Dan Swinhoe

首席安全官應(yīng)該在與客戶建立信任方面發(fā)揮關(guān)鍵作用， 這將轉(zhuǎn)化為更好的客戶獲取、更高的客戶忠誠度和更多的收入。

數(shù)字信任是衡量消費(fèi)者、合作伙伴和員工對(duì)企業(yè)的保護(hù)能力以及確保數(shù)據(jù)和個(gè)人隱私安全的信心。隨著數(shù)據(jù)泄露事件影響越來越大，越來越普遍，數(shù)字信任對(duì)于從事安全行業(yè)的企業(yè)來說是一種有價(jià)值的商品，同時(shí)它們也在改變著管理層對(duì)安全的看法。

安全在傳統(tǒng)上被視為成本中心。企業(yè)在近年來開始逐步意識(shí)到良好的安全性能夠促進(jìn)新服務(wù)，幫助建立客戶忠誠度。由軟件公司CA Technologies（以下簡稱CA）委托咨詢公司Frost&Sullivan撰寫的一份新報(bào)告證實(shí)了這一趨勢?！度蛟诰€數(shù)字信任調(diào)查與2018年指數(shù)》顯示，認(rèn)真對(duì)待安全和隱私的行為會(huì)對(duì)財(cái)務(wù)產(chǎn)生積極的影響，避免代價(jià)高昂的違規(guī)行為。

擁有高數(shù)字信任度的消費(fèi)者在線消費(fèi)會(huì)更多

CA北歐地區(qū)安全主管Stephen Walsh稱：“信任是貫穿整個(gè)公司的東西之一。它們是商業(yè)的基石。沒有它們，公司就需要將精力放在努力維持現(xiàn)有客戶，贏得新客戶或進(jìn)入新市場上。”

首席安全官在建立信任方面發(fā)揮的作用是什么？你如何與自己的公司之間建立起信任？CA報(bào)告提供的數(shù)據(jù)可以幫助回答這個(gè)問題。為了給每個(gè)群體建立起數(shù)字信任指數(shù)，該報(bào)告分別對(duì)消費(fèi)者、安全專業(yè)人員和企業(yè)高管進(jìn)行了調(diào)查。

該報(bào)告將信任等級(jí)分為1到100分，在調(diào)查中消費(fèi)者給他們的信任等級(jí)打了61分，也就是“勉強(qiáng)及格”。安全專業(yè)人員和企業(yè)高管的分?jǐn)?shù)相對(duì)較高，分別為75分和74分。值得關(guān)注的是，調(diào)查顯示擁有高數(shù)字信任度的消費(fèi)者在線支出會(huì)更多。在過去12個(gè)月中，高信任度的消費(fèi)者的在線支出增幅為57%，而信任度較低的消費(fèi)者的在線支出增幅為43%。

更多的客戶喜歡安全性要?jiǎng)龠^便利性

CA的報(bào)告稱，27%的企業(yè)高管認(rèn)為安全措施是負(fù)投資回報(bào)率（ROI）。然而，報(bào)告中的大多數(shù)客戶（86%）表示他們更傾向于安全而不是方便，并且對(duì)某個(gè)企業(yè)的信任度越高，那么他們就越愿意在該企業(yè)身上花更多的錢。

在報(bào)告中，78%的受訪者認(rèn)為在線保護(hù)他們的個(gè)人身份信息（PII）是非常重要或至關(guān)重要的。在選擇在線服務(wù)時(shí)，86%的人表示高等級(jí)的數(shù)據(jù)保護(hù)是首要的事情。調(diào)查結(jié)果清楚地表明，人們?cè)絹碓揭庾R(shí)到數(shù)字化數(shù)據(jù)的重要性，并且企業(yè)以負(fù)責(zé)任的方式保護(hù)這些數(shù)字化數(shù)據(jù)的意識(shí)會(huì)對(duì)銷售和客戶的保留與獲取產(chǎn)生直接影響。

Walsh說：“過去很多人都認(rèn)為安全是一種職責(zé)，你必須要履行。如今，越來越多的董事會(huì)成員開始認(rèn)識(shí)到安全是一種推動(dòng)力和一種方式，它們能夠?qū)崒?shí)在在地獲得新客戶和新業(yè)務(wù)，我們的工作也因此變得越好開展?！?/p>

數(shù)字信任鴻溝：公司領(lǐng)導(dǎo)者與客戶“脫節(jié)”

雖然許多企業(yè)都清楚信任的價(jià)值，但是有許多企業(yè)高估了自己在客戶眼中的信任程度。該報(bào)告指出，客戶對(duì)企業(yè)是否正確處理個(gè)人數(shù)據(jù)的信任程度與企業(yè)自認(rèn)為的信任程度之間的平均差距為14分。報(bào)告指出，這說明了企業(yè)與客戶之間存在“非常危險(xiǎn)的脫節(jié)”。

