在让客户信任的企业中，安全到底是1还是0？

数字信任是衡量消费者、合作伙伴和员工对企业的保护能力以及确保数据和个人隐私安全的信心。随着数据泄露事件影响越来越大，越来越普遍，数字信任对于从事安全行业的企业来说是一种有价值的商品，同时它们也在改变着管理层对安全的看法。

安全在传统上被视为成本中心。企业在近年来开始逐步意识到良好的安全性能够促进新服务，帮助建立客户忠诚度。由软件公司CA Technologies（以下简称CA）委托咨询公司Frost＆Sullivan撰写的一份新报告证实了这一趋势。《全球在线数字信任调查与2018年指数》显示，认真对待安全和隐私的行为会对财务产生积极的影响，避免代价高昂的违规行为。

拥有高数字信任度的消费者在线消费会更多

CA北欧地区安全主管Stephen Walsh称：“信任是贯穿整个公司的东西之一。它们是商业的基石。没有它们，公司就需要将精力放在努力维持现有客户，赢得新客户或进入新市场上。”

首席安全官在建立信任方面发挥的作用是什么？你如何与自己的公司之间建立起信任？CA报告提供的数据可以帮助回答这个问题。为了给每个群体建立起数字信任指数，该报告分别对消费者、安全专业人员和企业高管进行了调查。

该报告将信任等级分为1到100分，在调查中消费者给他们的信任等级打了61分，也就是“勉强及格”。安全专业人员和企业高管的分数相对较高，分别为75分和74分。值得关注的是，调查显示拥有高数字信任度的消费者在线支出会更多。在过去12个月中，高信任度的消费者的在线支出增幅为57％，而信任度较低的消费者的在线支出增幅为43％。

更多的客户喜欢安全性要胜过便利性

CA的报告称，27％的企业高管认为安全措施是负投资回报率（ROI）。然而，报告中的大多数客户（86％）表示他们更倾向于安全而不是方便，并且对某个企业的信任度越高，那么他们就越愿意在该企业身上花更多的钱。

在报告中，78％的受访者认为在线保护他们的个人身份信息（PII）是非常重要或至关重要的。在选择在线服务时，86％的人表示高等级的数据保护是首要的事情。调查结果清楚地表明，人们越来越意识到数字化数据的重要性，并且企业以负责任的方式保护这些数字化数据的意识会对销售和客户的保留与获取产生直接影响。

Walsh说：“过去很多人都认为安全是一种职责，你必须要履行。如今，越来越多的董事会成员开始认识到安全是一种推动力和一种方式，它们能够实实在在地获得新客户和新业务，我们的工作也因此变得越好开展。”

数字信任鸿沟：公司领导者与客户“脱节”

虽然许多企业都清楚信任的价值，但是有许多企业高估了自己在客户眼中的信任程度。该报告指出，客户对企业是否正确处理个人数据的信任程度与企业自认为的信任程度之间的平均差距为14分。报告指出，这说明了企业与客户之间存在“非常危险的脱节”。

只有三分之一的客户表示他们对企业的信任程度在过去两年中有所增加，相比之下，84％的企业领导者都认为自己被信任的程度是增加的。在这些领导者当中，90%的人声称他们在保护客户数据方面非常出色或是做的很好，93％的人表示这是他们不同于竞争对手的特色因素。

Walsh称：“认为自己很了不起并有一种虚假的安全感，这对企业来说是非常危险的。这是一个危险的陷阱，安全不仅仅是一个勾选框。不断变化的威胁告诉我们，今年安全并不意味着明年你也会安全。”

失去信任的代价

失去信任的代价非常大。报告中接受调查的半数企业都承认曾参与过数据泄露事件的公开披露，几乎所有公司都发现数据泄漏对其收入和消费者信任产生了长期的负面影响。在客户方面，有半数人表示，如果他们发现为其提供服务的企业涉及数据泄漏事件，那么他们就会停用该企业的服务，转而选择他们的竞争对手。

Walsh称：“如果客户对为其提供服务的企业缺乏安全感，他们就会用自己的钱包去投票，去选择能够为其提供安全感的企业，并建立数字信任。这些考虑可能意味着你已经失去了客户，因为他们会选择其他的企业。如果你给客户留下正在尽最大努力保护其数据、资产、资金等所有一切的安全的印象，那么就意味着你正在与客户建立信任。另一方面，有时候仅发生一次数据泄漏或安全问题就可能毁掉你与客户群多年建立起来的信任。”

首席安全官在建立信任中的作用

从表面上看，信任可能看起来像是一个安全问题，因此其完全属于首席安全官的职权范围，但是现实却非常微妙。建立信任不仅仅是做出正确的安全决策，还包括将这些决策告诉客户，以便他们能够看到并知道你是如何保护他们的数据的。

Walsh称：“董事会中的每个人，无论是在市场营销部门还是在金融部门都应该感兴趣，并有责任共同确保安全以及在企业与客户群之间建立起信任。”他指出，安全和信任应更多地挺在客户获取和客户保留的最前面，而不是事后诸葛亮。他已经开始看到安全计划的资金筹集和运行在超出首席安全官职能之外。

Walsh称：“其中一些是关于客户感知和吸引客户的。在一些企业中，营销或客户获取已经涉及增加安全投入，信息传递，并使客户能够用上新的安全方法。这些需要首席安全官来落实吗？他们才是合适的实施者，但是就更广泛的整体观而言，这些应该由首席执行官落实。”

这些虽然需要首席执行官领导，但是也需要首席安全官直接参与信任建设计划并与其他职能部门保持持续沟通，以确保企业在运营和沟通方面保持一致。

如何与客户建立信任

建立信任并非易事。除了落实正常的安全工作，执行正确的技术和流程以确保良好的安全状态外，公司还需要进行沟通。Walsh称：“其中一些是关于信息传递，但是如果你在信息传递中正在建立这种信任，然后却没有什么动作，那么信任就会消失。”

