放眼当今经济学界, 言必称博弈.博弈(Game),是指决策者(个人或团体)做出相互有影响的决策,它脱胎于扑克等具有“赌博”表象的游戏,现在引申或隐射到现实行为(如企业领域)中存在的合作和冲突现象。博弈论(Game Theory),研究决策主体的行为发生“互动”时的理性决策问题。 从囚徒的困境开始 首先让我们做个耳熟能详的游戏。两个贼,杰克和琼斯,犯罪时不慎被捕并被隔离审讯。每个人都必须选择是否招供和不招供。如果都不招供,他们都将被判1年。如果每个贼都招供,他们都将被判6年。不过,如果只有一个贼招供,那么招供贼将被释放,而另一个将被判10年。 此例中的决策是:招供与不招供。我们可以用下面的收益表来表达上述信息。
简要的分析一下:由于被隔离,两个贼属于非合作的情形,对于杰克来说,当然最好的选择是自己招供而对方不招供,但他不能左右琼斯的行为。其实对双方最有力的情况是都不招供,但理性的思维让这种情况发生率较低。 因而双方都选择招供,显然每一方在选择策略时都没有“共谋”,他们只是选择对自己最有利的策略,而不考虑公共的利益。也就是说,这种策略组合由所有决策者的最佳策略组合构成。这种非合作均衡,就是纳什均衡。 企业信息安全的困境 上面只是一次性博弈,如果再给他们多次机会进行选择(重复博弈),他们的战略必然改变。已有经济学实验证明,在一次性囚徒困境中,一般博弈者选择不合作策略。但在重复性囚徒困境中,将会采取合作策略以最大化个人利益,即“有条件合作”策略将是博弈者的占优策略。 在我们的企业中,也有这样类似的困境。许多企业,特别是管理与技术对立比较明显的企业,往往信息资产决策者(指为扩大企业规模而决定追加信息资产的管理决策者)与安全风险决策者(指承担风险及采取手段的技术决策者)之间的交流有很大障碍,理论上在单次交流中造成一种不合作的态势,是一种不完全信息博弈。 现在做现实的游戏:把杰克看成信息资产管理决策者(图中简称决策者A),琼斯就是安全风险技术决策者(图中简称决策者B)。两者可以选择妥协或不妥协。妥协就是双方不在坚持自己的策略而附和对方(但可能牺牲了单对自己而言的最佳选择),双方的选择策略的不同对对方的收益可能造成有利或不利影响。 此例的决策就是:妥协和不妥协。以下是收益图。 图二说明:选择任何策略会增加或减少收益(收益I,属于博弈矩阵中的主要参数)。双方选择妥协,对于决策者A和B分别获得收益(6,6);如果决策者A妥协,而决策者B不妥协,双方收益为(0,8);如果决策者A不妥协,而决策者B妥协,双方收益为(8,0);双方都不妥协,双方收益(4,4)。需要注意的是,收益虽说是下图惟一的数学参数,但实际上是风险损益和安全投入的函数复合。
在这种一次性困境中,决策者A或决策者B可能由于信息掌握的不对称(对企业信息安全状况的判断有不同),可能选择对自己有利的不妥协来使自己的收益最大化(自认为自己的选择是最正确的),从而忽视了企业整体收益的最大化,此类情况在企业进行最初安全方案讨论时比比皆是。 然而可能在较长阶段的游戏中,决策者A和决策者B都是在一个企业里长期共荣共辱,对于此类困境会出现很多次(重复博弈),为了企业的整体利益而降低风险,在信息对称下的最优选择是妥协(即合作),就是强调团体的理性、效率、公平及和谐。 对企业困境的更多思考 真正在现实中,并不像上述矩阵图描述的那样泾渭分明(静态博弈)。决策者对信息的把握肯定有时间差异和机会差异,当然也有一定的共同点。他们对投入及风险的肯定有着利害的判断,兵法有云“智者之虑,必杂于利害”,智者就是理性人,他们对问题的看法在自己的认知层次上会比较全面。基于对方是接近完全理性人的前提下,他们很少一次性放弃自己的占优策略转而附和对方的占优策略。 当然,在企业信息决策中,必须有外界的因素进行干预才能打破这种纳什均衡。比如企业CEO可以进行恐吓:“如果不合作,双方都下课”,然而聪明的下属决策者可能不会去理会这种“不可置信”因素,所以这种外界干预一般不会影响纳什均衡,达到一种精炼纳什均衡(除非万一出现CEO和董事会下了最大决心的情况,或者决策者的感性超过了理性的影响)。 但一般博弈均衡的结果可能会与企业的整体收益相矛盾。上述霸道的措施很难发挥真正的作用,其实企业用一些小的不合作风险代价或请外包专业权威机构(强调信息的绝对效用)来让不同决策者真正达成妥协。 博弈的意义可能在于让我们通过有数的几个过程,来了解策略造成的结果以及预见可能出现的结果。为化解企业可持续发展引发的矛盾,我们可以从开始就制定两个互不相干的策略(如能够互不干扰的管理和技术策略),虽两腿走路,但并不牵扯对方,这样就从根本上消除博弈的前提。 在双方决策者不能完全合作(如双方自我合作评估)的情况下,就需要专业权威机构进行完全的安全风险评估及规划,才能详细剖析并解决企业信息资产安全风险的方方面面,可以让决策者跳出自我分析的困境。 最重要的是,我们的目的不是完全规避风险(即100%零风险,那样做的成本可能非常大,也不大现实),而是管理风险,把安全风险掌握在受控范围内,“驾驭风险,掌握安全”,找到信息资产风险与安全投入的平衡点,于决策者于企业,都有莫大的好处。 额外要说的是,非理想状况下,决策者A(或B)不管采取任何策略(妥协或不妥协),都对对方产生收益或损益。如决策者A采用行政罚款手段控制信息泄密问题,可能对某些受众(增加的多方博弈因素)造成技术泄密手段提高,从而增加了决策者B的风险(损益)。多方博弈的结果将会达到新的混合策略均衡。 确定风险的衡量标准是采用风险评估具体准则对信息资产的安全措施进行衡量的过程。在这个过程中被分解成各个安全要素(甚至更细化),如信息资产的管理、安全策略及技术。安全管理--人员、组织和流程的管理;安全策略--各种策略、规章制度、管理标准;安全技术--工具、产品和服务。粗略评估的话,可以对每个成分对应一个量化尺度,如从1到9,1代表完全没有,9代表完全有,然后进行每个成分的量化得分。 践墨随敌 孙子说“践墨随敌,以决战事”,意思是:实施作战计划时,要灵活地随着敌情的变化作相应的调整来决定军事行动。这用于信息安全中,各种安全威胁,弱点的变化及人为因素可看作敌对方,对敌对方的“时变”、“势变”可要求用理性的思维去博弈,这将深刻地改变企业信息安全中各个决策角色的辩证思维。 |