如定量分析可靠,因为使用定性检查时没有硬性数字。
从事风险管理时,通常要进行定性分析。这通常用一个表格来表示,显示风险事件与它的可能性和影响。例如,许多年前提出的一种方法表明,对纽约和旧金山来说,竖立建筑物抗震的定性风险分析是相等的。
如果我们使用 “威胁 x 脆弱性 = 风险 “的经典公式,我们可以这样来构建这个想法:
在旧金山–威胁等级为7(因为地震的风险非常高),乘以脆弱性等级为3(因为他们的建筑规范有严格的抗震标准)。
这使得风险达到了21级。
在纽约–威胁等级为3(因为该地区从未发生过毁灭性的地震),乘以脆弱性等级为7(因为,由于建筑规范中没有地震保护措施,如果发生严重的地震,每座建筑都很脆弱)。这也产生了21级的风险等级。
很容易理解为什么一个精确的、按部就班的商业主管会认为定性分析不如定量分析那么严肃。定性分析中的数字太容易被替代。
数字的准确性
定量分析在其数字成分上要明确得多。在CISSP CBK中看到的定量分析的简单计算式是:
年预期损失率(ALE)=单次预期损失率(SLE)x年发生率(ARO)
记住这个的简单方法是想象一个丢失的电话。如果我们把数字加上去,总数就很清楚了。以一部600美元的手机为例,每年有100人丢失或毁坏该设备:60,000美元(ALE)=600美元(SLE)×100(ARO)。
如果有什么区别的话,这个例子应该能够说明为什么尽管安全分析师给出了各种建议,”自带设备 “运动还是如此成功。太多的公司在丢失的电话上损失了太多的钱。
定量分析更加深入,展示了如何计算单次损失预期,以及计算保障价值。在丢失电话的事例中,即使是最好的保险也不能合理地调和ALE费用。(矛盾的是,在某些情况下,当一个人知道他们公司有设备损失保险时,他们往往不像对自己的财产那么仔细地对待公司设备,使ARO更高。)
CISSP CBK涵盖了定量分析的深度,不仅值得从损失的角度清楚地了解,更重要的是能够计算出一个提议的保障措施对组织来说是否合理。没有什么比提出一个让组织花费而不是节省更多钱的解决方案更容易失败的了。
结合使用更有说服力
从上面的分类中,我们不难看出为什么定量分析是一个非常有说服力的工具。然而,这是否会降低定性分析的价值呢?绝对不是。事实上,当与定量分析结合使用时,它可以为提案增采不少。
我们假设,你正努力争取一个新的移动设备管理(MDM)平台的预算。如果我们继续以手机为例,定性分析可以表明,丢失设备的可能性很高,如果该设备带有的企业数据没有得到高质量MDM的保护,那么对企业的风险就非常高,包括声誉上的损失和可能的监管处罚。
额外的部分是否值得付出?毕竟,定量分析不是应该足够了吗?这些都是实实在在的数字,细节丰富,可以让最强硬的首席财务官露出满意的笑容。然而,有时最好增加那部分额外的内容,因为它包含了等式的风险管理部分。
CISSP认证如何助你成功
CISSP CBK从风险管理,尤其是降低风险的角度探讨了每个知识域。在商业的各个方面,无论你是一个独立的顾问,还是为哪种规模的公司工作,总有一天你会从了解定量和定性分析中受益。通过学习CISSP CBK所获得的知识将帮助您在企业的任何层级上更好地陈述案例。
了解更多关于CISSP的信息,请浏览官方的白皮书成功的网络安全领导者需要具备的9个特质。