Dan Swinhoe

首席安全官應(yīng)該在與客戶建立信任方面發(fā)揮關(guān)鍵作用， 這將轉(zhuǎn)化為更好的客戶獲取、更高的客戶忠誠度和更多的收入。

數(shù)字信任是衡量消費者、合作伙伴和員工對企業(yè)的保護(hù)能力以及確保數(shù)據(jù)和個人隱私安全的信心。隨著數(shù)據(jù)泄露事件影響越來越大，越來越普遍，數(shù)字信任對于從事安全行業(yè)的企業(yè)來說是一種有價值的商品，同時它們也在改變著管理層對安全的看法。

安全在傳統(tǒng)上被視為成本中心。企業(yè)在近年來開始逐步意識到良好的安全性能夠促進(jìn)新服務(wù)，幫助建立客戶忠誠度。由軟件公司CA Technologies（以下簡稱CA）委托咨詢公司Frost&Sullivan撰寫的一份新報告證實了這一趨勢?！度蛟诰€數(shù)字信任調(diào)查與2018年指數(shù)》顯示，認(rèn)真對待安全和隱私的行為會對財務(wù)產(chǎn)生積極的影響，避免代價高昂的違規(guī)行為。

擁有高數(shù)字信任度的消費者在線消費會更多

CA北歐地區(qū)安全主管Stephen Walsh稱：“信任是貫穿整個公司的東西之一。它們是商業(yè)的基石。沒有它們，公司就需要將精力放在努力維持現(xiàn)有客戶，贏得新客戶或進(jìn)入新市場上?！?/p>

首席安全官在建立信任方面發(fā)揮的作用是什么？你如何與自己的公司之間建立起信任？CA報告提供的數(shù)據(jù)可以幫助回答這個問題。為了給每個群體建立起數(shù)字信任指數(shù)，該報告分別對消費者、安全專業(yè)人員和企業(yè)高管進(jìn)行了調(diào)查。

該報告將信任等級分為1到100分，在調(diào)查中消費者給他們的信任等級打了61分，也就是“勉強(qiáng)及格”。安全專業(yè)人員和企業(yè)高管的分?jǐn)?shù)相對較高，分別為75分和74分。值得關(guān)注的是，調(diào)查顯示擁有高數(shù)字信任度的消費者在線支出會更多。在過去12個月中，高信任度的消費者的在線支出增幅為57%，而信任度較低的消費者的在線支出增幅為43%。

更多的客戶喜歡安全性要勝過便利性

CA的報告稱，27%的企業(yè)高管認(rèn)為安全措施是負(fù)投資回報率（ROI）。然而，報告中的大多數(shù)客戶（86%）表示他們更傾向于安全而不是方便，并且對某個企業(yè)的信任度越高，那么他們就越愿意在該企業(yè)身上花更多的錢。

在報告中，78%的受訪者認(rèn)為在線保護(hù)他們的個人身份信息（PII）是非常重要或至關(guān)重要的。在選擇在線服務(wù)時，86%的人表示高等級的數(shù)據(jù)保護(hù)是首要的事情。調(diào)查結(jié)果清楚地表明，人們越來越意識到數(shù)字化數(shù)據(jù)的重要性，并且企業(yè)以負(fù)責(zé)任的方式保護(hù)這些數(shù)字化數(shù)據(jù)的意識會對銷售和客戶的保留與獲取產(chǎn)生直接影響。

Walsh說：“過去很多人都認(rèn)為安全是一種職責(zé)，你必須要履行。如今，越來越多的董事會成員開始認(rèn)識到安全是一種推動力和一種方式，它們能夠?qū)崒嵲谠诘孬@得新客戶和新業(yè)務(wù)，我們的工作也因此變得越好開展?！?/p>

數(shù)字信任鴻溝：公司領(lǐng)導(dǎo)者與客戶“脫節(jié)”

雖然許多企業(yè)都清楚信任的價值，但是有許多企業(yè)高估了自己在客戶眼中的信任程度。該報告指出，客戶對企業(yè)是否正確處理個人數(shù)據(jù)的信任程度與企業(yè)自認(rèn)為的信任程度之間的平均差距為14分。報告指出，這說明了企業(yè)與客戶之間存在“非常危險的脫節(jié)”。

