资产管理:从理发店到社交网络,如何量化价值与制定分类策略

本文探讨了资产管理在网络安全中的核心作用,阐述了如何量化有形与无形资产的价值,并详细介绍了实用的数据分类系统,旨在帮助企业优化安全投资,仅保护真正有价值的资产。

资产管理:从理发店到社交网络,如何量化价值

一项资产是任何能够带来价值的物质或非物质资源——从计算机到专利,从战略计划到关键人物,从品牌到声誉。如果能带来价值,就需要加以保护。

但是,如何量化知识产权或声誉等无形资产的价值呢?

定量(可测量的数值)与定性(描述和感知)之间的区别至关重要:定量数据是客观且可自动化的,而定性数据则使用“高/中/低”或“红/黄/绿”颜色等标签来表达分类。

时间会影响分类:你第一次去理发店是什么时候?对于理发师来说,这是一个无关紧要的数据,最好将其删除以免触犯GDPR的处罚规定;而对于社交网络而言,这是用于分析用户品味及其演变的关键历史数据。

分类从“公开”到“秘密”,中间有“敏感”和“机密”等级,因为保护成本可能会超过资产本身的价值,从而显得不合理。

因此,让我们尝试分析有效的资产管理和分类方法,将评估的复杂性转化为能够优化保护投资的结构化系统[1]。

选择安全框架:从NIST到ISO 27001的战略指南

资产管理:定义带来价值的事物

如前所述,我们可以将“资产”定义为任何能为你个人或组织带来价值的物质或非物质资源。

它可以是你的家用电脑、一项专利、一份战略计划、一名关键人物、你的品牌:如果它能为你带来价值,那么你显然需要保护它。

有形 vs 无形

资产可以是有形的(可以用数字量化)或者是无形的(无法量化)。对于后者,仍需要通过替代策略来量化价值,将感知转化为度量。

  • 有形 – 可量化:
    • 计算机和硬件IT设备
    • 物理设施和房地产
    • 网络和基础设施
  • 无形 – 不可量化:
    • 数据和信息
    • 知识产权和专利
    • 声誉和品牌价值

定量 vs 定性

定量指的是可以测量并用数字表示的事物,基于数字和经济价值,尽管并非总能轻易为某种情况或概念分配一个精确的数字。

定量数据的优势在于其客观性,并且可以轻松地使用电子表格和统计工具进行自动化或分析。

例如,销售额可以用售出的确切产品数量或产生的确切收入金额来表示——这些精确的测量允许进行详细的成本效益分析。

定性是不基于数字的事物,它依赖于描述、感知、观点和其他非数字的、主观的、有争议的信息。

例如,如果我们评估客户满意度,定性方法会考虑客户评论或他们在调查中对开放性问题的回答。

遗憾的是,定性方法不容易进行成本效益分析,使得向管理层证明安全投资的合理性变得复杂。

因此,为了使判断可量化,这种类型的评估使用诸如“高”、“中”、“低”或“红”、“黄”、“绿”(RAG矩阵)等标签来表达可归结为定量值的判断或分类(例如,红色 = 3)。

战略分类的重要性

对资产和数据进行分类很重要,这样可以在确定优先级时按其价值排序,同时也能计算是否值得保护它们:保护资产的成本可能会超过资产本身的价值,因此并不总是值得投资保护。

对资产进行分类的原因和标准可能因组织和具体情况而异。影响分类确定的一个因素是时间,它可以彻底改变数据的价值。

此外,相同的数据对于一个商业模式可能完全无关紧要,而对另一个则可能具有关键战略意义。

分类不仅应反映数据的性质,还应反映其使用环境。例如,你一生中第一次去理发店是什么时候?对你的理发师来说,这是一个无关紧要的数据,实际上,如果它很旧,他/她必须根据GDPR将其删除。

相反,对于社交网络来说,这是一个关键数据,用于分析你的品味、品味如何随时间演变,以及进行或验证对未来品味的预测。

实用的分类系统

对资产进行分类后,只需一个电子表格即可保存此信息。

我们可以用定量方式写下经济价值,但通过以下标准标签定性确定其优先级也很重要:

  • 商业领域
    • C4:秘密
    • C3:机密/限制
    • C2:敏感
    • C1:公开
  • 军事领域
    • 最高机密
    • 秘密
    • 机密
    • 敏感/非机密
    • 非机密

分类的操作性定义

此时,定义对企业资产的不同访问和披露级别也很有用。

访问和披露级别

  • 秘密:针对个人或特定群体,不得向预定接收者之外披露。例如,公司战略计划。
  • 机密或限制:私人信息,但经协议可披露。例如,同事之间的工作电子邮件。
  • 敏感:可以是个人数据,也可以是面向整个组织同事的内部消息。需要小心处理,但不需要最高保密级别。
  • 公开:所有可以自由披露的内容,例如组织的网站内容。

保护的成本效益分析

安全投资回报率并非总能立即计算出来,但准确的资产分类为向管理层证明投资合理性提供了基于经济评估的基础。

分类必须支持明智的经济决策:仅当资产的价值证明其保护成本合理时,才投资于保护。

这种方法要求也通过适当的方法对无形资产进行量化。

成熟的资产管理

有效的资产管理超越了简单的资源清单,成为基于组织资产真实价值来优化保护投资的战略工具。

此外,分类必须是动态的,以便反映资产价值在不同时间和业务环境中的演变,从而实现保护资源的高效重新分配。

实际实施

可以从基本的电子表格分类开始,然后在资产数量和复杂性需要时发展成更复杂的系统。重要的是开始系统地进行分类,而不是追求立竿见影的完美。

资产分类必须与现有的风险管理流程相结合,从而为风险评估和安全投资决策提供关键输入。

资产管理的经验教训很清楚:并非所有资产都是平等的,也并非所有资产都值得同等程度的保护。

智能分类通过将资源集中在能创造最大价值的地方来优化安全投资。

[1] 要深入了解资产管理方法、无形资产量化技术以及实施动态分类系统的工具,《CISO安全经理手册》提供了操作框架,将资产管理从静态清单转变为动态竞争优势。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次