iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 3
0
Security

資訊系統安全與 CISSP 的簡單應用系列 第 3

[Day 03] 安全與風險管理 (Personnel Security & Risk Management)

  • 分享至 

  • xImage
  •  

今天要正式來談風險管理,分為人和事兩部分;人在事之前,因為人永遠是你的事。安總一直認為,一件事要成功的最關鍵因素是人:一個對的人,能把一件事做對;一個錯的人,會讓一件對的事銷聲匿跡。
https://ithelp.ithome.com.tw/upload/images/20171216/201077530yYSeDERvT.jpg

1994 年 4 月 14 日星期四的晚上


當時的奇異總裁 Jack Welch 正準備離開辦公室去度個週末長假,這時邁克 (Mike) 打來了電話,是那種你一輩子都不想接到的電話。

“我們遇到麻煩了,Jack。”他說,“一個交易者的帳戶裡出現了我們無法確認的 3.5 億美元的窟窿,而他已經失蹤了。”

我 (Jack) 當時還不知道誰是約瑟夫‧傑特 (Joseph Jett),但後來幾天瞭解到的情況是我不情願知道的。他告訴我,傑特負責公司的政府債券業務,已經多次虛報業務量以提高自己的獎金收入。偽造的業績表面上使吉德公司的報表收入大大上升。我們將不得不用第一季度的收入來沖抵看起來是 3.5 億美元的虧空。

邁克給我的消息叫我痛心疾首:3.5 億美元!我簡直無法相信。這一打擊太沉重了。我沖向浴室,吐得天昏地暗。

我用了好幾個小時的時間,試圖弄清楚數億美元的錢究竟是如何在一夜之間消失的。這看起來是不可能的,但我們顯然對於這種業務的瞭解太不夠了。後來我們才發現,傑特利用吉德公司電腦系統中的一個紕漏鑽了空子

在此之前的那一年,也就是 1993 年,傑特的虛構業績達到了吉德公司固定收入部門的近 1/4 ,還因此獲得了當年吉德公司“最佳員工”的稱號。我們也批准了邁克關於給傑特發放 900 萬美元現金獎金的請示,即使在吉德公司,這也算得上是巨額獎勵了。一般情況下,我一定會全面過問此事,我會深入調查一個人怎麼會取得這麼大的成就,並且堅持要會見他。但是,我沒有那麼做。 這全是我的錯,因為我沒有提出我通常會問的“為什麼”之類的問題。事實證明,吉德公司文化與我們的差異,絕不亞於吉德公司員工眼中的奇異。

文化差異 (Culture Difference)


併購和聘僱其實本質上是同一件事,其重點在於文化是否相合:一個聰明、有活力的人,但是不誠實,他的聰明和活力會害死你。我們聘僱的原則是誠信正直,如果我們的直覺告訴我們這個人「可能」有問題 (那是一種說不上來的感覺),我們就不會聘用。

安總講這個的目的是:比起後面風險控制的手段,「選對人」才是事情成功的關鍵。(我相信人性本善;如果別國同事跟我們要線路圖,我們是會給的,因為在分享這件事上,是 Give and Take。)

量化的風險管理 (Quantitative Risk Management)


https://chart.googleapis.com/chart?cht=tx&chl=SLE%3DAV*EF
https://chart.googleapis.com/chart?cht=tx&chl=ARO%3DCount%20%2F%20yr
https://chart.googleapis.com/chart?cht=tx&chl=ALE%20%3D%20SLE%20*%20ARO
https://chart.googleapis.com/chart?cht=tx&chl=Cost%2Fbenefit%20%3D%20(ALE1%20-%20ALE2)%20-%20ACS