只有三分之一的客戶表示他們對企業(yè)的信任程度在過去兩年中有所增加，相比之下，84%的企業(yè)領(lǐng)導(dǎo)者都認(rèn)為自己被信任的程度是增加的。在這些領(lǐng)導(dǎo)者當(dāng)中，90%的人聲稱他們在保護(hù)客戶數(shù)據(jù)方面非常出色或是做的很好，93%的人表示這是他們不同于競爭對手的特色因素。

Walsh稱：“認(rèn)為自己很了不起并有一種虛假的安全感，這對企業(yè)來說是非常危險的。這是一個危險的陷阱，安全不僅僅是一個勾選框。不斷變化的威脅告訴我們，今年安全并不意味著明年你也會安全?！?/p>

失去信任的代價

失去信任的代價非常大。報告中接受調(diào)查的半數(shù)企業(yè)都承認(rèn)曾參與過數(shù)據(jù)泄露事件的公開披露，幾乎所有公司都發(fā)現(xiàn)數(shù)據(jù)泄漏對其收入和消費者信任產(chǎn)生了長期的負(fù)面影響。在客戶方面，有半數(shù)人表示，如果他們發(fā)現(xiàn)為其提供服務(wù)的企業(yè)涉及數(shù)據(jù)泄漏事件，那么他們就會停用該企業(yè)的服務(wù)，轉(zhuǎn)而選擇他們的競爭對手。

Walsh稱：“如果客戶對為其提供服務(wù)的企業(yè)缺乏安全感，他們就會用自己的錢包去投票，去選擇能夠為其提供安全感的企業(yè)，并建立數(shù)字信任。這些考慮可能意味著你已經(jīng)失去了客戶，因為他們會選擇其他的企業(yè)。如果你給客戶留下正在盡最大努力保護(hù)其數(shù)據(jù)、資產(chǎn)、資金等所有一切的安全的印象，那么就意味著你正在與客戶建立信任。另一方面，有時候僅發(fā)生一次數(shù)據(jù)泄漏或安全問題就可能毀掉你與客戶群多年建立起來的信任?！?/p>

首席安全官在建立信任中的作用

從表面上看，信任可能看起來像是一個安全問題，因此其完全屬于首席安全官的職權(quán)范圍，但是現(xiàn)實卻非常微妙。建立信任不僅僅是做出正確的安全決策，還包括將這些決策告訴客戶，以便他們能夠看到并知道你是如何保護(hù)他們的數(shù)據(jù)的。

Walsh稱：“董事會中的每個人，無論是在市場營銷部門還是在金融部門都應(yīng)該感興趣，并有責(zé)任共同確保安全以及在企業(yè)與客戶群之間建立起信任?！彼赋觯踩托湃螒?yīng)更多地挺在客戶獲取和客戶保留的最前面，而不是事后諸葛亮。他已經(jīng)開始看到安全計劃的資金籌集和運行在超出首席安全官職能之外。

Walsh稱：“其中一些是關(guān)于客戶感知和吸引客戶的。在一些企業(yè)中，營銷或客戶獲取已經(jīng)涉及增加安全投入，信息傳遞，并使客戶能夠用上新的安全方法。這些需要首席安全官來落實嗎？他們才是合適的實施者，但是就更廣泛的整體觀而言，這些應(yīng)該由首席執(zhí)行官落實?！?/p>

這些雖然需要首席執(zhí)行官領(lǐng)導(dǎo)，但是也需要首席安全官直接參與信任建設(shè)計劃并與其他職能部門保持持續(xù)溝通，以確保企業(yè)在運營和溝通方面保持一致。

如何與客戶建立信任

建立信任并非易事。除了落實正常的安全工作，執(zhí)行正確的技術(shù)和流程以確保良好的安全狀態(tài)外，公司還需要進(jìn)行溝通。Walsh稱：“其中一些是關(guān)于信息傳遞，但是如果你在信息傳遞中正在建立這種信任，然后卻沒有什么動作，那么信任就會消失?！?/p>

為了幫助建立信任，他認(rèn)為企業(yè)需要與客戶保持一致和透明性。企業(yè)應(yīng)該解釋清楚利用數(shù)據(jù)做了什么以及為什么這么做，要明確收集哪些數(shù)據(jù)以及將要把數(shù)據(jù)用在何處，并解釋為確保數(shù)據(jù)安全而采取了哪些安全措施和流程。

