ACM通信
ACM通信
信息安全支出预算编制过程
我们进行了一项实证研究,以考察企业在信息安全支出方面的决策方式。本研究以成本效益分析为基础,评估企业是否以合理的经济方式处理信息安全支出的预算编制过程。(在本文中,我们将预算和财务规划视为同义词。)
信息安全主要涉及确保信息的机密性(保护隐私信息不被未经授权的个人获取)、可用性(向授权用户提供及时访问信息的机会)和完整性(保护数据和数据库的准确性、可靠性和有效性)。身份验证(确保使用系统的人是他们自称的人)和不可否认性(确保合法用户不能否认实际使用系统)也是计算机安全的关注点。此外,一旦信息安全漏洞发生,企业必须能够发现并纠正。因此,信息安全涉及一系列旨在保护信息和信息系统的行动。
尽管采取了预防措施,但信息安全漏洞还是很常见。与防止入侵相关的最大研究机构是技术方面的,主要关注加密和访问控制等问题。相比之下,与信息安全的经济方面相关的研究虽少,但迅速增长[1,2,46].然而,人们对决定在信息安全上花多少钱的预算过程知之甚少。
与信息安全活动相关的成本涉及许多项目,包括硬件、软件和人员。大多数这些支出最好被认为是资本投资,尽管公司倾向于在发生期间将这些成本视为经营费用。无论是作为资本支出还是运营支出,信息安全支出的预算编制都是一个至关重要的资源配置决策。从经济学的角度来看,企业的投资应该达到信息安全投资的最后一美元能节省一美元的程度。也就是说,应该从成本效益的角度来看待信息安全支出。
一个完善的合理的经济过程用于预算资本投资应用成本效益分析使用净现值(NPV)模型。这个过程包括估计和比较经风险调整的预期收益贴现现值与预期成本。尽管使用风险调整现金流折现技术并不能保证更高的公司业绩[7],这些技术使组织朝着更有效的资源分配方向发展。因此,管理人员在预算信息安全支出时使用净现值方法似乎是合乎逻辑的。不幸的是,在信息安全预算中很少可能使用完全理性的成本效益分析经济模型(例如,NPV模型)。虽然与资讯保安活动有关的预期费用通常可以以合理的精确度估计,但估计预期效益则不能如此。估计预期收益需要用户掌握安全漏洞的潜在损失和这种漏洞发生的概率的信息。
使用净现值法得出最优支出水平可被视为编制信息安全支出预算的理想经济方法。这种方法被认为是理想的,因为它迫使公司比较(在货币方面)风险调整后的预期收益和预期的信息安全支出。只要预期的增量效益的货币价值超过增量支出,就有必要增加支出。
如果没有这种理想的方法,企业就有可能对计划中的信息安全支出采取一种改进的经济学方法。例如,管理人员可以量化防止信息安全漏洞的估计潜在收益,而不量化此类漏洞发生的概率。或者,管理人员可以量化安全漏洞的概率,而不量化这种漏洞造成的估计损失。另一种可能是,潜在的损失和发生这种损失的可能性都被考虑了,但这两者实际上都没有量化。在这些情况下,管理人员可以直观地比较潜在的增量收益与信息安全活动的增量成本。这种直观的比较可以将这些成本(预期收益和成本之间的差异)的预期净收益分为高、中、低。
有些管理人员可能只是调整上一期间的预算,从而得出下一期间的信息安全预算。因此,某种增量预算方法可能是驱动信息安全支出的关键因素。或者,管理人员可以将信息安全支出视为必须进行的项目,而不考虑任何成本效益分析。这一讨论提出了两个应该解决的研究问题,以便更好地理解企业在规划(预算)信息安全支出时所使用的过程。这些问题可归纳为两个一般性问题:企业在决定信息安全计划支出时是否使用经济分析?驱动和阻碍企业在决定信息安全支出时使用经济分析的关键因素是什么?
