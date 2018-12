Digitaal vertrouwen is de maatstaf voor het vertrouwen van consumenten, partners en werknemers in het vermogen van een organisatie om gegevens en de privacy van individuen te beschermen en te beveiligen. Naarmate datalekken groter worden en vaker voorkomen, kan digitaal vertrouwen een waardevol goed zijn voor bedrijven die het verdienen, en dat begint de manier waarop het management naar beveiliging kijkt te veranderen.

Beveiliging wordt traditioneel gezien als een kostenpost. In de afgelopen jaren zijn bedrijven zich echter bewust geworden van het idee dat goede beveiliging een business enabler is die nieuwe diensten kan bevorderen en klantenbinding kan opbouwen. Een nieuw onderzoek van CA Technologies, uitgevoerd door Frost & Sullivan, bevestigt deze trend. De Global State of Online Digital Trust Survey and Index 2018 toont aan dat het serieus nemen van beveiliging en privacy een positieve financiële impact kan hebben die verder gaat dan het vermijden van kostbare lekken.

Consumenten met hoog digitaal vertrouwen besteden meer

"Vertrouwen is een van de dingen die in het hele bedrijf doordringen", zegt Stephen Walsh, securitydirecteur voor Noord-Europa bij CA. "Het is de basis van de business en zonder die basis zullen organisaties moeite hebben om hun bestaande klanten te behouden, nieuwe klanten te winnen of nieuwe markten te betreden."

Wat is de rol van de CSO bij het opbouwen van vertrouwen en hoe ga je vertrouwen met je organisatie opbouwen? Het CA-rapport levert gegevens om die vraag te helpen beantwoorden. Het onderzocht consumenten, beveiligingsprofessionals en directeuren om voor elke groep een digitale vertrouwensindex op te stellen.

Op een schaal van 1 tot 100 scoorden de consumenten hun betrouwbaarheidsniveau op 61, een "nauwelijks voldoende" volgens het rapport. Beveiligingsprofessionals en directeuren hadden aanzienlijk hogere indexen van respectievelijk 75 en 74. Belangrijker nog is dat uit het onderzoek bleek dat consumenten met een hoog niveau van digitaal vertrouwen meer uitgeven, met 57 procent meer online uitgaven in de afgelopen 12 maanden tegenover 43 procent voor consumenten met een laag vertrouwen.

Veiligheid boven gemak

Volgens het CA-rapport beschouwt 27 procent van de directeuren veiligheidsinitiatieven als een negatief rendement (ROI). De meeste klanten in het rapport (86 procent) zeiden echter dat ze de voorkeur zouden geven aan veiligheid boven gemak, en hoe meer vertrouwen er in een bedrijf wordt gesteld, hoe meer geld ze bereid zouden zijn uit te geven bij die organisatie.

Achtenzeventig procent van de ondervraagden in het rapport antwoordde dat het zeer belangrijk of cruciaal is dat hun persoonlijk identificeerbare informatie (PII) online wordt beschermd. Bij de keuze voor een online dienst gaf 86 procent aan dat een hoog niveau van gegevensbescherming een prioriteit is. De resultaten wijzen duidelijk op een groeiend besef dat digitale gegevens belangrijk zijn en het vermogen van een organisatie om deze op een verantwoorde manier te beschermen heeft een direct effect op de verkoop en het behoud en de acquisitie van klanten.

"Heel wat mensen in het verleden hebben beveiliging in het verleden gezien als een soort van moetje, iets wat je niet onderuit kan," zegt Walsh. "Hoe meer directies security zien als een enabler en een manier om nieuwe klanten en nieuwe business te verwerven, des te beter we met zijn allen af zijn", aldus Walsh.

De digitale vertrouwenskloof

Zelfs als bedrijven de waarde van vertrouwen begrijpen, overschatten veel bedrijven simpelweg hun eigen positie in de ogen van hun klanten en hoe ze zich verhouden tot de concurrentie. Het rapport schetst een gemiddelde van een 14-puntsgat tussen het niveau van vertrouwen dat klanten hebben in de vraag of organisaties op de juiste manier omgaan met persoonlijke gegevens in vergelijking met hoeveel organisaties denken dat ze vertrouwd worden. Het rapport beweert dat dit illustreert hoe "gevaarlijk contactloos" organisaties met hun klanten zijn.