例如，雖然使用多因素身份驗證（MFA）是一種很好的安全措施，但是對于為什么要求客戶在業(yè)務(wù)或流程中提供額外的身份驗證進(jìn)行交流溝通卻更加有助于建立這種信任?！爸匾氖?，企業(yè)要向客戶展示為什么要提供額外的安全保障。要向客戶解釋‘我們這樣做是因為而不是對客戶說‘我們正在這樣做?！?/p>

歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）已于2018年5月生效。許多研究表明，歐盟境內(nèi)外的許多企業(yè)目前尚未實現(xiàn)完全合規(guī)。但是，如果認(rèn)真對待，GDPR是一個與客戶建立信任的機(jī)會，并使安全和隱私成為業(yè)務(wù)當(dāng)中的重要問題。

Walsh稱：“GDPR對企業(yè)來說是一個好機(jī)會。認(rèn)真對待安全問題的企業(yè)將成為建立消費者信任或B2B信任并真正向前發(fā)展的企業(yè)。不法分子總是找那些最容易得手的目標(biāo)下手，如果他們知道你所做的一切就是將GDPR視為一個勾選框，那么相較認(rèn)真對待這些規(guī)定的人來說，你可能更容易成為弱點?！?/p>

構(gòu)建數(shù)字信任的十個最佳實踐

在對全球3000名商業(yè)領(lǐng)袖展開調(diào)查后，專業(yè)服務(wù)公司普華永道在10月下旬發(fā)布了《數(shù)字信托觀察》報告。根據(jù)這些數(shù)據(jù)，普華永道總結(jié)出了以下十大機(jī)遇清單，以便管理風(fēng)險，遵守隱私法規(guī)并在數(shù)字業(yè)務(wù)環(huán)境中建立信任。

1.在數(shù)字化轉(zhuǎn)型項目開始時聘請安全專家

雖然90%以上的數(shù)字轉(zhuǎn)型項目受訪者包括了安全或隱私的權(quán)益相關(guān)者，但是只有53%的受訪者從一開始就參與其中。該報告建議在數(shù)字轉(zhuǎn)型的設(shè)計方案中加入安全和隱私設(shè)計，理由是“個人設(shè)備、政府、企業(yè)和工業(yè)設(shè)備之間的龐大連接正在推動網(wǎng)絡(luò)和隱私風(fēng)險呈指數(shù)級增長?！?/p>

2.對人才和領(lǐng)導(dǎo)團(tuán)隊進(jìn)行升級

普華永道的調(diào)查顯示，大多數(shù)企業(yè)對其安全和隱私人員隊伍沒有足夠的信心。只有38%的人表示他們對這些團(tuán)隊的效率感到“非常滿意”。該報告建議企業(yè)圍繞人才和技能差距進(jìn)行風(fēng)險評估，并賦予合適的人員明確的網(wǎng)絡(luò)安全、隱私和數(shù)據(jù)道德職責(zé)。

3.針對網(wǎng)絡(luò)安全和隱私提高員工的意識和責(zé)任感

只有34%的受訪者表示他們有員工安全意識培訓(xùn)計劃。該報告鼓勵企業(yè)重視員工對安全和隱私問題的意識以及他們是如何影響業(yè)務(wù)目標(biāo)的。在落實這些努力的同時，企業(yè)還應(yīng)該針對數(shù)據(jù)治理和IT資產(chǎn)訪問制定清晰的政策。

4.加強(qiáng)與董事會的溝通交流

雖然大多數(shù)受訪者都表示他們的董事會知曉網(wǎng)絡(luò)和隱私風(fēng)險策略，但是只有27%的人認(rèn)為董事會對這兩個領(lǐng)域的指標(biāo)都有著詳實的研究報告。普華永道建議企業(yè)應(yīng)當(dāng)確定可以使用的和目前正在使用的評估措施。確保這些指標(biāo)滿足利益相關(guān)者的需求。企業(yè)還應(yīng)當(dāng)就任何可能影響安全或隱私風(fēng)險的外部因素與董事會進(jìn)行坦誠的溝通。

