世界上最大的保险公司之一澳大利亚保险集团（IAG）已经模拟了一次数据泄露或勒索软件攻击可能会对受害者公司业务造成的财务成本，其目的是为了了解需要拟议多少信息安全投资才能弥补其损失。

IAG公司网络安全和管理负责人 Ian Cameron在悉尼举办的IBM Think 2018大会上表示，“风险价值建模”项目呼吁公司的保险精算师为不同类型和级别的安全威胁标注明确的风险价值。

Cameron表示，“因为我们是一家保险公司，我们可以使用精算方法对损失事件的成本进行定价或建模。我们已经在过去12个月中，模拟了重大数据泄露和勒索软件攻击事件会对企业生产力方面带来的净损失成本、重新树立客户信任感的广告成本，以及法律费用和监管成本等。我们目前已经能够计算出不同类型和等级的损失成本分布（从小事件到重大事件）。”

去年，受到Petya恶意软件影响的组织，都已经报告了自己因为这次恶意软件感染活动而遭受的不同程度的销售损失以及数亿美元的成本损失，例如乌克兰最大的国有贷款机构之一 ——国家储蓄银行（Oschadbank）就报告称，部分银行服务受到“黑客攻击”影响，全国3650个网点和2850台ATM受到影响，造成存取款业务受限。

Cameron表示，IAG通过将此事作为“假设”（即不同的安全投资可能会对减少潜在损失造成影响）情境的基础，已经将其风险价值建模往前完善了一大步。

Cameron表示，“那么，如果我们在适当的位置部署了所有额外的安全措施呢？我们已经能够计算出哪些安全控制措施可以最有效地将事故影响的成本降低。这是一次相当新颖的实践，而且它确实需要进行一些投资才能实现。”

Cameron表示，想要进行类似项目的组织通过不太成熟的经济建模也可能会得到类似的结果。

他表示，“我认为这实际上就意味着，与整个企业的关键人员一起就该主题举办研讨会，听听他们对于最低或最高成本是什么的看法，然后将他们的想法综合起来，你就能够理解如果你具备更好的安全性那将意味着什么，这个损失成本又将会降低多少？”

该风险价值建模不仅有助于理解不同威胁和投资的影响，还能为业务安全风险讨论提供基础。

Cameron表示，“从一场风险讨论入手是非常重要的步骤。说实话，我们经常会直接跳入解决方案模式，并且说‘你需要所有这些安全措施’，但是老实说，有时候它可能有些投资过度了。安全投资必须与我们试图保护的信息价值相匹配。所以我认为，关键还是要先围绕企业面临的威胁进行风险讨论，并对于威胁的可能性及影响进行教育性讨论，这会更好地帮助你理解应该部署哪种解决方案以及安全级别。”

将安全性纳入云端

Cameron表示，IAG目前正处于将工作负载从其数据中心迁移到云端的“挑战中”。

他表示，“这迫使我们从根本上重新思考和挑战我们过去所使用的方法，以确保我们的数据得到更充分的保护。”

安全团队的重点之一是将安全性纳入流程，如此才能开发出安全代码并将其运行在云中。

现在，我们正试图在DevOps中构建安全性。我们正在进行很多尝试来试图分散安全功能，教导开发人员如何“以安全为代码”，并将安全性融入到持续交付工具链中。作为一个安全团队，这意味着我们必须学习一种全新的语言来与开发人员交流，所以我们正在尝试新的方式来参与他们。我们现在正通过教导他们将安全性纳入开发流程中，来引导他们成为我们的安全卫士。这是我们真正能够在云环境中实现一定规模、敏捷性和适应性的唯一途径。我们不能再使用过去曾尝试应用的传统运营模式来实现这一点。