为了帮助建立信任，他认为企业需要与客户保持一致和透明性。企业应该解释清楚利用数据做了什么以及为什么这么做，要明确收集哪些数据以及将要把数据用在何处，并解释为确保数据安全而采取了哪些安全措施和流程。

例如，虽然使用多因素身份验证（MFA）是一种很好的安全措施，但是对于为什么要求客户在业务或流程中提供额外的身份验证进行交流沟通却更加有助于建立这种信任。“重要的是，企业要向客户展示为什么要提供额外的安全保障。要向客户解释‘我们这样做是因为’而不是对客户说‘我们正在这样做’。”

欧盟的《通用数据保护条例》（GDPR）已于2018年5月生效。许多研究表明，欧盟境内外的许多企业目前尚未实现完全合规。但是，如果认真对待，GDPR是一个与客户建立信任的机会，并使安全和隐私成为业务当中的重要问题。

Walsh称：“GDPR对企业来说是一个好机会。认真对待安全问题的企业将成为建立消费者信任或B2B信任并真正向前发展的企业。不法分子总是找那些最容易得手的目标下手，如果他们知道你所做的一切就是将GDPR视为一个勾选框，那么相较认真对待这些规定的人来说，你可能更容易成为弱点。”

构建数字信任的十个最佳实践

在对全球3000名商业领袖展开调查后，专业服务公司普华永道发布了《数字信托观察》报告。根据这些数据总结出了十大机遇清单，以便管理风险，遵守隐私法规并在数字业务环境中建立信任。

1、在数字化转型项目开始时聘请安全专家：虽然90％以上的数字转型项目受访者包括了安全或隐私的权益相关者，但是只有53％的受访者从一开始就参与其中。该报告建议在数字转型的设计方案中加入安全和隐私设计，理由是“个人设备、政府、企业和工业设备之间的庞大连接正在推动网络和隐私风险呈指数级增长。”

2、对人才和领导团队进行升级：调查显示，大多数企业对其安全和隐私人员队伍没有足够的信心。只有38％的人表示他们对这些团队的效率感到“非常满意”。该报告建议企业围绕人才和技能差距进行风险评估，并赋予合适的人员明确的网络安全、隐私和数据道德职责。

3、针对网络安全和隐私提高员工的意识和责任感：只有34％的受访者表示他们有员工安全意识培训计划。该报告鼓励企业重视员工对安全和隐私问题的意识以及他们是如何影响业务目标的。在落实这些努力的同时，企业还应该针对数据治理和IT资产访问制定清晰的政策。

4、加强与董事会的沟通交流：虽然大多数受访者都表示他们的董事会知晓网络和隐私风险策略，但是只有27％的人认为董事会对这两个领域的指标都有着详实的研究报告。普华永道建议企业应当确定可以使用的和目前正在使用的评估措施。确保这些指标满足利益相关者的需求。企业还应当就任何可能影响安全或隐私风险的外部因素与董事会进行坦诚的沟通。

5、将安全与业务目标联系起来：该调查发现业务目标与信息安全策略之间存在脱节的问题。只有23％的受访者表示他们计划投入资金对两者进行协调。普华永道认为，企业可以通过将网络安全嵌入到新产品或服务中，展开风险和监管合规评估，进行网络安全框架评估以及更新网络安全策略和计划来协调业务和安全。

6、建立对数据的持久信任：该调查显示，规模在1亿美元或以上的企业中，只有约一半的企业在数据治理方面投入了大量的资金。只有40％的受访者对其最具价值和最敏感的数据资产的认定感到“非常满意”。该报告建议在实施数据治理计划的同时考虑数据的价值和敏感性。报告还建议在整个数据生命周期中对风险进行管理。

7、提高网络的弹性：不到半数的大中型企业表示他们正在建立网络弹性以抵御网络攻击和其他破坏性事件。然而，在这些企业当中，只有大约一半的企业相信他们的网络弹性已得到了充分测试。建立网络弹性需要了解企业对核心业务流程的风险偏好。报告认为每个重要的利益相关者（首席执行官、首席财务官、首席信息官等）可能都对风险有着不同看法。报告还建议监控不断变化的威胁形势和技术基础设施，以确保高可用性、灾难恢复能力和数据完整性。

8、了解自己的敌人：每个企业都应该知道最可能的威胁来自何处。根据调查，金融服务企业更担心的是有国家在背后撑腰的黑客（33％），以消费者为中心的企业则将普通的网络犯罪分子视为主要威胁（50％）。然而，只有31％的受访者表示他们有信心识别出哪些人可能会攻击他们的数字资产。普华永道建议及时查看威胁情报报告，并根据这些情报研究自己正面临的风险和威胁。

9、自觉遵守法规：保持信息灵通并遵守全球所有的隐私和数据保护法规是一项巨大的挑战。41％的受访者表示，了解对自己有影响的法规是一项艰巨的挑战。该报告强调要有关注新立法的意识。报告还建议企业采用综合方法来实现合规，而不是采用孤立的方式，这意味着企业应该在其开展业务的所有司法管辖区内按照最高监管标准运营。

10、跟上创新步伐：新技术会带来新风险。例如，在物联网（IoT）方面，只有39％的受访者相信自己在管理安全性、隐私和数据道德上拥有充足的“数字信任”控制权。普华永道建议企业优先发展数字信任控制权。此外，企业还应该围绕物联网和人工智能等新技术展开安全研究。

作者：Dan Swinhoe；编译：陈琳华