CISO应如何正确认识数字信任？对企业重要吗？

国外专家表示，随着与客户、员工、供应商和其他利益相关者的数字交易逐渐增长，数字可信度成为了所有企业最需关注的建设之一，其具有极大的潜在影响（包括负面和正面影响），但当下比较严峻的问题在于，企业在这方面的预算分配通常较小。

专门研究合规性的Escoute咨询公司总裁Mark Thomas表示：“各行各业的组织都在关注安全和隐私，但如果客户对组织不具备信任感，那他们就会另觅他司。”这一观点在2022年DigiCert数字信任调查中得到了证实，该调查发现，84%的客户在对一家公司失去信任后，他们会选择更换。

数字信任度低的组织不仅会面临声誉下降，还会面临更多的网络安全和隐私泄露事件，客户远离、收入损失将成为他们的定局。根据ISACA 2022年数字信任的状况调查，8185名受访者表示，企业需要通过每一次互动和交易来赢得这种信任，因为客户只会通过信任来选择组织，这是自古以来不变的定律。

其中，59%的受访者表示，数字信任水平较低的组织往往会经历更多的网络安全事件，但要让数字信任成为组织的优先事项，这之间还有很长的路要走。2023年，ISACA做了第二次调查，调查发现，尽管84%的受访者承认数字信任很重要，但只有三分之二的人表示这是组织的优先事项，这表明了理论和实践之间始终充满差距。

此外，调查中还有82%的受访者预计数字信任在未来五年内的重要性将持续增加，但只有四分之一的人愿意为此增加预算，这表明资源还是会受到挤压。

Thomas指出，数字信任包括了合规、安全、隐私、通信、IT、营销和运营，因此它不是某个部门的职责，它需要在组织的各个部门都参与进来。当被问及“谁应该负责数字信任”时，85%的ISACA调查受访者提名了IT治理/战略，其次是安全（81%）部门和IT（75%）部门，而无论如何，受访者们表示，最终应该由董事会和高管层对数字信任这样具有影响力的项目负责。然而，在现实中，全球只有19%的人表示，他们的董事会优先考虑数字信任，还有34%的人表示高管层会对此事负责。

从区域差异来看，北美受访者表示，他们大多是高级领导层对数字信任负责，而其他地区则更倾向于董事会负责。相比之下，印度的受访者更与众不同，他们表示出个人员工会对数字信任负责。

Thomas指出，尽管有首席数字信托官这样的职位，但只有13%的人表示所在组织具备专门从事数字信任的员工。在会衡量数字信任成熟度的组织中，拥有专职员工的组织数量跃升至了38%，而当董事会选择优先考虑数字信任时，这一比例会更高，其中46%的组织具备数字信任专职人员。

对于CISO及其安全团队来说，他们需要顾及安全和数字信任相关的所有业务领域，虽然CISO不一定拥有整个数字信任的权责，但他们可以发挥作用。

Thomas说：“与其说数字信任是每个人工作的一部分，不如说每个人都该对此负责。如果CISO发现董事会没有完全将数字信任作为优先事项，那就要帮助高层去理解数字信任，因为其重要性足以成为全组织的优先事项。CISO可以将数字信任和组织的目标联系起来，说明其中的风险和潜在的危害，这会极大地引起董事会的注意。在数字化转型时代里，若不能将数字信任提早纳入视野，组织将错过许多重要商机。”

Thomas建议，组织应该采用数字信任框架，因为此框架为组织的数字化转型以及指导衡量标准提供了路线图，然而，尽管56%的人认为它很重要，但目前全球只有20%的人在使用。具体的地区差异是这样的：印度34%的受访者表示会使用该框架，亚洲是24%，北美是19%，大洋洲是16%，欧洲是13%。

ISACA最近发布了一个框架，旨在帮助组织建立和维护数字信任。目标是在品牌声誉、产品质量和可靠性以及相关数据使用的数字互动中，提高客户、员工、供应商和第三方的可信度。

Thomas表示，框架不是一种标准，而是一种指导方针，它提供了一种可重复的方式，能将数字信任作为组织内的一个目标来落实。Thomas为ISACA数字信任生态系统框架的开发做出了贡献，其中包括了更新战略和目标，以及在相关方面的资金分配。