Slechts een derde van de klanten zegt dat hun vertrouwen in organisaties de afgelopen twee jaar is toegenomen, vergeleken met de 84 procent van de directeuren die geloven dat het vertrouwen is toegenomen. Negentig procent van die directeuren zegt dat ze zeer goed of uitstekend zijn in het beschermen van klantgegevens, en 93 procent zegt dat het een differentiator is ten opzichte van de concurrentie.

Gezien het aantal organisaties dat een datalek in het onderzoek heeft toegegeven, kloppen die cijfers niet met elkaar. Walsh: "Dat valse gevoel van veiligheid vind ik uiterst gevaarlijk voor een organisatie," zegt Walsh. "Het is een gevaarlijke valkuil om in te vallen; beveiliging is niet alleen een afvinkoefening en het evoluerende dreigingslandschap laat ons zien dat alleen omdat je dit jaar veilig bent, het niet betekent dat er volgend jaar niets anders gaat gebeuren."

De kosten van het verlies van vertrouwen

Ook de kosten van het verlies van vertrouwen kunnen groot zijn. De helft van de in het rapport onderzochte organisaties gaf toe betrokken te zijn geweest bij een openbaar gemaakt datalek, en bijna alle organisaties vonden dat de inbreuk op lange termijn een negatieve impact had op hun inkomsten en op het consumentenvertrouwen. Aan de klantzijde zei de helft van de klanten dat ze stopten met het gebruik van de diensten van een bedrijf als het betrokken was bij een inbreuk en in plaats daarvan verhuisden naar een concurrent.

"Als klanten organisaties zien die die beveiliging niet op orde hebben, gaan ze met hun portemonnee stemmen en gaan ze ergens anders heen waar ze dat gevoel van veiligheid hebben en dat digitale vertrouwen opbouwen", zegt Walsh. "Als je er twee keer over nadenkt, betekent dit waarschijnlijk dat je de klant bent kwijtgeraakt omdat hij of zij ergens anders heen gaat. Als klanten de perceptie hebben dat je je best doet om hun gegevens, activa, geld, wat het ook is, veilig te houden, dan bouw je vertrouwen op. De andere kant van de medaille is dat het soms maar één lek of beveiligingsprobleem kan zijn om het vertrouwen te verliezen dat u in de loop van een aantal jaren bij uw klanten hebt opgebouwd".

De rol van de CSO bij het opbouwen van vertrouwen

Hoewel vertrouwen op het eerste gezicht een veiligheidsprobleem lijkt en dus volledig onder de bevoegdheid van de CSO valt, is de realiteit genuanceerder. Vertrouwen opbouwen gaat niet alleen over het nemen van de juiste beveiligingsbeslissingen; het gaat over het communiceren van die beslissingen met klanten, zodat zij kunnen zien en begrijpen hoe u hun gegevens beschermt.

"Iedereen in de directie - of het nu gaat om marketing of financiën - zou geïnteresseerd moeten zijn in en zich verantwoordelijk voelen voor het gezamenlijk veiligstellen en opbouwen van dat vertrouwen tussen jou als bedrijf en jouw klantenbestand," zegt Walsh. In plaats van een bijzaak, vindt hij dat veiligheid en vertrouwen veel meer in de voorhoede van klantenwerving en klantenbinding moeten staan. Hij begint nu al te zien hoe beveiligingsprogramma's worden uitgevoerd en gefinancierd buiten de CSO-functie om.

"In sommige organisaties is marketing of klantenwerving betrokken geweest bij het vergroten van de veiligheidshouding, en ook de messaging daarvan, en het in staat stellen van klanten om die nieuwe beveiligingsmethodiek te gebruiken," zegt Walsh. "Is het aan de CSO om te implementeren? Ze zijn de juiste functie om dat te doen, maar in termen van een bredere holistische visie zou het de CEO moeten zijn, en van hem helemaal naar beneden", aldus Walsh.

Terwijl de CEO het voortouw moet nemen, moet de CSO direct betrokken zijn bij vertrouwensopbouwende initiatieven en in constante communicatie met andere functies om ervoor te zorgen dat het bedrijf consistent is in de manier waarop het werkt en communiceert.

Hoe bouw je vertrouwen op met klanten?

Vertrouwen opbouwen is geen eenvoudige taak. Naast het uitvoeren van de normale beveiligingstaken van het implementeren van de juiste technologieën en processen om een goede veiligheidshouding te waarborgen, moeten organisaties communiceren. "Een deel hiervan gaat over messaging, maar als je dat vertrouwen in je messaging opbouwt en het vervolgens niet doet, zal dat vertrouwen verdwijnen", zegt Walsh.

