中小企业在进行网络安全防范设计过程中,有一个重要的问题是不得不面对的,那就是如何确认安全的投资回报率(return on investment (ROI)的问题。我们应该知道,如果安全防范的商业目标没有达到,那么,这个安全防范方案将是错误的。尤其是在现在这种全球经济形势不好的情势之下,中小企业都在尽量缩减各种成本。在这种情形之下,成本就是制约安全防范方案最关键的因素。
作为网络管理员或IT部门主管的我们要想说服企业使用某一种安全防范方案,就必需拿出具体的安全投资回报率来说服企业领导同意这个方案,让他们知道使用这样的安全防范方案是非常值得的。那么,我们该如何来计算某个安全防范方案的投资回报率呢?
 
一、            了解什么是安全投资回报率
首先,我们先来了解什么是安全投资回报率。通常人们所说的投资回报率是指投入成本与产出的比值,一般投资回报率高的方案是最佳的方案。计算方式可以是收益比上成本,还可以是利润比上成本,以及纯收入比上成本。按这样计算的话,就必需产生价值才有可能存在投资回报率。
例如:如果一个你投资1000元人们币,最后得到了1050元,那么你此资投资的回报率是5%
但是,很显然的是安全防范只有投入,却不会产生任何新的价值的。那么,安全防范的投资回报率从何而来呢?
虽然安全防范没有产出任何新的价值,但是,它却能对现有资产进行保值。保值的意思就是原本一台电脑在购买六个月后会跌价10%,但使用一定的方式保养后,使它在六个月后只跌价5%,那么,这种保养方式就为这台电脑保值了其总价的5%。保值相对来说就是为企业产生了新的价值。安全防范在价值上的作用就是如此,它能为企业的网络资产和无形资产进行保值,也就相对地给企业产生了价值。既然安全防范可以相对地给企业产生价值,也就存在安全投资回报率。
 
二、            安全投资回报率的计算
如上所述,我们必需从财产保值的角度去计算安全的投资回报率。任何一个安全管理人员都应该知道,每个制定的安全防范方案可以为企业节省多少数量的钱。典型的做法就是进行风险评估和分析,以及成本/效益分析,然后计算出安全投资的回报率。
实际上,要准确计算出安全的投资回报率是相当困难的,并且,到目前为止还没有一个具体的计算标准来给中小企业作为参考。
这是由于存在下列原因所致:
1、 企业网络资产的价值无法做到非常具体的明确,而且确定它也不是很容易。
2、 各种安全威胁也是无法预料的,而且不能很准确评估它们的风险大小。
3、 企业网络中存在的所有安全漏洞不可能都了解清楚,而且每天都有新的安全弱点被发现。
4、 漏洞被利用后造成的影响在安全事件还没有发生之前,不能很明确地了解它所造成的损失,总是要等到事件真正发生后才能了解清楚。
    从这里就可以知道,其实进行安全投资回报率的计算,计算的数据大都建立在半猜测的程度之上的。但不管怎么样,我们还是可以大概计算出安全的投资回报率是多少,并以此了解这个安全防范方案是否值得去实施。
也正是由于安全防范成本的不确定性,我们可以先大概计算出某个单个安全项目的投资回报率,然后将这些投资回报率总结起来就是整个安全防范方案的投资回报率。这种计算方法能比一次性计算整个安全防范方案的投资回报率要准确得多,也是现在使用比较多的计算方式。这都是由于安全造成的损失不是能在一开始就可以预测的,也不可能预测得非常准确。所有用来计算的数值都只能是大概的猜测而已。这些不可预期的因素造成了计算的不准确。但如果将它们分开来计算,这些不确定的因素就会相对地减少,准确率就会有所提高。
下面,我们来看一个具体计算安全投资回报率的实例:
假如现在有一个有1000个雇员的公司,在没有使用安全防范措施之前,只是使用一个用户使用策略来监控员工的E-MailWEB浏览行为,以防止员工出现违反用户使用策略的行为,并通过法律的手段来惩罚违反的员工。但是,这并不能防止员工产生各种安全违规行为,这些不安全的网络操作系统有可能给企业内部局域网带来病毒、垃圾邮件及******等各种安全威胁。而且,更不要说这些违规的员工在工作时间利用企业的网络资源来做非公司业务等事情,从而影响公司的正常业务流程的处理。所以,现在我们需要购买网络行为监控产品来防范这类事件的发生,而购买相关的软硬件产品必需花费¥10000元人民币。那么,我们该如何知道这次的安全投资是值得企业去实施的呢?这就是计算此次安全防范方案的安全投资回报率的问题。
