小議數字風險管理的投資回報 (ROI)
責編:gltian |2025-08-27 17:47:34根據Gartner 預測, 2025 年信息安全支出將從 2024 年的 1839 億美元增加到 2120 億美元,增長 15%。盡管投資大幅增長,但網絡安全預算仍然面臨巨大壓力,決策者希望每項支出都有比以往更大的理由。數字風險投資回報的重要性顯而易見,本文探討在數字風險防范上投資的長期價值和方法,希望為有效地衡量數字風險投資回報提供思路。
1.數字風險管理模型
隨著企業數字化轉型,數字風險管理理論也在信息風險管理的基礎上越來越多的被企業管理者所認知。為了更好地研究數字化風險,在此引入FAIR模型。引入FAIR模型是因為FAIR模型是信息安全領域廣為使用的網絡安全風險評估(CRA)框架。
FAIR(Factor Analysis of Information Risk 信息風險因素分析)模型的產生是因為數字化進程推動越來越多的企業依賴于信息科技,信息科技的高速發展帶來了網絡環境復雜度的幾何級數遞增,由此,網絡安全成為越來越多的企業所面臨的棘手問題和關鍵問題。這些問題包括數據泄露、企業聲譽受損以及最終的財務損失。為了減輕和預防這些風險,需要對網絡安全風險評估,幫助企業風險管理人員確定數字風險的優先級,分配有限的資源以緩解數字風險并做出進一步的防范決策。
1.1.?FAIR模型簡介
FAIR模型使用分類法將風險(財務損失)分解為風險因素,FAIR模型考慮了攻擊者和防御者之間的能力競賽,以及信息資產的脆弱性、攻擊頻率,并采用財務損失進行風險量化,FAIR模型還對風險因素之間的關系進行了描述。(見下圖):
FAIR模型
FAIR模型對風險類別進行了建模,在風險分類時,需要詳盡無遺漏且風險因素間互斥。整體風險(財務損失)由事件發生頻率和損失幅度的乘積進行描述。即:風險(財務損失)=事件發生頻率*損失幅度。
事件發生頻率是指攻擊者在給定時間范圍內對信息資產造成傷害的頻率,由威脅事件頻率和資產脆弱性的乘積表達(事件發生頻率=威脅事件頻率*資產脆弱性),其中前者表示“攻擊者對信息資產采取行動的頻率”,而后者則被定義為“信息資產無法抵抗攻擊者行動的可能性”。
威脅事件頻率是攻擊者與資產接觸的頻率,是攻擊者一旦接觸目標信息資產(接觸頻率)就會對資產采取行動的概率(行動概率),表達為:威脅事件頻率=接觸頻率*行動概率。
資產脆弱性是威脅因素能夠對資產施加的力量水平(威脅能力)與防御者對資產的控制強度(抵抗強度)之間的差,表達為資產脆弱性=威脅能力-抵抗強度。
損失幅度由直接損失和間接損失共同組成,表達為:損失幅度=直接損失+間接損失。在FAIR模型中間接損失又稱為次要損失,典型的例子有企業品牌負面影響、資金成本增加等。
間接損失可分解為間接損失事件頻率和間接損失幅度,表達為:間接損失=間接損失事件頻率*間接損失幅度。
FAIR模型完整的風險公式表達為:
風險=(接觸頻率*行動概率)*(威脅能力-抵抗強度)*(直接損失+間接損失事件頻率*間接損失幅度)
1.2.?數字風險分析模型(C-FADR模型)簡介
在數字風險的環境下,FAIR模型具有一定的約束性。
·信息資產公開性:在數字風險研究領域,主要被攻擊對象為公開發布的應用系統,包括:企業網站、移動端應用、企業公眾號和高級管理人員公眾號,其典型表現為公開性,數字風險保護所提到的數據泄露概念,也是基于數字信息已經泄露的前提。
