搜尋此網誌

2013年4月26日 星期五

[個人意見] ALE 了沒 - The Ugly Truth about ALE

3040508093_a66a92cc59_o對資安從業人員來說,一個揮之不去的困擾就是如何評估一個計畫或產品的必要性。必要性除了從功能面著手,更重要的是財務面的考量。把錢花在刀口上是所有員工的責任,更何況當我們要向 CEO 爭取支持時,如果提不出相關的證明,就算 CEO 可以接受"威脅"形式的溝通,到 CFO 那關也往往只能等著被打槍。所以諸如 ROI  (Return on Investment)、TCO (Total Cost of Ownership) 等指標,就變成我們用來將相關需求與財務做整合的可用工具。
除了 ROI 與 TCO,還有一種更常見的評量工具,我們稱之為 Annualized Loss Expectancy,簡稱 ALE。ALE 不但在實務上很常見,更是許多資安認證的必考題。首先,我們來看 ALE 的計算公式:
ALE = SLE * ARO
Annualized Loss Expectancy = Signle Loss Expectancy * Annualized Rate of Occurrence

每年損失的期望值 = 單一事件損失期望值 * 每年發生的機率
舉例來說,假設我們公司平均每五年發生一次中毒事件,每次造成的損失 (人力成本、業務損失) 為 100000 元,那麼病毒這個威脅來源的 ALE 就是
100000 元 * 1/5 = 20000 元
ALE  的觀念與計算都相當簡單。此外,通常安全計畫或產品的導入並不會增加受益,所以 ROI 不容易套用。而 TCO 則因為沒有辦法與"成效"做關連,所以說服力也往往不足。這些因素的加總,使得 ALE 很受到資安從業人士的歡迎。但是當我們認真思考後,就會發現 ALE 的計算往往只是落入無意義的數字遊戲,對事情的判斷並沒有任何幫助。
ALE 本身就是一種根據統計而來的計算。面對統計數據,我們必須先釐清的是何謂有效的數據來源?不管是 SLE 或 ARO,是要參考全世界的企業?還是國內的企業?是要參考所有產業的企業?還是只要參考與企業本身相同產業的企業?甚至只要考慮自己企業本身的歷史數據
當我們選定一個數據來源時,就會發現下一個問題,那就是樣本數不夠多,甚至是無法取得任何實際的樣本數據通常特定種類資安事件的發生次數都不會很頻繁,一個企業可能一年發生個一兩次就很可怕了。高於此發生頻率的問題,我相信不需要採用 ALE 的方式,光用威脅就可以讓 CEO/CFO 屈服了。樣本不夠多,統計數據的參考價值就很低,這就是統計的天性。就算我們拿全世界企業的數據來參考,就真的拿的到真實的數據嗎?有多少企業願意誠實公布這樣的數據?又有多少企業能夠在資安事件發生時都確實掌握了?ARO 如此、SLE 更是如此。別忘了 SLE 可是損失的期望值,必須知道損失的機率分布才能算的出。好吧,就算我們把 SLE 簡化成損失的平均值,問題也沒有變得比較好回答。
所以,SLE 與 ARO 變成了自由心證的數字。而不幸的是,因為 ALE 的計算就是這麼簡單,只要把 SLE 乘上 ARO 就成了。所以一旦"不小心"將 SLE 高估了兩倍,ALE 也就變成兩倍,對於財務可行性的判斷結果可能也因此有了翻盤的影響。
當然,我們也別看輕 ALE。畢竟 ALE 除了在某些場合確實能夠幫助我們分析財務面的可行性,甚至在更多時機能夠成為我們用來說服 CEO/CFO 的溝通工具。只是,在這些數字背後所代表的意義,其實只是我們內心主觀的偏見。而這,正是 ALE 的 Ugly Truth

相關連結:

About