趋势与观点 | 数字信任需要人人参与
在网上快速搜索“数字信任”会得到数百万的结果。你是否注意到大部分结果都与技术有关?我不知道你会怎么做,反正当我考虑是否要点击一个链接或从一个特定的线上供应商购买时,我会想知道是否可以信任其来源,而不是其底层的技术。
就像我开车去某个地方一样。当我想到要安全到达那里时,我并不是关心刹车是如何设计的或刹车片是如何制造的。我想大多数人更关心的是迟到和忘记一些事情。当我们考虑安全问题时,我们往往想到交通、天气状况以及汽车最近的运行情况。我们不会考虑到生态系统的其他方面:交通管制、检查、制衡和执行机制。
为什么数字信任会有所不同呢?
ISACA将数字信任定义为“……对相关数字生态系统中供应商和消费者之间关系、互动和交易的完整性的信心。”
“技术”这个词并没有出现。为什么呢?技术提供了机会,但其价值是由与技术结合的人和流程实现的。
平心而论,数字化一开始属于CIO的职责范围。当我们说“技术”时,通常指的是信息技术(IT);当我们听到“数字信任”时,很自然地会想到技术。我们也可以看到用户是如何做到这一点的。当问题出现时,通常被视为是技术出了错。
那么,我们如何建立数字信任呢?我们以同样的方式创造了其他形式的价值——资本分配和治理。我们将所有形式的资本——钱、人和能源——与我们的业务目标结合。数字信任是你的业务目标之一吗?在你通过言行传递给你所在生态系统的信息中,它是核心吗?就像汽车一样,数字信任来自于一种长期的、贯穿整个生态系统的一致行为模式。作为类比,如果我们深入研究一下汽车,将看到与四道防线和在企业风险管理(ERM)中每天应对的参与者之间的相似之处。
这一切都始于最高层的基调。我们的数字信任治理模型与其他治理模型没有什么不同。我们形成共识、沟通、监控并修正。
差别在哪里?数字信任与其他治理模型之间最显著的区别在于火候。虽然实现数字化的基础技术已经存在了相当长的一段时间,但它只是在过去几年才变得重要。COVID可能是终极的加速器,加上所有的数据泄露、勒索软件、身份盗窃和政府的警示,我们的客户、业务合作伙伴和员工都在询问我们是否值得信任。实际上,企业对我们的客户、合作伙伴和员工不也会问同样的问题吗?这将是我下一篇博客的主题。
不太明显的区别在经济方面。任何业务的数字化部分都在增长,而且通常是损益表中最赚钱的部分。数据是新的石油。世界经济论坛(WEF)估计全球国内生产总值(GDP)的60%来自于数字技术。同时,最近的研究表明,无形资本对整体估值的贡献约为一半,而且还在增长。声誉在董事会议程上的地位继续上升。如果你曾经处理过网络事件,想必知道组织在处理最初的冲击后会很快转向管理声誉风险。一旦失去信任或声誉受损,就很难重新获得信任。
组织要做什么呢?从原则上讲,答案很简单:就像你为其他任何有战略意义的事情所做的一样。从最高层定下基调开始,整个组织各级都需要参与。数字信任不仅仅是IT的责任;它需要所有业务部门传达一致的信息——营销(如品牌)、销售、法律、人力资源、客户支持和全球所有业务部门。最重要的是,信息和行动必须是真实的,否则会导致怀疑而不是信任。
数字信任必须像任何其他战略举措一样,通过制衡进行管理。我们今天用于风险管理的多重防线是一个很好的模型。
以汽车安全(信任)为例,我们首先注意到相似点。我们更担心其他司机而不是我们自己的行为。我们的信任主要建立在观察的基础上——我们的驾驶经验,我们认识的人的经验和我们在新闻中看到的东西。如果你再仔细考虑一下,在很多情况下,我们的经验是建立在一个我们完全信赖的完整的治理框架之上的。这个生态系统包括制造商、监管机构、第三方如消费者报告、执法、急救人员、交通记者等。
某些商业模式比其他商业模式更容易引起怀疑。这并不奇怪。假设你有一个像谷歌或Facebook这样依赖广告或盈利数据的商业模式。你需要特别警惕,特别是在事件发生时越透明和真实越好。
生态系统。你的生态系统主要由你控制之下的参与者和你控制之外的参与者组成。
幸运的是,监管机构、执法机构、政府机构等不受你控制的机构可以增加你的数字信任。让他们为你工作。虽然看起来可能不是这样,但他们是为你的利益相关者提供信心的。他们的主要职能类似于外部审计师提供第三方证明。
例如,在美国,证券交易委员会(SEC)的主要任务是保护投资者。遵守他们的规定可以带来信心。世界各国政府都致力于通过通用数据保护条例(GDPR)和网络安全安全审查委员会(CSRB)等措施管理系统性风险。
在你控制下的生态系统部分需要不同类型的关注。谈到数字信任,你的利益相关者明白,你要对生态系统成员的行为负责。你会为自己的决定负责——只要问问像Target和Capital One这样的组织就可以了。他们都因为商业伙伴的所做所为而成为头条新闻。第三方风险管理(TPRM)的兴起是有原因的。
团队运动。数字信任是一项团队运动,需要整个组织各级的参与。数字信任还会扩展到组织之外的业务合作伙伴和供应商。这不再是IT的职权范围。幸运的是,组织有一个现有框架——治理、风险管理和合规(GRC)。这一切都始于最高层的基调。我们这些在组织中地位较低的人是如何发挥作用的?简单地说就是,全球化思考,本地化行动。此外,剧透一下,在未来几个月,ISACA将推出一个新的数字信任生态系统框架——敬请关注。
编者注:本文首次发表于2022年8月17日ISACA官网News and Trends /Newsletter/@ISACA。文章内容仅代表作者本人观点。作者:Alex Sharpe,Sharpe管理咨询有限责任公司董事会成员、演说家
翻译:唐四宝(Jerry Tang),CISA, CDPSE,CZTP,ISACA微信公众号特邀通讯员。
校对:姚凯(Kevin Yao),CISA,CISM,CRISC,CGEIT,CDPSE,ISACA微信公众号特邀通讯员,关注IT安全,隐私保护和数字化。