只有三分之一的客戶表示他們對(duì)企業(yè)的信任程度在過去兩年中有所增加，相比之下，84%的企業(yè)領(lǐng)導(dǎo)者都認(rèn)為自己被信任的程度是增加的。在這些領(lǐng)導(dǎo)者當(dāng)中，90%的人聲稱他們?cè)诒Ｗo(hù)客戶數(shù)據(jù)方面非常出色或是做的很好，93%的人表示這是他們不同于競爭對(duì)手的特色因素。

Walsh稱：“認(rèn)為自己很了不起并有一種虛假的安全感，這對(duì)企業(yè)來說是非常危險(xiǎn)的。這是一個(gè)危險(xiǎn)的陷阱，安全不僅僅是一個(gè)勾選框。不斷變化的威脅告訴我們，今年安全并不意味著明年你也會(huì)安全?！?/p>

失去信任的代價(jià)

失去信任的代價(jià)非常大。報(bào)告中接受調(diào)查的半數(shù)企業(yè)都承認(rèn)曾參與過數(shù)據(jù)泄露事件的公開披露，幾乎所有公司都發(fā)現(xiàn)數(shù)據(jù)泄漏對(duì)其收入和消費(fèi)者信任產(chǎn)生了長期的負(fù)面影響。在客戶方面，有半數(shù)人表示，如果他們發(fā)現(xiàn)為其提供服務(wù)的企業(yè)涉及數(shù)據(jù)泄漏事件，那么他們就會(huì)停用該企業(yè)的服務(wù)，轉(zhuǎn)而選擇他們的競爭對(duì)手。

Walsh稱：“如果客戶對(duì)為其提供服務(wù)的企業(yè)缺乏安全感，他們就會(huì)用自己的錢包去投票，去選擇能夠?yàn)槠涮峁┌踩械钠髽I(yè)，并建立數(shù)字信任。這些考慮可能意味著你已經(jīng)失去了客戶，因?yàn)樗麄儠?huì)選擇其他的企業(yè)。如果你給客戶留下正在盡最大努力保護(hù)其數(shù)據(jù)、資產(chǎn)、資金等所有一切的安全的印象，那么就意味著你正在與客戶建立信任。另一方面，有時(shí)候僅發(fā)生一次數(shù)據(jù)泄漏或安全問題就可能毀掉你與客戶群多年建立起來的信任?！?/p>

首席安全官在建立信任中的作用

從表面上看，信任可能看起來像是一個(gè)安全問題，因此其完全屬于首席安全官的職權(quán)范圍，但是現(xiàn)實(shí)卻非常微妙。建立信任不僅僅是做出正確的安全決策，還包括將這些決策告訴客戶，以便他們能夠看到并知道你是如何保護(hù)他們的數(shù)據(jù)的。

Walsh稱：“董事會(huì)中的每個(gè)人，無論是在市場營銷部門還是在金融部門都應(yīng)該感興趣，并有責(zé)任共同確保安全以及在企業(yè)與客戶群之間建立起信任?！彼赋?，安全和信任應(yīng)更多地挺在客戶獲取和客戶保留的最前面，而不是事后諸葛亮。他已經(jīng)開始看到安全計(jì)劃的資金籌集和運(yùn)行在超出首席安全官職能之外。

Walsh稱：“其中一些是關(guān)于客戶感知和吸引客戶的。在一些企業(yè)中，營銷或客戶獲取已經(jīng)涉及增加安全投入，信息傳遞，并使客戶能夠用上新的安全方法。這些需要首席安全官來落實(shí)嗎？他們才是合適的實(shí)施者，但是就更廣泛的整體觀而言，這些應(yīng)該由首席執(zhí)行官落實(shí)?！?/p>

這些雖然需要首席執(zhí)行官領(lǐng)導(dǎo)，但是也需要首席安全官直接參與信任建設(shè)計(jì)劃并與其他職能部門保持持續(xù)溝通，以確保企業(yè)在運(yùn)營和溝通方面保持一致。

如何與客戶建立信任

建立信任并非易事。除了落實(shí)正常的安全工作，執(zhí)行正確的技術(shù)和流程以確保良好的安全狀態(tài)外，公司還需要進(jìn)行溝通。Walsh稱：“其中一些是關(guān)于信息傳遞，但是如果你在信息傳遞中正在建立這種信任，然后卻沒有什么動(dòng)作，那么信任就會(huì)消失。”

為了幫助建立信任，他認(rèn)為企業(yè)需要與客戶保持一致和透明性。企業(yè)應(yīng)該解釋清楚利用數(shù)據(jù)做了什么以及為什么這么做，要明確收集哪些數(shù)據(jù)以及將要把數(shù)據(jù)用在何處，并解釋為確保數(shù)據(jù)安全而采取了哪些安全措施和流程。