实证研究
采用问卷调查工具进行实证研究。在7分制的基础上,受访者被要求表明他们对一系列陈述的同意程度(1表示非常不同意,7表示非常同意)。调查工具还包括开放式问题。
这些样本公司是从信息周刊网站发布的2000年技术型公司名单中挑选出来的,但该公司同时也是标准普尔500指数(S&P 500 Index)的成份股。信息周刊网站的(公开的)公司名单提供了这些公司的高级IT经理的名字,使我们可以将问卷发送给负责信息安全支出决策的特定个人。将样本人口限制在标准普尔500指数公司,确保了所有受访者都代表美国大型企业。这份调查寄给了212家公司。一封求职信保证了参与研究的个人和公司的匿名性。第一次邮寄三个月后,进行了第二次邮寄。由于工作的变化和地址的错误,最终的样本人口减少到199家公司。
共收到38份答复。考虑到所研究问题的敏感性,略高于19%的回复率被认为是不错的。更重要的是,返回的调查是由对公司信息安全有第一手了解的个人完成的,这可以从他们的职位和任职时间来证明。35位受访者提供了他们的职位和工作年限的数据。职位头衔从首席信息安全官到信息安全副总裁。他们各自职位的平均年数为3.2年,由6个月至14年不等。研究参与者还通过开放式问题提供了公司内部信息安全支出的丰富数据。对问卷的无反应偏倚和内部信度进行了检验。统计检验表明,无响应偏差不是一个问题,仪器显示出高度的内部可靠性。
受访者表示,他们公司对信息安全漏洞的担忧与保护信息不受未经授权的入侵(机密性)有关;确保向授权用户提供信息;并确保信息的完整性。因此,受访者考虑了本研究的核心问题。
调查的几个部分处理了第一个研究问题的各个方面:在决定信息安全的计划支出时,公司是否以这样或那样的形式使用经济分析?
在文书的开始,被调查者被要求表明他们同意的程度声明# 1:我们的公司通常通过比较预期从信息安全中获得的未来收益的现值与其相关成本来决定在信息安全方面的支出.从本质上说,受访者被问及他们的公司是否使用NPV方法来制定信息安全预算决策。
如在数字在另一页,一些受访者声称在他们投资信息安全的决策中使用净现值分析。考虑到5或更高的回答代表一个受访者声称正在使用NPV分析,38个受访者中有9个做出了这样的声明。我们对这九家公司的开放式问题的回答证实,他们倾向于在信息安全支出方面采取净现值分析方法。因此,这些公司似乎不同意那些认为NPV方法几乎不可能用于预算信息安全支出的人。(如果我们把表述一中圈出4的11个受访者都包括在内,那么这些结果会更有力。因此,我们的分析采用了一种保守的方法来展示企业实际上使用NPV方法的情况。)
当然,公司对某些信息安全支出决策使用净现值分析的事实并不意味着公司将其用于所有此类决策。此外,即使在使用NPV的地方,最终的决定也不能仅仅基于NPV分析。在后者方面,资本预算文献中众所周知,NPV分析通常用于一个管理级别的项目批准,而其他(通常是非定量的)因素在更高的管理级别的最终预算决策中更重要[3.].
该图还说明了在使用NPV分析的程度上存在很大的差异。几乎一半的受访者(38人中有18人)在他们同意使用NPV分析的声明时圈了3或更少。因此,虽然一些公司在决定此类支出时使用NPV分析,但大量公司(38家公司中的18家或29家,取决于你对圈出4的受访者的解释)显然不使用此类技术。这些发现突出了我们第二个研究问题的重要性:推动和阻碍企业在规划信息安全支出时使用经济分析的关键因素是什么?由于净现值分析被视为为预算信息安全支出(投资)提供了一个完善的经济过程,我们的调查工具旨在允许检查以下具体问题:是什么推动了对信息安全支出使用净现值分析?根据与信息安全管理人员的对话和以前的案例研究,最有可能的答案是NPV分析的使用主要是由估计信息安全支出的收益的能力所驱动的。
为了检验这一论点,我们将关于公司使用净现值分析的表述1的答复,与调查工具中包含的表述2的答复进行了回归(见方程1),该表述2是关于公司估计信息安全未来收益的能力的:声明# 2。在我们公司,不可能估计未来预期从信息安全投资中获得的收益。由于调查工具中的报表涉及到无法估计信息安全支出的未来收益,我们可以在式(1)中看到X和Y之间的负相关关系:
对数据的分析表明,NPV的使用与企业无法估计从信息安全中获得的未来收益呈负相关(并且显著高于.01水平)。因此,从信息安全支出中估计收益的能力是驱动NPV分析使用的关键因素。
估算收益的能力是推动在有关信息安全支出水平的决策中使用净现值分析的关键因素。