5.將安全與業(yè)務(wù)目標(biāo)聯(lián)系起來

該調(diào)查發(fā)現(xiàn)業(yè)務(wù)目標(biāo)與信息安全策略之間存在脫節(jié)的問題。只有23%的受訪者表示他們計劃投入資金對兩者進(jìn)行協(xié)調(diào)。普華永道認(rèn)為，企業(yè)可以通過將網(wǎng)絡(luò)安全嵌入到新產(chǎn)品或服務(wù)中，展開風(fēng)險和監(jiān)管合規(guī)評估，進(jìn)行網(wǎng)絡(luò)安全框架評估以及更新網(wǎng)絡(luò)安全策略和計劃來協(xié)調(diào)業(yè)務(wù)和安全。

6.建立對數(shù)據(jù)的持久信任

該調(diào)查顯示，規(guī)模在1億美元或以上的企業(yè)中，只有約一半的企業(yè)在數(shù)據(jù)治理方面投入了大量的資金。只有40%的受訪者對其最具價值和最敏感的數(shù)據(jù)資產(chǎn)的認(rèn)定感到“非常滿意”。該報告建議在實施數(shù)據(jù)治理計劃的同時考慮數(shù)據(jù)的價值和敏感性。報告還建議在整個數(shù)據(jù)生命周期中對風(fēng)險進(jìn)行管理。

7.提高網(wǎng)絡(luò)的彈性

不到半數(shù)的大中型企業(yè)表示他們正在建立網(wǎng)絡(luò)彈性以抵御網(wǎng)絡(luò)攻擊和其他破壞性事件。然而，在這些企業(yè)當(dāng)中，只有大約一半的企業(yè)相信他們的網(wǎng)絡(luò)彈性已得到了充分測試。建立網(wǎng)絡(luò)彈性需要了解企業(yè)對核心業(yè)務(wù)流程的風(fēng)險偏好。報告認(rèn)為每個重要的利益相關(guān)者（首席執(zhí)行官、首席財務(wù)官、首席信息官等）可能都對風(fēng)險有著不同看法。報告還建議監(jiān)控不斷變化的威脅形勢和技術(shù)基礎(chǔ)設(shè)施，以確保高可用性、災(zāi)難恢復(fù)能力和數(shù)據(jù)完整性。

8.了解自己的敵人

每個企業(yè)都應(yīng)該知道最可能的威脅來自何處。根據(jù)調(diào)查，金融服務(wù)企業(yè)更擔(dān)心的是有國家在背后撐腰的黑客（33%），以消費者為中心的企業(yè)則將普通的網(wǎng)絡(luò)犯罪分子視為主要威脅（50%）。然而，只有31%的受訪者表示他們有信心識別出哪些人可能會攻擊他們的數(shù)字資產(chǎn)。普華永道建議及時查看威脅情報報告，并根據(jù)這些情報研究自己正面臨的風(fēng)險和威脅。

9.自覺遵守法規(guī)

保持信息靈通并遵守全球所有的隱私和數(shù)據(jù)保護(hù)法規(guī)是一項巨大的挑戰(zhàn)。41%的受訪者表示，了解對自己有影響的法規(guī)是一項艱巨的挑戰(zhàn)。該報告強(qiáng)調(diào)要有關(guān)注新立法的意識。報告還建議企業(yè)采用綜合方法來實現(xiàn)合規(guī)，而不是采用孤立的方式，這意味著企業(yè)應(yīng)該在其開展業(yè)務(wù)的所有司法管轄區(qū)內(nèi)按照最高監(jiān)管標(biāo)準(zhǔn)運營。

10.跟上創(chuàng)新步伐

新技術(shù)會帶來新風(fēng)險。例如，在物聯(lián)網(wǎng)（IoT）方面，只有39%的受訪者相信自己在管理安全性、隱私和數(shù)據(jù)道德上擁有充足的“數(shù)字信任”控制權(quán)。普華永道建議企業(yè)優(yōu)先發(fā)展數(shù)字信任控制權(quán)。此外，企業(yè)還應(yīng)該圍繞物聯(lián)網(wǎng)和人工智能等新技術(shù)展開安全研究。

原文網(wǎng)址

https：//www.csoonline.com/article/3297037/security/what-is-digital-trust-how-csos-can-help-drive-business.html