  1. 資產價值 (Asset Value)
  2. 受損率 (Exposure Factor):
    是一個百分比值,它所代表的意義為,如果某項資產遭受一次風險的襲擊,則該項資產的「受損率」是多少。
  3. 單次受損額 (Single Loss Expectancy):
    是一個小數值,它所代表的意義為,如果某項資產遭受一次風險的襲擊,則該項資產的「受損額」是多少。
  4. 年度發生率 (Annualized Rate of Occurrence):
    是一個小數值,它所代表的意義為,某個風險在一年內的發生次數。
    • 例 1:每隔 30 年就會出現一次大地震,所以就地震這個風險而言,其 ARO 為 1/30
    • 例 2:某家公司一年內遭到小偷行竊的次數是 10 次,所以它 ARO 為 10。
  5. 年度累積受損總額 (Annualized Loss Expectancy):
    是一個小數值,它所代表的意義為,一個年度之內,某項資產遭受某個風險襲擊的「累積受損總額」。
  6. 成本效益分析 (Cost-Benefit Analysis):
    • AV1:假設某個資產價值 200,000 台幣
    • EF1:當它遭受地震的襲擊之後,受損率為 45%
    • ARO:地震每年發生的次數為 0.5 次
    • ALE1:所以在沒有施行地震防護措施之前,其年度累積受損總額為 200,000 * 0.45 * 0.5 = 45,000
    • EF2:當我們配置某種地震防護設備來保護該項資產之後,它的受損率由 45% 降到 10%
    • ACS:該地震防護設備的花費為 50,000 台幣
    • ALE2:所以在施行地震防護措施之後,其年度累積受損總額為 200,000 * 0.1 * 0.5 = 10,000
    • ALE2 - ALE1:年損失總額降低了 45,000 - 10,000 = 35,000
    • Cost/benefit:其成本效益為 35,000 - 50,000 = -15,000,不符合成本效益原則;此時,我們可以採用其它種類的 safeguard,並試算是否符合成本效益原則;如果各式各樣用來防護地震的 safeguard,對該項資產來說都不符合成本效益原則,那我們的抉擇就是:讓該項資產直接承受地震的襲擊。(Really?)

社會企業家 (Circular Economy)


其實,我剛剛誤導了讀者,上面計算的只有「會計成本」,並沒有納入循環經濟的「環境成本」,如果這個資產不斷承受地震侵襲而報廢,那這世界上就會多出很多廢棄物,形成一個「從搖籃到墳墓 (from Cradle to Grave)」的直線;與之相比,我們是否能夠考慮「從搖籃到搖籃」的設計概念,從一開始就不妥協地、承諾零廢棄物,就算必須報廢該項資產,能不能要求這項資產的供應商,進行升級回收 (Up-Cycle) 或降級回收?讓它在工業界裡面繼續循環,降低環境成本,達到循環經濟呢?

Circular Economy
圖片來源
http://www.homeappliancesworld.com/files/2017/10/fotolia-petovarga-circular-economy1.jpg

平衡的風險評估 (Balanced Risk Assessment)


一個純量化的風險評估是不可能的,因為不是所有的元素都能被量化,例如:品質的、主觀的、無形的事物。詠詩嘆曰:

那些無形的事物啊,您是何等美麗而可愛
那些視而不見、無動於衷的人啊,又是何等地可恨
不做循環經濟與綠色科技,人類有何未來可言
這難道不是,該被考慮進來的風險嗎
我再說,那些無動於衷的人罪孽是何等深重,又何等地令人悲傷、哭泣

德爾菲法 (Delphi Technique)


不得不承認,有時我們沒有勇氣於在大庭廣眾下直接說出心裡話,所以為了引出誠實和沒有被顯現的回應,我們可以在一間會議室中採取德爾菲法 (Delphi Technique)。

https://ithelp.ithome.com.tw/upload/images/20171216/20107753GNo3YCFE2N.png

  1. 匿名寫下意見 (Write down Response on Paper Anonymously)
  2. 匯整結果並呈現給與會群體 (Compile and Present the Result)
  3. 重複這個流程直到共識形成 (Repeat until Consensus Reached)

去年想參加一個「綠領建築師培訓工作坊」,教我們怎麼打造綠房子,但是課程總價要 NT$11,500,打完折 NT$6,900 我還是付不起,只好買書代替 (一本 NT$495,便宜很多)
https://ithelp.ithome.com.tw/upload/images/20171216/20107753vQ9v59c5oz.jpg
《綠領建築師教你設計好房子》&《職業駭客的修練:機械碼與底層的把玩藝術》


上一篇
[Day 02] 安全與風險管理 (Security Governance)
下一篇
[Day 04] 安全與風險管理 (Business Continuity Planning)
系列文
資訊系統安全與 CISSP 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

1
CyberSerge
iT邦好手 1 級 ‧ 2017-12-21 00:25:21

難就難在有些東西不好量化啊....所以有些評估三個人算出來會有三種數字><

我要留言

立即登入留言