在商业中，价值与成本是不可分割的，价值往往被用来证明成本的合理性。商业价值是通过从成本中获得的投资回报率（return on investment ，ROI）来衡量的。通过了解当前的投资回报率，组织便可以估量出业务的价值，从而可以轻松地推算出其未来的价值。然而，问题就在于：组织该如何衡量或量化网络安全支出中的投资回报率。

问题所在

　　在安全领域，风平浪静就是最好的状态。要理解ROI，就必须要搞清楚为什么能够风平浪静。是因为足够幸运，所以没有受到精英黑客的攻击？是组织的补丁程序足够完备？还是得益于组织的一个或多个网络安全控件？然而，到底是归功于哪一点或哪几点，以及它们为组织避免了多少损失，倘若没有发生安全意外，这些都很难被推算出来。

　　但是，从安全支出中计算出某种形式的价值是安全领袖区分运气和实际技能的必要条件。这些重要的信息必须被传达给高层领导以及所有维护组织网络安全的相关人员。而“运气”往往会使人具有一种盲目的“乐观”，组织会觉得“既然什么意外都没有发生，那么以后也不会发生什么意外。”同时，这也会使得该组织未来在安全方面的预算不断减少，它被认为是一项不必要的开销。

　　然而搞清楚哪些安全控件是实际有效的十分困难。因为能够帮助作出可靠估计的数据是有限的。例如，今年接二连三发生的勒索软件攻击导致了网络安全保险理赔的大规模增长，这也意味着大多数保险公司在风险概率计算方面存在严重失误。也就是说，即使是那些理应使用严格精密方法来计算安全控件价值的组织仍会出现大量失误。

　　然而，随着组织高层对网络安全监督的加强，特定网络投资之间的相互联系变得越来越重要，这些联系显示了提高网络成熟度以及降低风险的关键业务目标。

　　网络安全方面的问题就在于：在攻击和防御侧都存在太多的变量，所以组织无法轻松地计算出特定支出的投资回报率。

在有些领域，ROI是可以被量化的

　　并非所有的ROI计算要素都是不可知的，例如，特定领域中的特定故障成本。在某些领域，其损失是可以被量化的，这也使得降低安全控件成本成为了可能。例如，当电子商务网站被迫下线，其用来缓解DDoS攻击的支出是可以被量化的，并且，B2C公司也可以预估出凭证被盗所带来的损失（这也进一步证明了在增强身份验证解决方案方面的支出是合理的。）

　　通过这种方法得出的结论具有逻辑，可以帮助CISO根据网络安全损失的总成本和预算来减轻整体的损失。这虽是个好思路，但却很难执行。因为组织高层一般不会考虑整体的损失，他们往往对个别的损失更感兴趣。

　　对于受到攻击的可能性，估算出的概率百分比往往是十分主观的，大多数组织在此方面的能力都是值得怀疑的。在经济团队对风险量化的过程中，存在着许多难以计算的变量。在对网络安全ROI的量化工作中，并不存在任何规范的方法。对于大多数公司来说，这更像是一门艺术，而非是科学。

　　本文我们将讨论两种主要的，但却相互对立的方法：作为一门艺术，以及作为一种科学的网络安全。

将网络安全视为一门艺术

　　Tenable公司的 EMEA技术总监，Bernard Montel，在被问到如何为SOC招聘人员时表示，比起防火墙以及安全检测方面的专家，他更倾向于去选择那些锲而不舍，富有好奇心，对于未知领域充满好奇，并勇于不断探索的人员。这对于组织而言，或许是更好的思路。与其招聘一个网络安全学科的专家，不如引进风险勘察与安全检测人员。

　　这种对个人经验、知识和见解的利用，以及能够跳出科学思维框架的思考，很好地体现了网络安全的艺术性。

　　还有一些安全人员坚信：成功地实现网络安全是一门艺术。他们甚至不热衷于使用“投资汇报率”这个词，而是将其称之为“成本/收益分析”。关键在于要了解自己公司的安全成熟水平、风险接受水平以及对需要且可以进行维护或改进的地方做出本质上的主观判断。

　　网络安全是一种内部的保险政策，用以保护业务其他部分的投资回报率。组织中安全部门的作用就是保护组织中其他能真正产生收入部分的投资回报率。

　　营销就是个例子。假设营销的投资收益目标是将收益提高10%。那么安全团队的任务就是采取合理的安全控件、正确的部署与以及合适的产品配置，通过保护营销方面的技术手段，来保护营销的投资回报率。