Om vertrouwen op te bouwen, zegt hij dat organisaties vooraf en transparant moeten zijn naar hun klanten. Ze moeten duidelijk uitleggen wat ze met gegevens doen en waarom, duidelijk zijn welke gegevens worden verzameld en waarvoor ze worden gebruikt, en uitleggen welke beveiligingsstappen en -processen er zijn om ervoor te zorgen dat ze veilig blijven.

Het gebruik van multifactor authenticatie (MFA) is bijvoorbeeld een goede beveiligingspraktijk, maar communiceren waarom een klant wordt gevraagd om extra authenticatie te verstrekken tijdens een transactie of proces helpt om dat vertrouwen op te bouwen. "Het is belangrijk dat een bedrijf zijn klanten laat zien waarom ze extra lagen van beveiliging aanbrengen; zeg 'we doen dit omdat' in plaats van 'we doen dit'.

De Algemene Gegevensbeschermingsverordening van de Europese Unie (GDPR) is in mei 2018 in werking getreden. Uit veel studies blijkt dat bedrijven binnen en buiten de EU nog niet volledig aan de verordening voldoen. Als GDPR echter serieus wordt genomen, is het een kans om vertrouwen met klanten op te bouwen en veiligheid en privacy tot een belangrijk thema aan de hoofdtafel van het bedrijf te maken.

"GDPR is een duidelijke kans voor organisaties; bedrijven die security serieus nemen, zijn de bedrijven die het vertrouwen van de consument of B2B opbouwen en daadwerkelijk vooruitgang boeken", aldus Walsh. "Terwijl de mensen voor het laagste hangende fruit gaan, en als ze weten dat het enige wat je doet is GDPR behandelen als een aanvinkvakje, ben je misschien kwetsbaarder dan andere mensen die dit serieus nemen."

10 best practices om digitaal vertrouwen op te bouwen

Eind oktober heeft dienstverleningsbedrijf PwC zijn rapport Digital Trust Insights uitgebracht, gebaseerd op een onderzoek onder 3.000 topmanagers wereldwijd. Op basis van die gegevens heeft PwC de volgende tien mogelijkheden voor organisaties samengesteld om risico's te beheren, te voldoen aan de privacyregels en vertrouwen op te bouwen in een digitale bedrijfsomgeving.

1. Schakel beveiligingsexperts in bij het begin van digitale transformatieprojecten

Hoewel meer dan 90 procent van de respondenten met digitale transformatieprojecten ook belanghebbenden op het gebied van beveiliging of privacy omvat, was slechts 53 procent van hen er van meet af aan erbij betrokken. In het rapport wordt een veiligheids- en privacy by design-benadering van digitale transformatie aanbevolen, onder verwijzing naar het feit dat de "wildgroei aan connectiviteit tussen persoonlijke apparaten, overheden, bedrijven en industriële apparatuur de exponentiële groei van cyber- en privacyrisico's in de hand werkt".

2. Upgraden van talent en leiderschapsteams

Uit het onderzoek van PwC is gebleken dat de meeste bedrijven niet volledig vertrouwen hebben in hun beveiligings- en privacypersoneel. Slechts 38 procent zei dat ze "zeer comfortabel" waren met de toereikendheid van deze teams. In het rapport wordt aanbevolen om een organisatorische risicobeoordeling uit te voeren rond talent en lacunes in vaardigheden, en om de juiste mensen in duidelijk omschreven rollen op het gebied van cyberbeveiliging, privacy en data-ethiek te plaatsen.

3. Het bewustzijn en de verantwoordingsplicht van het personeelsbestand rond cyberbeveiliging en privacy verhogen

Slechts 34 procent van de respondenten gaf aan dat ze een bewustwordingsprogramma voor beveiliging van werknemers hadden. Het rapport moedigt bedrijven aan om prioriteit te geven aan de bewustwording van werknemers op het gebied van veiligheid en privacy en hoe zij de bedrijfsdoelstellingen kunnen beïnvloeden. Deze inspanningen moeten gepaard gaan met een duidelijk beleid inzake gegevensbeheer en toegang tot IT-middelen.

4. Verbeter de communicatie en betrokkenheid met de raden van bestuur

Hoewel de meeste respondenten zeggen dat hun raden van bestuur op de hoogte zijn van de strategieën voor cyber- en privacyrisico's, was slechts 27 procent van mening dat de raden van bestuur over voldoende rapportage over de meetgegevens op beide gebieden beschikten. PwC raadt organisaties aan om de soorten maatregelen te identificeren die verkrijgbaar zijn en nu kunnen worden gemeten. Zorg ervoor dat deze metrieken inspelen op de behoeften van de stakeholders. Communiceer duidelijk naar de raad van bestuur over alle externe factoren die van invloed kunnen zijn op de veiligheid of het privacyrisico.