首先,我们要确定公司内部员工在使用电子邮件和进行WEB浏览时,可能会违反公司网络行为规范的概率。我们可以将这个概率称为暴光值(exposure value (EV))。根据一些机构对中小企业做的调查报告可知,通常有25%30%的员工会违反企业的使用策略,我们在此选择25%作为计算安全投资回报率的暴光值。那么,就有1000 x 25% = 250名违反者。
   下一步,我们必需确定一个因素,当发现单一事件时将损失多少人民币。我们可以将它称为预期单一损失(single loss expectancy (SLE))。由于公司中的1000个员工都有可能会违反公司的使用规定,因此,我们可以用这一1000个员工的平均小时工资作为每小时造成工作站停机的预期单一最小损失值。例如,我们在此可以用每小时10元人民币作为预期单一最小损失值。然后,我们要确定在一周的工作时间之内,处理250名违规员工带来的影响需要花费多少时间。这个时间可以用每周总工作量40小时乘以暴光值25%可以得出为10小时。这样,我们就可以按下列公式来计算单一预期损失值:
250 x 10 x 10/ h = 25,000 SLE
    最后,我们要确定这样的事情在一年中可能会发生多少次。我们可以叫它为预期年均损失(annualized loss expectancy (ALE))。这样的损失事件可能每一个星期都会发生,一年有52周,如果除去我国的两个黄金周的假期,这意味着我们在一年中可能会发生50次这样的事件,可以将它称之为年发生率(annual rate of occurrence (ARO))。预期的年均损失(ALE)就等于年发生率(ARO)乘以预期单一损失(SLE):
25,000 x 50 = 1,250,000 ALE
这就是说,该公司在没有使用安全技术防范措施的情况下,内部员工的违规网络操作行为可能会给公司每年造成125万元人民币的损失。从这里就可以知道,如果公司只需要花费10000元人民币来实施一个具体的网络行为监控解决方案,就可能让企业每年减少125万元人民币的损失,这个安全防范方案当然是很值得去做的。
但是,事实却并不是这么简单的。这是由于安全并不是某种安全技术就可以解决的,安全防范是一个持续过程,其中必然会牵扯到人力和管理成本等因素。而且,任何一种安全技术或安全解决方案并不能保证绝对的安全,因为这是不可能完成的任务。
就拿本例来说,实施这个网络行为监控方案之后,能够将企业内部员工的违规行为,也就是暴光值(EV)降低到2%就已经相当不错了。而这,需要在此安全防范方案实施一段时间之后,例如半年或一年,我们才可能知道实施此安全方案后的最终效果,也就是此次安全投资的具体投资回报率是多少。
在本例中,我们就以一年后此安全防范方案将公司员工违规行为降低到了2%来计算此方案的安全投资回报率。那么,我们先按前面所述的方式计算出实施安全措施后的预期年均损失mALEmodified ALE)为100,000元人民币。具体计算方法为:
1000 x2%=20个违规员工
20 x 10 x 10/ h=2,000SLE
2,000 x 50 = 100,000 mALE
那么,现在就可以按下列公式计算此安全方案的年投资回报率了:
ROI=ALE-mALE-投入的成本/投入的成本
在此例中为:
1,250,000-¥100,000-¥10,000/10,000=114%
这也就是说,此安全防范方案的年投资回报率为114%,这当然是非常值得的投资。
在本文中只是给出了一个相对比较简单的安全方案来计算它的投资回报率,主要目的是给一些想了解如何计算安全投资回报率的网络管理员或IT技术人员一个具体的计算方法。其实,其它的安全防范方案都可以按本文的这个方法来计算其投资回报率的,只是在计算时要将所有可能造成的成本因素考虑进出,并且将大方案分割成几个独立的小方案来分别计算就容易多了。