例如，雖然使用多因素身份驗(yàn)證（MFA）是一種很好的安全措施，但是對(duì)于為什么要求客戶在業(yè)務(wù)或流程中提供額外的身份驗(yàn)證進(jìn)行交流溝通卻更加有助于建立這種信任?！爸匾氖?，企業(yè)要向客戶展示為什么要提供額外的安全保障。要向客戶解釋‘我們這樣做是因?yàn)槎皇菍?duì)客戶說‘我們正在這樣做?！?/p>

歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）已于2018年5月生效。許多研究表明，歐盟境內(nèi)外的許多企業(yè)目前尚未實(shí)現(xiàn)完全合規(guī)。但是，如果認(rèn)真對(duì)待，GDPR是一個(gè)與客戶建立信任的機(jī)會(huì)，并使安全和隱私成為業(yè)務(wù)當(dāng)中的重要問題。

Walsh稱：“GDPR對(duì)企業(yè)來說是一個(gè)好機(jī)會(huì)。認(rèn)真對(duì)待安全問題的企業(yè)將成為建立消費(fèi)者信任或B2B信任并真正向前發(fā)展的企業(yè)。不法分子總是找那些最容易得手的目標(biāo)下手，如果他們知道你所做的一切就是將GDPR視為一個(gè)勾選框，那么相較認(rèn)真對(duì)待這些規(guī)定的人來說，你可能更容易成為弱點(diǎn)。”

構(gòu)建數(shù)字信任的十個(gè)最佳實(shí)踐

在對(duì)全球3000名商業(yè)領(lǐng)袖展開調(diào)查后，專業(yè)服務(wù)公司普華永道在10月下旬發(fā)布了《數(shù)字信托觀察》報(bào)告。根據(jù)這些數(shù)據(jù)，普華永道總結(jié)出了以下十大機(jī)遇清單，以便管理風(fēng)險(xiǎn)，遵守隱私法規(guī)并在數(shù)字業(yè)務(wù)環(huán)境中建立信任。

1.在數(shù)字化轉(zhuǎn)型項(xiàng)目開始時(shí)聘請(qǐng)安全專家

雖然90%以上的數(shù)字轉(zhuǎn)型項(xiàng)目受訪者包括了安全或隱私的權(quán)益相關(guān)者，但是只有53%的受訪者從一開始就參與其中。該報(bào)告建議在數(shù)字轉(zhuǎn)型的設(shè)計(jì)方案中加入安全和隱私設(shè)計(jì)，理由是“個(gè)人設(shè)備、政府、企業(yè)和工業(yè)設(shè)備之間的龐大連接正在推動(dòng)網(wǎng)絡(luò)和隱私風(fēng)險(xiǎn)呈指數(shù)級(jí)增長?！?/p>

2.對(duì)人才和領(lǐng)導(dǎo)團(tuán)隊(duì)進(jìn)行升級(jí)

普華永道的調(diào)查顯示，大多數(shù)企業(yè)對(duì)其安全和隱私人員隊(duì)伍沒有足夠的信心。只有38%的人表示他們對(duì)這些團(tuán)隊(duì)的效率感到“非常滿意”。該報(bào)告建議企業(yè)圍繞人才和技能差距進(jìn)行風(fēng)險(xiǎn)評(píng)估，并賦予合適的人員明確的網(wǎng)絡(luò)安全、隱私和數(shù)據(jù)道德職責(zé)。

3.針對(duì)網(wǎng)絡(luò)安全和隱私提高員工的意識(shí)和責(zé)任感

只有34%的受訪者表示他們有員工安全意識(shí)培訓(xùn)計(jì)劃。該報(bào)告鼓勵(lì)企業(yè)重視員工對(duì)安全和隱私問題的意識(shí)以及他們是如何影響業(yè)務(wù)目標(biāo)的。在落實(shí)這些努力的同時(shí)，企業(yè)還應(yīng)該針對(duì)數(shù)據(jù)治理和IT資產(chǎn)訪問制定清晰的政策。

4.加強(qiáng)與董事會(huì)的溝通交流

雖然大多數(shù)受訪者都表示他們的董事會(huì)知曉網(wǎng)絡(luò)和隱私風(fēng)險(xiǎn)策略，但是只有27%的人認(rèn)為董事會(huì)對(duì)這兩個(gè)領(lǐng)域的指標(biāo)都有著詳實(shí)的研究報(bào)告。普華永道建議企業(yè)應(yīng)當(dāng)確定可以使用的和目前正在使用的評(píng)估措施。確保這些指標(biāo)滿足利益相關(guān)者的需求。企業(yè)還應(yīng)當(dāng)就任何可能影響安全或隱私風(fēng)險(xiǎn)的外部因素與董事會(huì)進(jìn)行坦誠的溝通。

