ISACA Journal | 数字信任势在必行:数字信任与可靠运营
运营是数字信任生态系统框架(DTEF:Digital Trust Ecosystem Framework)的核心。赋能和支持领域包含流程和技术方面的要素。管理和监控领域包括治理、可持续性和韧性。任何组织的声誉都会影响他人对该组织的信任,而声誉的一部分就是以可接受的性能水平持续提供服务的能力。
现实情况是,一旦业务中断,客户和合作伙伴都会担心。组织不能因为故障发生在数字世界而不是物理世界,就放任不管。我们可以从物理世界的几个例子来了解运营故障如何影响信任度,然后再深入研究数字世界的几个例子。
电话:座机与手机
我是在手机出现之前的时代长大的,我们的期望是,当我们拿起座机听筒时,它能正常工作。除非发生灾难或诸如卡车撞倒电话线杆之类的突发事件,否则当我们拿起电话却没有拨号音时,我们都会感到措手不及。
除非发生意外情况,如本地交换机或我们拨打电话(如长途电话)的交换机负荷过重而导致我们收到忙音信号,否则大多数电话公司(电信公司)都知道,客户不会长期忍受这种情况,因此容量问题很快就会得到解决。
同样的期望最初也延续到了手机上。然而,用户很快就发现,在同一个大都市地区,不同供应商的覆盖范围并不一样,不同地点的覆盖范围也不一致。例如,在最近的一个论坛上,我看到一位军人发的帖子,他要搬到一个新的地方,并询问在那里哪家供应商的服务最好。
尽管如此,如果我们开始遇到覆盖范围和盲区以外的运营问题,就像使用实体固定电话一样,我们就会开始失去对手机运营商的信任。如果消费者在手机供应商的实体店中遇到不愉快的经历,可能会倾向于更换供应商,不再相信运营商能提供合理的体验。这就是为什么要同时考虑手机服务和购买体验。这种情况在企业界当然也会发生。如果一家手机提供商不尽如人意,当合同到期时,企业很可能会更换提供商。
一场严寒中信心的丧失
美国得克萨斯州,尤其是休斯敦市,在过去十年中经历了不少困难,但最令人吃惊的是2021年2月得克萨斯州经历的严寒。该州大部分地区的电网没有做好应对极端低温的准备,为此,得克萨斯州电力可靠性委员会(ERCOT)被千夫所指。许多得克萨斯州居民在气温低于零度的情况下失去了电力供应。还有很大一部分居民没有自来水。在休斯顿一些最贫困的地区,食物也很匮乏,因为这些社区被认为是食物荒漠。如果没有运营基础设施,几乎不可能获得所需的粮食供应。在经历了如此灾难性的事件之后,许多德克萨斯州居民对ERCOT以及整个州在再次遭遇严寒时提供适当的公用设施失去信心也就不足为奇了。然而,电力公司因其垄断地位而在这些情况下占有优势。考虑一下,如果消费者还有其他合理的选择。他们会选择ERCOT吗?很可能不会。
另一方面,这场危机确实提升了带发电机的福特F-150混合动力卡车这一特殊产品的知名度和信任度。一些卡车车主用这种车为家里供电。当这些报道疯传后,福特要求受影响地区的经销商在需要时出借带有车载发电机的卡车。福特公司尤其是带发电机的F-150混合动。
从现实世界到数字世界
在考虑现实世界的情况时,往往更容易更好地理解信任,因为它更具体,也往往是我们最先体验到的。然而,数字领域的一些运营问题也会极大地影响信任度。一个常见的例子是美国一年中最大的购物日:黑色星期五。
黑色星期五问题
"黑色星期五"是美国感恩节假期后星期五的俗称。传统上,它是美国假日购物季的开始。许多实体零售商都会大张旗鼓地打折促销,并提早开门营业,有时甚至早至午夜,以激发人们的购物热情。2022年的"黑色星期五",亚马逊广告报告出现了数据质量问题,这意味着从"黑色星期五"下午到周日的某个时间段,广告主收到的数据都很糟糕。广告支出明显低于广告主的预期,但广告仍然成功投放。这意味着广告商无法准确了解自己花了多少钱。他们收集数据的唯一手段是亚马逊提供的系统,而该系统提供的数据不可信。这就不难理解为什么广告商对亚马逊的交付能力失去了一些信任。
当然,在美国一年中最大的购物日出现运营问题,可能会造成信任问题,从而对组织产生重大财务影响。COSTCO在感恩节当天开放销售,但却发生了长时间的网站故障,据估计公司为此损失了近1100万美元。虽然COSTCO因网站故障将促销活动延长到了周五,但很可能有一些消费者没有给零售商第二次机会,这意味着销售额的损失。虽然其他零售商可能会抓住机会,但顾客的不满会对企业的形象产生重大影响,损害企业的整体关系。从各种研究中收集的数据表明,不满意的顾客有91%的可能成为永久流失的顾客,而且会向9至15个人讲述导致不满意的经历。
勒索软件与政府
虽然我主要关注的是零售业,但DTEF适用于任何活跃在数字世界的组织。这包括政府。政府实体与客户和合作伙伴的关系与零售组织类似,但性质不同。政府组织涉及不同的信任因素。消费者可以选择去另一家零售商,但除非搬家,否则必须与居住地的政府互动。因此,如果一个城市政府的服务和能力因勒索软件攻击而突然瘫痪,你该去哪里交水费呢?
与得克萨斯州的严寒一样,服务何时恢复的不确定性会导致人们对政府实体(无论是市级、地区级还是国家级)的不信任与日俱增。对政府某一领域的不信任会导致对政府所有领域的不信任。虽然政府不会有收入损失等统计数据,但这种信任缺失会表现为缺乏参与、缺乏合作或人们完全离开该地区。勒索软件可能是政府需要应对的最严重的数字问题。例如,美国得克萨斯州达拉斯市遭受勒索软件攻击,许多市政服务遭遇了严重干扰或完全瘫痪。
该市所能做的最糟糕的事情就是实际上实施封锁政策,而这正是该市选择的做法。通过提供估算,即使这些估算必须更新以反映新信息,市政府也可以更好地维护选民对其的公共信任。这种缺乏透明度的做法加剧了因运营中断而产生的信任问题,居民们表示他们不知道"城市到底发生了什么"。
忽视运营,后果自负
对于任何企业来说,运营失败都会导致信任关系的丧失。物理和数字互动都是如此。在数字世界中,决定企业数字信任度的部分因素是其可靠性。可靠性问题会导致与企业有合作关系的客户另寻他处。这就是为什么DTEF将信任因素的重点放在运营能力、监控、可靠性和可持续性上。请记住,当我们谈论运营故障时,物理故障会对企业产生数字影响,尤其是在零售行业。举例来说,如果一家企业接受的订单无法发货,就会影响客户对该企业的信心。现实情况是,任何运营问题都会影响企业的数字可信度。因此,物理世界的警告同样适用于数字世界:忽视运营,后果自负。
编者注:本文出自ISACA Journal 2023年第5期。尾注略。文章内容仅代表作者本人观点。
作者:K. BRIAN KELLEY,CISA, CDPSE, CSPO, MCSE, SECURITY+,是一位专栏作家,主要关注Microsoft SQL Server和Windows安全。他目前是一名数据架构师和独立的基础设施/安全架构师。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员, 华侨银行信息安全和数字化风险经理。