回归结果显示的是关联而不是因果关系,统计检验不能证明假设。然而,研究结果支持这样一种观点,即估算收益的能力是推动在有关信息安全支出水平的决策中使用净现值分析的关键因素。
如前所述,企业在推导信息安全计划支出水平时不使用净现值分析这一事实并不意味着完全放弃对此类支出的经济方法(即,净现值分析是理性经济分析的一种极端形式)。事实上,公司可能会对这种支出使用修正的经济分析形式。因此,我们研究了这些公司是否明确考虑了安全漏洞的潜在损失以及这种损失的可能性。首先,根据受访者对以下关于安全漏洞可能造成的损失的调查陈述的认同程度,将受访者分为三组:声明# 3。与信息安全漏洞相关的潜在损失(在经济方面)是决定在信息安全上花费多少的关键因素。
圈出5、6或7(同意这一说法的最高端)的受访者被分到第一组,圈出1、2或3(同意这一说法的最低端)的受访者被分到第二组。第三组的受访者是那些把4圈为他们对这个陈述的回答的人。根据对以下有关安全漏洞概率的调查陈述的认同程度,受访者还被分为三个类似的组:声明# 4。发生信息安全漏洞的可能性(即概率)是我们公司在信息安全方面计划支出金额的关键决定因素。
对于表述3和4,根据他们对使用净现值分析的较早注意的表述的反应,将处于高端的应答者组(第一组)与处于低端的应答者组(第二组)进行比较。如果受访者在关于使用NPV的陈述中圈出5、6或7,他们也被分组为NPV分析的高端用户;如果他们圈出1、2或3,则被分组为低端用户。在这里讨论的任何陈述上打4圈的受访者都从分析中删除了,因为他们不同意或不同意该陈述。基于这种形式的极端群检验,偶然性表准备研究与安全漏洞相关的潜在损失与使用净现值分析之间的关系,以及发生这种损失的概率与使用净现值分析之间的关系(见第123页表的第a和B组)。
对列联表数据的分析表明,无论他们是否使用NPV分析,相当多的受访者在规划信息安全支出水平时考虑了信息安全违反的潜在损失和这种违反发生的概率。事实上,22位受访者中有19位认为这些因素很重要,尽管22位受访者中只有7位高度使用NPV分析。基于Fisher精确检验,这些结果清楚地表明,潜在的经济损失和安全漏洞的概率是决定信息安全活动计划支出水平的重要问题,无论是否使用NPV分析。对开放式问题的回答表明,净现值分析的使用者和非使用者之间的关键区别似乎在于他们对量化这些因素的依赖程度。
总之,高级信息安全管理人员显然在为信息安全编制预算时使用了某种形式的经济分析。我们的分析表明,一些参与者使用正式的NPV分析来处理信息安全支出,而其他受访者使用修改的经济分析来处理这些支出。修改后的方法包括审查信息安全活动的成本和收益,但不太强调正式量化收益。然而,从对开放式问题的回答来看,似乎有一种倾向于在评估信息安全活动时使用更多的经济分析。然而,在开放式问题中,一些受访者指出,他们公司在信息安全方面的预算支出水平在很大程度上取决于去年的预算、行业最佳实践或必须做的方法等项目。
参考文献
1.安德森:为什么信息安全是困难的?在第十七届计算机安全应用年会论文集。(新奥尔良,洛杉矶,2001)。
2.坎贝尔,K.,戈登,L.,勒布,M.和周,L.公开宣布的信息安全漏洞的经济成本:来自股票市场的经验证据。j .第一版。11秒。, 3(2003), 431448。
3.效益-成本分析与资源分配决策。Acc。Org。Soc。14日3(1989), 247258。
4.Gordon, L.和Loeb, M.信息安全投资的经济学。ACM Trans, Inf. Syst。秒。5,4(2002), 438457。
5.Gordon, L., Loeb, M.和Lucyshyn, W.信息安全支出和实际选择:一种观望的方法。第一版。秒。j . 19日2(2003), 17岁。
6.Gordon, L., Loeb, M.和Lucyshyn, W.共享计算机系统安全的信息:一种经济分析。j . Acc。公共政策22, 6(2003), 461485。
7.Haka, S. Gordon, L.和Pinches, G.复杂的资本预算选择技术与公司绩效。Acc。启60, 4(1985), 651669。
©2006 acm 0001-0782/06/0100 $5.00
允许为个人或课堂使用本作品的全部或部分制作数字或硬拷贝,但不得为盈利或商业利益而复制或分发,且副本在首页上附有本通知和完整的引用。以其他方式复制、重新发布、在服务器上发布或重新分发到列表,需要事先获得特定的许可和/或付费。
数字图书馆是由计算机协会出版的。版权所有©2006 ACM, Inc.
没有发现记录