　　实现这一目标的方式是通过平衡公司的安全成熟度与风险承受能力来实现对业务及其目标的全面了解。前者可利用可用预算来加以控制，而后者则因公司而异。

　　对于规模较小的公司，他们可以承担更多的风险。因为这些公司的运行本来就如履薄冰。所以，小公司的安全预算往往偏低，他们只会关注最为重要的项目。而对于规模较大，且受到监管的公司，任何安全方面的失误都是难以承受的灾难。因此，这些公司具有更高的安全预算，并且会通过人员、流程以及技术等手段，来尽可能多地规避风险。

　　以上讨论中，还需要强调的是安全支出的投资汇报率。关键就在于要搞清楚业务的期望，而不是概率的科学，然后还要根据可用变量以及可用的安全控件，来促使风险容忍度与实际风险保持一致。可实施的安全控件是其中最大的变量。即使组织找到了可以满足自己需求的产品，并且该产品已经在其他公司中发挥了作用，但它也只能正常工作。而这也是无法通过科学方法来进行预测的。

　　预算的获取是一门艺术，因为这很大程度上取决于CISO对需求的表达。同时，合理地使用预算亦是一门艺术，它依赖于CISO对不断变化的威胁和产品环境的个人认知，与共享信息的同行的私人关系，以及与供应商的私人关系（以最大程度地达成交易）。但这也只能起到缓解的作用。

将网络安全视为一门科学

　　在主要的风险治理类型（包括回避、减少、转移和接受）中，网络安全的投资回报率通常分为：风险规避和风险减少两大类。这两种类型都可以用成本与经济风险的比率来进行量化。例如，组织若实施特权访问，那么由于隐私泄露而造成的罚款以及法律费用都将会在一定程度上有所降低。

　　网络保险公司Resilience的CRO，Richard Seiersen就热衷于通过科学的方法来对投资回报率进行量化。他表示，自己的工作就是为保险建立定量模型，与精密计算科学和数据科学团队进行合作。他有着定量科学方面的知识背景，著有一本标准化的教材《如何衡量网络安全风险中的因素》，并且最近还出版了一本名为《指标宣言》的书。

　　他的基本观点是：尽管比起其他保险领域，网络安全领域的精密数据更加有限，但是概率科学被设计出来的目的就是从有限的数据推算出准确的预测。结果虽非精确，但却是准确的。

　　就以网络勒索为例。在勒索中，也存在着大量的数据。甚至，犯罪分子在决定勒索金额时，也会使用投资回报率的预测形式。通常情况下，勒索金额不会超出受害者收入的可承受范围。

　　网络勒索攻击所提供的可用数据量正在持续增长。勒索攻击也意味着存在业务中断的风险。所以组织会开始对细节进行关联，并通过数学的方式来作出一些预测。那么问题就变成了：基于安全控件的成本与该控件降低受损可能性所带来价值的关系，组织该如何制定整体的买入组合方案。从经济的角度来看，就是怎样的控件组合具有最好的投资回报，以及降低未来损失的最佳安全控件的成本是多少。

　　相信对于所有的CISO来说，即使没有科学的方法，也会有自己的一套非正规的方式来进行此项操作。他们会首先做一个模糊的基准测试，考虑与有优先事项相关联的成本，然后再下注。这是十分平常的，并且大多数人都采用的做法，但同时也是一种不够成熟的半定量方法。对于我们来说，还有这很大的进步空间。

　　正式且科学的方法可以帮助组织更好地理解安全支出方面现有的，以及潜在的投资回报率。概率是一种用来衡量主观预测的工具。这是它的用途所在。任何拒绝接受这一点的，都是在反对整个科学史，而这并没有任何意义。

ROI是否真的有必要？

　　在这种艺术与科学交织的计算方法中，还存在着一个问题。即“投资回报率是否真的有必要？”我们是否过于沉迷于网络安全支出方面投资回报的概念。

　　安全部门的功能是保护那些真正为业务创造收入的业务部门的投资回报率。作为行政管理的职能，它更像人力资源或法务部门，而不是市场营销、销售或者是制造部门。我们不应将其看作是增加收入的部分，而更应该将其看作是每个组织都应具备的标准职能。

　　其实，并不存在一个完全标准的答案。这实际取决于每个组织的风险偏好与他们当前想要实现的目标。实施的安全控件和措施的成本应小于安全方面的损失。倘若能够实施良好，甚至会对业务本身起到促进优化的作用。

参考阅读 
CISO为何需要熟悉业务和技术
CISO 仍然会犯的漏洞管理错误
[调研]CISO担忧重大网络攻击
[调研]小型企业CISO的五个关键要点