零信任时代，你可能还需要一个首席信任官 (CTrO)

数字化转型和敏捷化是一柄双刃剑，给企业带来活力和竞争力的同时，也带来了更多安全风险和威胁，以及随之而来的信任危机。

最近一段时间，科技企业似乎陷入了信任荒，隐私违规问题、大规模数据泄露事件、黑客 APT 攻击、互联网的武器化和政治化、基于人工智能深度伪造的新型网络欺诈社会工程和钓鱼攻击、甚至安全技术自身的漏洞、后门和快发霉的安全债。别怪我们没提醒你，五年前的心脏流血漏洞还在滴血。

在这个去全球化和去中心化的 “水逆” 时代，科技企业和传统企业需要面信任危机的集体爆发，而新官上任的 CISO 们，很可能被扣上一顶名为 CTrO 的帽子送上战斗前线。

道德红利与信任经济

CEO 们相信在数字时代，与利益相关者建立和保持信任对取得成功至关重要。普华永道在其第 21 届全球首席执行官调查中发现，全球有 87% 的 CEO 表示，为了与客户建立信任，他们正在投资网络安全。

信任正在成为市场上的一个差异化竞争要素。

普华永道 (PwC) 网络安全和隐私业务主管 Shawn Connors 表示：对于那些以合乎道德的方式使用数据、保护数据并以应有的方式管理数据的企业来说，这将带来实质性的竞争优势。

培养数字信任对于很多人而言可能是一场斗争。

《2018年数字化转型指数》(Digital Transformation Index) 调查了来自 40 多个国家的 4600 名商业领袖，发现 49％ 的人 “担心他们的组织机构将在5年内不值得信赖”。

你还需要一个CTrO首席信任官

设置首席信任官 (CTrO) 可能是解决问题的一种方式。设置该职位的缘由，是要认识到首席信息安全官 (CISO) 的角色在不断发展进化。公司企业需要的不是满口技术威胁的经理，而是专注在公司内部和企业生态环境中营造信任的经理。CTrO 应确保利益相关者有合适的工具集和系统可用。

这种想法并不新鲜：Tom Patterson 和 Bob West 早在五年前就被分别任命为 Unisys 和 CipherCloud 的 CTrO；Bill Burns 也在 Informatica 的这个职位上干了三年以上。Burns 原本是 Informatica 的 CISO，推到 CTrO 的职位上为了增加透明性和提升整体安全和沟通。

不过，了解该职位的人依然不多：在 Glassdoor 和 Indeed 等招聘网站上搜索该职位找不到几条招聘信息。或许，CTrO 更像是一种内部晋升，而不是从公司外招聘。一个有趣的事实是，上面提到的所有例子都出自于技术领域。这是否说明我们 IT 人更早意识到这个问题，或者仅仅表明我们更会做表面文章？

信任和风控是硬币的两面

已为安全初创公司 Evernym 实际担任 CTrO 三年之久的 Drummond Reed 称：

我们有意设置了这个职位，因为很多公司已经拥有了首席安全官、首席身份官和首席隐私官。但这三个职位的核心都是建立并支持信任。对于我们这种帮助公司企业和个人通过自主身份和可验证数字证书实现信任的公司而言，将这三个职能整合进首席信息官是很有意义的。

至于说表面文章，Reed 指出了重要的一点：该职位不能是张空头支票，需要有实权，而且必须不仅仅是拥有一个技术经理那种程度上的实权。CTrO 需了解企业的性质，明白公司需遵从哪些法律规定和策略才可以赢得客户、合作伙伴、雇员和其他利益相关者的信任。Reed 建议：这更像是在自身业务相当依赖信任的企业环境中，提升身份、安全和隐私的重要性。

RSA 总裁 Rohit Ghai 也常谈及信任。企业应 “营造信任；而非根除威胁。推进数字健康；而非扑灭数字病灶。” CTrO 在日常工作中最好也谨记这一点。Ghai 将信任作为风险的反面。

我们可以通过交付价值和减少风险来增强信任。

他说这句话的意思可不仅仅是管理新的数字风险，而是所有类型的风险。

除了招聘 CTrO，或许我们也是时候更加关注实现和促进信任了。为此，我们不妨开始将数字信任当做一种不可再生资源。就像能源保护主义者倡导多使用可再生能源一样，在推动更好的信任维护技术上，我们也应如此。这包括更好的身份验证、更好的红队防御策略，以及更好的网络治理和风险管理。时间紧迫，趁早开始。