5.將安全與業(yè)務(wù)目標(biāo)聯(lián)系起來

該調(diào)查發(fā)現(xiàn)業(yè)務(wù)目標(biāo)與信息安全策略之間存在脫節(jié)的問題。只有23%的受訪者表示他們計(jì)劃投入資金對(duì)兩者進(jìn)行協(xié)調(diào)。普華永道認(rèn)為，企業(yè)可以通過將網(wǎng)絡(luò)安全嵌入到新產(chǎn)品或服務(wù)中，展開風(fēng)險(xiǎn)和監(jiān)管合規(guī)評(píng)估，進(jìn)行網(wǎng)絡(luò)安全框架評(píng)估以及更新網(wǎng)絡(luò)安全策略和計(jì)劃來協(xié)調(diào)業(yè)務(wù)和安全。

6.建立對(duì)數(shù)據(jù)的持久信任

該調(diào)查顯示，規(guī)模在1億美元或以上的企業(yè)中，只有約一半的企業(yè)在數(shù)據(jù)治理方面投入了大量的資金。只有40%的受訪者對(duì)其最具價(jià)值和最敏感的數(shù)據(jù)資產(chǎn)的認(rèn)定感到“非常滿意”。該報(bào)告建議在實(shí)施數(shù)據(jù)治理計(jì)劃的同時(shí)考慮數(shù)據(jù)的價(jià)值和敏感性。報(bào)告還建議在整個(gè)數(shù)據(jù)生命周期中對(duì)風(fēng)險(xiǎn)進(jìn)行管理。

7.提高網(wǎng)絡(luò)的彈性

不到半數(shù)的大中型企業(yè)表示他們正在建立網(wǎng)絡(luò)彈性以抵御網(wǎng)絡(luò)攻擊和其他破壞性事件。然而，在這些企業(yè)當(dāng)中，只有大約一半的企業(yè)相信他們的網(wǎng)絡(luò)彈性已得到了充分測試。建立網(wǎng)絡(luò)彈性需要了解企業(yè)對(duì)核心業(yè)務(wù)流程的風(fēng)險(xiǎn)偏好。報(bào)告認(rèn)為每個(gè)重要的利益相關(guān)者（首席執(zhí)行官、首席財(cái)務(wù)官、首席信息官等）可能都對(duì)風(fēng)險(xiǎn)有著不同看法。報(bào)告還建議監(jiān)控不斷變化的威脅形勢和技術(shù)基礎(chǔ)設(shè)施，以確保高可用性、災(zāi)難恢復(fù)能力和數(shù)據(jù)完整性。

8.了解自己的敵人

每個(gè)企業(yè)都應(yīng)該知道最可能的威脅來自何處。根據(jù)調(diào)查，金融服務(wù)企業(yè)更擔(dān)心的是有國家在背后撐腰的黑客（33%），以消費(fèi)者為中心的企業(yè)則將普通的網(wǎng)絡(luò)犯罪分子視為主要威脅（50%）。然而，只有31%的受訪者表示他們有信心識(shí)別出哪些人可能會(huì)攻擊他們的數(shù)字資產(chǎn)。普華永道建議及時(shí)查看威脅情報(bào)報(bào)告，并根據(jù)這些情報(bào)研究自己正面臨的風(fēng)險(xiǎn)和威脅。

9.自覺遵守法規(guī)

保持信息靈通并遵守全球所有的隱私和數(shù)據(jù)保護(hù)法規(guī)是一項(xiàng)巨大的挑戰(zhàn)。41%的受訪者表示，了解對(duì)自己有影響的法規(guī)是一項(xiàng)艱巨的挑戰(zhàn)。該報(bào)告強(qiáng)調(diào)要有關(guān)注新立法的意識(shí)。報(bào)告還建議企業(yè)采用綜合方法來實(shí)現(xiàn)合規(guī)，而不是采用孤立的方式，這意味著企業(yè)應(yīng)該在其開展業(yè)務(wù)的所有司法管轄區(qū)內(nèi)按照最高監(jiān)管標(biāo)準(zhǔn)運(yùn)營。

10.跟上創(chuàng)新步伐

新技術(shù)會(huì)帶來新風(fēng)險(xiǎn)。例如，在物聯(lián)網(wǎng)（IoT）方面，只有39%的受訪者相信自己在管理安全性、隱私和數(shù)據(jù)道德上擁有充足的“數(shù)字信任”控制權(quán)。普華永道建議企業(yè)優(yōu)先發(fā)展數(shù)字信任控制權(quán)。此外，企業(yè)還應(yīng)該圍繞物聯(lián)網(wǎng)和人工智能等新技術(shù)展開安全研究。

原文網(wǎng)址

https：//www.csoonline.com/article/3297037/security/what-is-digital-trust-how-csos-can-help-drive-business.html