·攻擊能力易獲性:由于開源測試軟件的推廣,各種測試軟件和學習材料極其容易獲取,而這些軟件具有雙面性,既可以用于應用系統的測試和改善,也可以被攻擊者用于攻擊行為,由于資產的公開性,針對網站、APP、公眾號信息等展開的攻擊行為可謂入無人之境。
·威脅事件可測量:針對數字風險的攻擊,攻擊者需要進行公開發布方能產生攻擊效果,因此針對互聯網、移動互聯網、深網和暗網的監測能夠發現威脅事件,并利用統計學原理進行計算可評估威脅事件的頻率,因此威脅事件具有可測量性,且測量過程可控、測量結果可信。
基于以上約束條件,針對數字風險的FAIR模型可以簡化為下圖:
數字風險FAIR模型
由于上述模型的前提是針對威脅事件的測量和資產脆弱性的約束假設,因此,將該模型定義為約束的數字風險因素分析模型:Constraint-Factor Analysis of Digital Risk,簡稱C-FADR。表達為:
數字風險=威脅事件頻率*(直接損失+間接損失事件頻率*間接損失幅度)
經簡化后的數字風險公式更加容易應用,企業可以通過監測互聯網威脅和內部調查收集信息而快速完成風險評估。
1.3.?損失幅度分析簡介
1.3.1.防御者視角
在風險模型中,統計損失一向具有難度,尤其是損失由直接損失和間接損失共同組成,而間接損失猶如冰山隱藏在水下的部分,估算難度更大。然而,通過科學的估算模型,間接損失仍然是可以計算出來的,甚至可以利用經驗公式進行粗略估算,就如同利用密度比通過冰山浮在水面上的部分去推算冰山整體體積一樣。
針對數字風險所研究的范圍,其直接損失將處于更小的比例,這里的直接損失是指事件發生后其損失由企業直接遭受的貨幣化損失,且損失數額可在損失前量化。數字風險的主要損失由間接損失構成,間接損失是指具有一定或然性,在事件發生后可能會發生,其概率大于0且小于1,可能包括:
·~民事、刑事或合同罰款和判決
·~通知費用
·~信用監控
·~彌補二級利益相關者的金錢損失
·~公共關系費用
·~法律辯護費
·~處置成本,由一線人員、公關、法務、其他相關人員的薪酬構成
·*監管制裁的影響
·*失去的市場份額
·*股價下跌
·*資金成本增加
以上間接成本,帶有~符號的科目,企業可通過內部調研獲得,且誤差控制相對精確,而帶有*符號的科目,其影響的長期性、非精準性增加,考慮到影響的比重較大,需要相應的投入獲得精準的數字。
1.3.2.攻擊者視角
在上節中,我們采用了防御者的視角來分析數字風險,這也是風險模型中普遍采用的分析視角,然而僅采用防御者的視角分析風險并不全面,例如:針對政府網站的仿冒行為,其損失往往無法簡單地用直接損失+間接損失的貨幣化來衡量,這時候需要引進攻擊者視角,所謂:“匹夫無罪,懷璧其罪”,采用攻擊者價值視角,可以是企業和組織更加關注其社會責任。
由于攻擊者針對數字資產的攻擊可以直接或間接變現、技術要求低、犯罪成本低、容易藏匿于法外之處,因此分析攻擊者能夠獲得價值,可以作為非企業的首要參考模型,在此場景下,數字風險模型變換為:
其公式表達為:
數字風險=威脅事件頻率*攻擊者收益
其中,攻擊者收益可以通過公開信息進行分析。
小結:
數字風險是隨著數字化轉型而快速產生的規模化風險,經精簡和場景化后的數字風險模型,可以幫助企業和組織應對數字化風險建模的挑戰,重定義信息技術風險的優先級矩陣,從而集中、高效地管理數字風險應對資源。
在建立數字風險模型外,企業和組織還需要應對數字風險管理職責的挑戰,其表現為牽頭部門不確定。在數字風險管理框架下,技術、風控、法務、市場等部門的需要形在數字風險官(DRO)的統一領導下工作,才能真正做到對風險的應對。
顯示原圖
翻譯為
復制譯文
下載圖片