5. Beveiliging koppelen aan bedrijfsdoelstellingen

Uit het onderzoek is gebleken dat de bedrijfsdoelstellingen en de informatiebeveiligingsstrategie losgekoppeld zijn van elkaar. Slechts 23 procent van de respondenten gaf aan dat ze van plan zijn te investeren in het op één lijn brengen van de twee. PwC gelooft dat organisaties zaken en veiligheid op één lijn kunnen brengen door cybersecurity in te bedden in nieuwe producten of diensten, door het uitvoeren van risico- en regelgevingsbeoordelingen, het uitvoeren van framework assessments voor cybersecurity, en verfrissende cybersecuritystrategieën en -plannen.

6. Bouwen aan duurzaam vertrouwen rond gegevens

Van alle bedrijven met een waarde van 100 miljoen dollar of meer investeert volgens het onderzoek slechts ongeveer de helft aanzienlijk in data governance. Slechts 40 procent van de respondenten is "zeer comfortabel" en heeft hun meest waardevolle en gevoelige data assets geïdentificeerd. Het rapport beveelt aan datagovernanceprogramma's te implementeren die rekening houden met zowel de waarde als de gevoeligheid van de gegevens. Het stelt ook voor om de risico's gedurende de gehele levenscyclus van de gegevens te beheren.

7. Verhoog de veerkracht van cyberspace

Minder dan de helft van de middelgrote tot grote bedrijven zei dat ze veerkracht ten opzichte van cyberattacks en andere ontwrichtende gebeurtenissen aan het opbouwen waren. Slechts ongeveer de helft van hen is ervan overtuigd dat de veerkracht voldoende is getest. Om veerkrachtig te worden is inzicht nodig in de risicobereidheid van het bedrijf rond de kernprocessen van het bedrijf. Het rapport stelt voor om de verschillende opvattingen over risico's te nemen die elke belangrijke stakeholder (CEO, CFO, CIO, enz.) zou kunnen hebben. Het beveelt ook aan om het evoluerende dreigingslandschap en de aanwezige technologische infrastructuur in de gaten te houden om een hoge beschikbaarheid, disaster recovery en gegevensintegriteit mogelijk te maken.

8. Ken uw vijanden

Elke organisatie moet weten waar hun meest waarschijnlijke bedreigingen vandaan komen. Volgens het onderzoek maken financiële dienstverleners zich meer zorgen over door staten ondersteunde hackers (33 procent), consumentgerichte bedrijven zien allerlei soorten cybercriminelen als een belangrijke bedreiging (50 procent). Slechts 31 procent van de respondenten gaf echter aan ervan overtuigd te zijn dat zij hebben vastgesteld welke partijen hun digitale assets zouden kunnen aanvallen. PwC raadt aan om op de hoogte te blijven van rapporten met informatie over bedreigingen en om uw risico's en bedreigingslandschap te bestuderen in de context van die informatie.

9. Wees proactief in compliance

Het is een grote uitdaging om op de hoogte te blijven en te voldoen aan alle wereldwijde privacy- en gegevensbeschermingsvoorschriften. Eenenveertig procent van de respondenten zei dat het een uitdaging was om op de hoogte te zijn van de regelgeving die op hen van toepassing is. Het rapport benadrukt de noodzaak om zich te concentreren op de bewustwording van nieuwe wetgeving. Het beveelt ook aan dat bedrijven een geïntegreerde benadering van compliance hanteren in plaats van een silo-benadering, wat betekent dat bedrijven moeten werken volgens de hoogste regelgevende norm in alle rechtsgebieden waarin ze actief zijn.

10. Houd gelijke tred met innovatie

Nieuwe technologie creëert nieuwe risico's. Met IoT bijvoorbeeld, was slechts 39 procent van de respondenten ervan overtuigd dat ze over voldoende "digitale vertrouwens"-controles beschikten om de veiligheid, privacy en data-ethiek te beheren. PwC adviseert de organisatie prioriteit te geven aan de ontwikkeling van digitale vertrouwenscontroles. Bedrijven moeten ook op de hoogte blijven van veiligheidsonderzoek rond nieuwere technologieën zoals IoT en kunstmatige intelligentie.