案例學習:避免風險
有一間公司在線上銷售Apple iPods。基於安全考量,每一次客戶進行購買都需要重覆輸入信用卡密碼。這麼作可以避免存儲信用卡資訊在網際網路上的風險(例如他們可能更容易被盜)。
基於客戶的反饋,再重複購買的客戶裏面有有可以提供”儲存我的信用卡資訊”功能。一旦新功能被提出伴隨著就是風險分析的評估,該事業群也會記算投資回報此功能的比率。風險分析表示,信息安全架構需要顯著改善,以安全的面對網際網路系統存儲信用卡資訊。
這樣做還必須要更嚴格的支付行業(PCI)的審議,增加相當數量的人員工作時間,並且增加TCO的總成本。
一旦所有所有費用都被記錄下來,該TCO超過兩倍的投資回報率。該公司決議為了避免風險,並沒有實現儲存信用卡資訊的功能。
定性與定量風險分析
定量與定性風險分析為風險分析的兩種方法。
定量的風險分析使用的是硬性的單位,例如:美元。定性的風險分析使用的簡單的近似值。定量是比較客觀的,而定性比較主觀。
考試警訊
定量的風險分析要求你去計算你所要保護的資產。定量是考試時必須謹記的重點。
統計ALE(年度預期損失)就是一個定量風險評估的例子。輸入ALE有兩個重要的數字:AV(固定資產)美元計價,風險因素(以百分比顯示)和年發生率(硬數字)。
在風險分析矩陣當中,就是一個定性的風險分析案例。可能性和後果是比較粗糙的值,範圍從1-5。真對一個有一定程度風險的事件很容易發生給與4或5的辯論。
定量風險分析是比較困難的:定量風險分析的地震破壞數據由於地震中心提供,你需要計算資產數據中心的價值:建築成本,伺服器,網絡設備,計算機機架,顯示器等,然後計算出曝光係數,依此類推。
定性分析同樣的風險,你會研究的風險,並同意該可能性是2,而其後果是4,並使用風險分析矩陣確定的風險“高”。