https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

從「長尾理論」看資安管理風險

2009 / 07 / 20
口述 ■ 徐子文 整理 ■ 吳依恂
從「長尾理論」看資安管理風險
網路時代,透過長尾理論來看資安風險管理,企業需要邏輯性的管理策略。

 
 這些年來,資訊安全的進步依然沒有企業實體安全來得快,資安人員的語言依然太偏向技術面,而非商業語言,如何讓老闆接受資安的觀念及需求性,事實上還有一段很長的路要走,不過以長遠來看,台灣若想走上世界的舞台勢必會往這個方向走去。而資安人究竟應該透過什麼樣的方式,才能創造出資安人員的價值,讓老闆也能理解資安人。到底資安人員應該怎樣創造出信用評價,獲得老闆的信任呢?

資安風險管理的長尾理論

  從企業整體營運考量來看,企業風險管理是很重要的,我們來看資安在風險控管理面扮演了什麼樣的角色。把風險管理的評量根據長尾理論來看,若縱軸為資安事件發生機率,橫軸為損失金額。看曲線圖主流大量的前端部分,那是可以量化的安全,因此就可以使用商業手段來處理,像是買保險,而在網路世界裡面有很多小樣多量化的東西,這些小件小量的資安事件聚集起來就是長尾的部份,就是Security所要看的部份,而風險如果再往尾巴的後面去,更多更大的風險就
只能等著看,或者用買類似巨災債券的處理方式。

  其實這只是給老闆一個想法,告訴他,不能去忽略這些微小的事情,因為它可能會造成很大的成本支出,在某個程度而言,長尾理論的「長尾」談的就是發散的東西,因為集中的現象我們就容易掌控,但是發散的部份就很難去控制,也可以說,集中現象就是所謂的常態分佈,因此可以適用80/20原理來處理,但目前為止,資安威脅分佈的狀況都是未知且發散的,會比較適用長尾理論來解釋。而不管是80/20法則或是長尾理論,其實也都只是一個形象化的說明,對老闆說明為什麼我們應該要重視安全以及資源分配的問題,重點是在於如何說服老闆去分配資源。似乎只要放了個防火牆就可以擋掉8成攻擊,但我們要看的是損失的部份,長尾理論曲線下方的面積就是損失的總金額,這正可以用來說明,雖然發生的是小事情,但一旦發生次數多,或發生的次數少但造成的影響很大,若從面積來看,在長長的尾巴上,損失的部份比起前面頭的損失面積來得大,因為針對單一事件,我們是沒有辦法用80/20法則來看待,它可能造成的損失很大。雖然不能說是科學理論,不過可以說是用來解釋資安威脅的現象,而這都是可以用來跟老闆溝通的好工具。統計,可以讓我們跟老闆有共同語言去溝通,從曲線上也可以讓我們看出合理的投資應該放在哪一段。

企業管理需要更多邏輯性

  那資安管理的部份該怎麼做呢?可以把資安的風險又分成不同等級,例如說ATM的風險等級,裝在銀行裡面、裝在戶外,亦或是設置在便利商店裡,風險等級是有選擇的。如果你只是跟老闆說,「我這個月擋了500萬次攻擊,所以我需要多加2個人」,老闆應該會懶得理你。我們不知道地震發生多少次,但我們知道地震有多危險,傷害有多大,且就是有天才可以算出地震頻率。同樣的,我們也可以算出資安事件發生的機率有多高。但是這個攻擊對企業的影響到底有多大,應該要將之轉為商業語言,讓老闆聽得懂,能夠怎麼說呢?假設連續每3個月都有500萬次攻擊,則根據數學的機率可計算出一種長期趨勢,若為趨勢性的東西則必須要想辦法解決處理,所以必須要再增加2個人!因此最後你可以得到的結果,頂多是老闆將2個人力削減到1個,而不是不給你。應該要多關注這種邏輯性的推演,了解公司的目標在哪裡?什麼東西對公司來說是重要或次重要的?那才是老闆想聽的話。管理、管理,你沒有道理,怎麼讓你管?

巨災債券
  
  「巨災債券」(CB, Catastrophe Bonds)是保險公司因應天災人禍、地震、颶風等重大災害所發行的保險證券化商品,將風險移轉到資本市場,由巨災債券購買者承擔該風險。透過廣大分散的資本市場籌措資金,若災害發生,風險將是由投資者承擔,但若在限定期間內災害並未發生,投資者就可以收回全部本金和利息。

長尾理論

  由於網路時代來臨,使得銷售管道更加無遠弗屆以及暢通,所以也創造出了與80/20理論背道而馳的長尾理論。長尾理論的基本原理是:只要儲存和流通的通路夠大,則需求量少或銷售不佳的產品所共同佔據的市場份量,能夠與少數熱門產品匹敵,甚至是更大,也就是集合小眾市場的力量與主流廣大市場抗衡,該理論常以Google的Adsense為例,無數的中小企業或部落客都加入了該廣告服務,為Google創造了極大利潤。