CISO的主要职责还是努力保护组织免受网络攻击，并在企业正常运营中尽可能减少不必要的摩擦，而建设数字信任对CISO来说完全是一个额外的挑战，需要CISO在各个相关领域都集中精力。

Thomas说，数字信任需要在组织内整合，只靠一个部门或许难以完全驾驭，但根据世界经济论坛《2022年赚取数字信任报告》所示，随着人们对数字互动的依赖增加，安全部门和CISO在保护支持商业、人民生计和社会的互联互通方面发挥着重要作用。

也就是说，当政府和监管机构对数据隐私和安全实施有了更严格的要求时，CISO需再次牵头，优先考虑数字信任，否则企业将面临罚款、诉讼、重大品牌损害和组织收入损失等风险。

Thomas建议，对于CISO来说，数字信任可以成为安全举措可衡量的衡量标准和结果，他说：“组织的目标本来就是遵守法规并保护信息，这样做的结果会换来客户的信任，因此，我们可以改变衡量安全实施情况的方式，即数字信任做得越好，企业的安全性也就越高。很简单的道理，如果企业想获得客户的信任，就需要将信任视为组织目标，或者将其作为战略的一部分。所以，只要目标是安全的，那么结果就一定能获得客户的信任。”

信任是客户关系的重要组成部分，它早在互动开始之前就已于内心埋下种子了，因此信任对企业而言始终需要保持优先地位。信任是推动消费者决策、影响忠诚度、影响反馈的重要因素。

ISACA调查中，55%的受访者表示，客户忠诚度增强是数字信任的好处之一。加强数字信任需要了解客户和利益相关者的期望，并利用相关因素制定企业的指导方针，确保每个人都能理解，并积极参与进数字信任的建设中。

实现数字信任必须包含了解客户的信任因素，并将建立数字信任作为企业的整体方针。然而，这是一个不断变化的目标，消费者对数字信任的需求随着技术的变化而变化。Thomas说：“随着新兴技术的出现，尤其是最近人工智能所带来的消费化，我们可以看到消费者对此产生了一系列全新的信任担忧。”

并非所有组织都能激发内部对其数字信任的信心。调查显示，职业信心水平还有提高的空间，只有53%的受访者对其组织的数字可信度感到自信，而在那些已经开始衡量数字信任成熟度的组织中，这种信心跃升至81%。

成熟度衡量被认为是一种标准的商业实践，但只有不到四分之一的受访者（24%）表示所在组织衡量过其数字信任实践的成熟度，还有67%的人认为这非常重要但并没付诸于行动。

衡量组织数字信任水平的指标包括客户调查、跟踪问题、客户行为、忠诚度，以及净推广人得分等。然而，尽管衡量的重要性和可用指标的丰富性得到了证实，但总体而言，29%的人表示他们的组织不会衡量数字信任。

这其中也存在着一些地区差异，亚洲28%的受访者表示会衡量所在组织的数字信任，非洲是26%、北美是23%、大洋洲是21%和欧洲是19%。

从另一方面来说，这也表明了，组织可能是安全并符合隐私的，但客户仍然会离开，因为组织没有处理好信任问题。托马斯·neneneba表示：“数字信任是一个关键指标，也是一种驱动因素。我们现在将数字信任作为一个结果或目标，其不仅仅衡量了安全和隐私方面的绩效指标，也代表着市场对组织是否认可。”

随着数字化转型不断推进，组织有着大量的机会可将数字信任嵌入自身的结构里，其超越了合规性，在面对数字信任时，组织需要将孤立的区域分解，并将数字信任作为一个有凝聚力的整体来处理。调查显示，加强、优先考虑数字信任需要成为全行业的原则，包括信息获取、数据使用、任何妥协的透明度、数据安全和隐私，以及建立弹性系统等。

历史告诫我们，组织每向前推进一步，就会面临一系列的障碍。当谈到实现数字信任的障碍时，52%的受访者认为是缺乏技能和培训，42%认为是缺乏领导力，41%认为和企业的目标不一致，40%认为是缺乏预算，38%认为是缺乏技术资源。

