在让客户信任的企业中安全到底是1还是0？(2)

　　从表面上看，信任可能看起来像是一个安全问题，因此其完全属于首席安全官的职权范围，但是现实却非常微妙。建立信任不仅仅是做出正确的安全决策，还包括将这些决策告诉客户，以便他们能够看到并知道你是如何保护他们的数据的。

　　Walsh称：“董事会中的每个人，无论是在市场营销部门还是在金融部门都应该感兴趣，并有责任共同确保安全以及在企业与客户群之间建立起信任。”他指出，安全和信任应更多地挺在客户获取和客户保留的最前面，而不是事后诸葛亮。他已经开始看到安全计划的资金筹集和运行在超出首席安全官职能之外。

　　Walsh称：“其中一些是关于客户感知和吸引客户的。在一些企业中，营销或客户获取已经涉及增加安全投入，信息传递，并使客户能够用上新的安全方法。这些需要首席安全官来落实吗？他们才是合适的实施者，但是就更广泛的整体观而言，这些应该由首席执行官落实。”

　　这些虽然需要首席执行官领导，但是也需要首席安全官直接参与信任建设计划并与其他职能部门保持持续沟通，以确保企业在运营和沟通方面保持一致。

　　建立信任并非易事。除了落实正常的安全工作，执行正确的技术和流程以确保良好的安全状态外，公司还需要进行沟通。Walsh称：“其中一些是关于信息传递，但是如果你在信息传递中正在建立这种信任，然后却没有什么动作，那么信任就会消失。”

　　为了帮助建立信任，他认为企业需要与客户保持一致和透明性。企业应该解释清楚利用数据做了什么以及为什么这么做，要明确收集哪些数据以及将要把数据用在何处，并解释为确保数据安全而采取了哪些安全措施和流程。

　　例如，虽然使用多因素身份验证（MFA）是一种很好的安全措施，但是对于为什么要求客户在业务或流程中提供额外的身份验证进行交流沟通却更加有助于建立这种信任。“重要的是，企业要向客户展示为什么要提供额外的安全保障。要向客户解释‘我们这样做是因为’而不是对客户说‘我们正在这样做’。”

　　欧盟的《通用数据保护条例》（GDPR）已于2018年5月生效。许多研究表明，欧盟境内外的许多企业目前尚未实现完全合规。但是，如果认真对待，GDPR是一个与客户建立信任的机会，并使安全和隐私成为业务当中的重要问题。

　　Walsh称：“GDPR对企业来说是一个好机会。认真对待安全问题的企业将成为建立消费者信任或B2B信任并真正向前发展的企业。不法分子总是找那些最容易得手的目标下手，如果他们知道你所做的一切就是将GDPR视为一个勾选框，那么相较认真对待这些规定的人来说，你可能更容易成为弱点。”

　　在对全球3000名商业领袖展开调查后，专业服务公司普华永道发布了《数字信托观察》报告。根据这些数据总结出了十大机遇清单，以便管理风险，遵守隐私法规并在数字业务环境中建立信任。

　　1、在数字化转型项目开始时聘请安全专家：虽然90％以上的数字转型项目受访者包括了安全或隐私的权益相关者，但是只有53％的受访者从一开始就参与其中。该报告建议在数字转型的设计方案中加入安全和隐私设计，理由是“个人设备、政府、企业和工业设备之间的庞大连接正在推动网络和隐私风险呈指数级增长。”

　　2、对人才和领导团队进行升级：调查显示，大多数企业对其安全和隐私人员队伍没有足够的信心。只有38％的人表示他们对这些团队的效率感到“非常满意”。该报告建议企业围绕人才和技能差距进行风险评估，并赋予合适的人员明确的网络安全、隐私和数据道德职责。

　　3、针对网络安全和隐私提高员工的意识和责任感：只有34％的受访者表示他们有员工安全意识培训计划。该报告鼓励企业重视员工对安全和隐私问题的意识以及他们是如何影响业务目标的。在落实这些努力的同时，企业还应该针对数据治理和IT资产访问制定清晰的政策。