相对于各种缺乏，调查中也有积极的一面。32%的受访者表示所在组织为员工提供了数字信任培训，31%的受访者表示自己完全理解数字信任并其所带来的影响（高于2022年调查中的29%和28%）。此外，66%的人表示，数字信任与他们的工作极为相关。

对于数字信任有着怎样的重要性，国内安全专家如此建议。

知乎安全专家“蚁景网络安全”表示，数字信任对于企业的数字化转型极其重要，拥有高水平数字信任的企业可以获得切实的利益和积极的业务成果。其所带来的好处包括：企业正面声誉、更高的客户忠诚度、更可靠的决策数据、更少的隐私泄露、网络安全事件减少、由于对技术和系统有信心能更快地进行创新、更高的企业收入等等。

“蚁景网络安全”指出，企业想要建设高水准的数字信任体系就需要具备专门的数字信任人员，比如首席信托官或数字信托总监。虽然这又是些新概念职位，但由于数字信任的重要性，将其赋予单独的人员或部门管理，所带来的效率会更高，当然，建设基础还是要看企业肯投资多少，但无论如何，在数字信任上的投入总是能看到回报的，因为数字信任不单是信用问题，它还衡量了一个企业的安全成熟度，只有安全成熟度过硬的企业才会让大众信任，这是一个明确的标志。

知乎另一位专家“隐私计算市场洞察”表示，数字信任对企业来说非常重要，因为它可以增强客户、合作伙伴和监管机构对企业的信心和忠诚度，提升企业的竞争力和创新能力，降低企业的风险和成本。数字信任体系是企业构建信任、提升安全和提高效率的关键。数字信任体系包括以下几个方面：

而某券商安全专家宋士明表示，国家“十四五”期间，加快数字化发展是国家战略。在数字化转型过程中，基于可信数字身份构建数字信任体系，是企业构建数字化安全体系的一项重要工作。如今，数字信任体系既对企业数字化转型起到关键的基础支撑作用，已成为国家数字经济和数字社会安全发展的重要支撑力量。只有真正实现数字信任体系的自主可控和韧性，才能保障企业的数字化业务安全运转，推动国家数字经济健康发展。

“而作为安全人员，在企业数字化转型过程中，应重视企业数字信任体系建设，需要站在企业整体角度，加强企业数字身份治理，设计并构建一套企业级数字身份服务，打造基于可信数字身份的数字信任体系，以安全基础设施或数字身份中台方式，为企业所有信息系统各实体之间的互访提供可信的数字信任服务。安全人员应加强与需求人员、开发人员、运维人员等多方面沟通，对信息系统的IT及安全架构形成一致意见，共同开发基于数字信任体系的企业技术架构和业务架构，为企业数字化业务安全发展保驾护航。”

某车企科技有限公司安全专家孙权指出，数字信任对企业来说非常重要，这是因为现代企业越来越依赖于数字化技术。数字信任可以建立企业与客户、供应商及合作伙伴之间的信任关系，是数字世界中获得成功的关键。数字信任在安全、隐私和数据保护方面起着重要作用，因为企业必须确保他们处理的数据是准确的、保密的和安全的，以建立信任并遵守法规。

作为安全人员和技术人员，孙权建议企业采用以下几个措施：

1、合理规划和实施安全策略和措施，近期内需要加强对网络安全和数据保护的意识推广。

2、持续进行培训和教育，提高员工安全意识和技能。员工是企业最重要的资源和资产，因此应确保他们知道如何安全使用网络和数字技术，避免基本的安全风险。

3、采用最佳实践和技术，以保护数据和网络。这包括加密技术、访问控制、身份验证和漏洞管理等技术。

4、建立紧密的安全合作和共享信息的机制，加强企业内外部的安全合作，以防止和遏制网络攻击。

另外，孙权表示在未来的发展中，自己将更多关注和支持数字信任实践和数字安全事业。“最近在安全思考方面，我认为随着人工智能和物联网等新兴技术的流行和使用，安全风险和威胁也会同步上升。我们需要持续关注和研究新技术的安全问题，以便为数字信任和用户保护提供更好的信息和技术支持。”