零售商和面向消费者的公司是否可以优化网络安全性和用户隐私，同时还可以实现大规模定制？麦肯锡最近的一篇文章说，这个问题的答案是“是” 。 

由于近年来声誉受损的网络攻击的持续增长，网络安全主题已逐渐成为企业组织的首要任务。传统上，许多组织都难以量化隐私和网络安全计划的潜在投资回报。但是从GDPR到《加州消费者隐私法》的立法都改变了这一点。麦肯锡专家助理合伙人马克·索雷尔（Marc Sorel）表示：“突然，违规现象附有美元价值。” 

随着消费者可变的隐私阈值，互联家庭和面向消费者的物联网技术的激增使事情变得更加复杂。但是，总的来说，消费者数据组织收集的越多，就声誉和可能的罚款而言，失误的潜在成本就越高。成为安全和隐私领导者的组织切实降低了业务风险，同时潜在地提高了消费者忠诚度。 

在下面的问答中，Sorel分享了为何拥有消费品牌的领先零售商和组织可以看到其隐私和网络安全计划对其底线产生积极影响的原因。 

那些优先考虑网络安全和用户隐私的公司如何看到财务收益的例子有哪些？ 

Sorel：对公司而言，存在真正的法律和财务利益，这些利益可能会流向利润底线，并对价值创造产生重大影响。例如，拥有良好网络卫生习惯的组织可以与网络保险公司进行建设性讨论，以降低其网络保险费。 

例如，拥有更安全的地理空间地图应用程序的组织可以与客户群真正区别开来，该客户群非常关注要收集和使用的数据的完整性。地理空间制图数据也受到民族国家和最先进的攻击者的极大兴趣。因此，简而言之，我想说网络安全和隐私可以成为差异化的源泉，无论是声誉，运营，法律还是财务方面，它们都有许多方式可以成为差异化的源泉。

将网络安全和隐私视为竞争差异的源泉，GDPR和CCPA等法规在推动这一思想方面有多大作用？

Sorel：我认为，对于将网络安全和隐私视为关注的头条新闻而日益成为企业差异化趋势的整体趋势而言，立法是主要趋势。

在最坏的情况下，违反法律的企业的GDPR占全球年度公司收入的4％。同样，美国每个州都有违规通知法，这意味着，如果您在一定时期内被违规，则必须向该州的违规通知机构报告，否则可能面临罚款或更严重的风险。最重要的是，有《纽约州金融服务部网络安全法规》 [23 NYCRR 500]，该法规对纽约市或纽约州有业务的任何金融机构的网络安全合规性进行监管。这样的法律既可以在其地区范围内使用，也可以在其州，国家或地区之外使用。它们对企业思考隐私和安全重要性的方式产生了实际影响。 

中国网络安全法中有几项新规定[也适用]。

文章“ 消费者数据隐私和大规模个性化 ”建议市场营销团队密切参与消费者数据隐私计划。您可以分享更多有关该转变的信息吗？ 

Sorel：我认为许多消费者，零售和酒店业机构都在考虑如何解决消费者数据隐私问题，同时保留数字营销，搜索引擎优化等的好处和价值。 

在许多情况下，核心问题是：“我如何避免违反现有的监管制度，同时又保持我收集的数据的最小可行完整性，以提高商业价值和洞察力？ ' 在许多情况下，这就是所有这些机构都试图达到的平衡。 

关于如何处理收集的数据，收集的数据以及向消费者发出的[通知]类型，这部分是一个获利的答案。其中一部分是技术上的答案。您必须弄清楚如何拼接，屏蔽和以其他方式掩盖数据，这些数据总体上可能以侵犯个人隐私的方式揭示一个人的身份方面。如果他们不同意共享该数据，则尤其如此。因此，这特别影响到再营销作为消费者参与度的一部分，以及如何使用从SEO收集的网站中的数据有效地进行再营销以将流量吸引到其他地方-尤其是在用户可能不总是知道正在收集数据和用于这些目的。

那么，由于必须遵守法律，您又该如何以仍然允许您保留数据的足够完整性以推动商业投入的方式来改变这种情况？ 

越来越多的组织开始分配责任，例如网络安全冠军或安全和隐私大使。商业信息安全和隐私官的作用也正在逐渐显现。您能否分享对这些趋势的看法？ 

Sorel：我首先要说的是，实际上大使与冠军没有什么不同。这意味着要成为组织中可能没有将安全和隐私作为公司日常工作的某人。但是此人对该主题充满热情-或[隐私或网络安全]对他们的工作足够重要-他们比其他员工有理由和场合更了解该主题，资源和最佳实践。通过这些，他们成为组织中这些实践的倡导者。 

就业务信息安全和隐私官的角色而言，让某人坐在网络安全功能和业务交汇处的想法并不是特别新。它可能处于采用的初期，但并不是特别新。业务信息安全和隐私官角色的价值是充当网络安全功能和业务之间的双向通道。这不仅是为了确保业务满足企业对网络安全功能的要求，而且还随着业务的发展，业务会看到有关这些网络安全要求的反馈，这些反馈被反馈到新策略和控件的更新和修订以及重新部署中和功能，以推动业务发展。 

这就是该角色在企业中的价值。我认为我们今天看到的更多是企业中单个角色的安全和隐私职责的融合。从风险的角度来看，特别是在技术方面，他们倾向于以相同的方式吸引很多相同的人。当然，正如我们前面提到的，两者之间的监管差异很重要，但对于企业的日常运营而言，基于风险的方法的核心要素非常相似。而Bispo的作用是下一代，坐在在路口的作用。您几乎可以称其为技术风险功能，其中包括安全性和隐私以及业务本身。

文章“ 大规模的消费者数据隐私和个性化 ”建议将安全性和隐私性纳入企业分析中。您能总结一下为什么这很重要吗？ 

Sorel：这取决于您要解决的分析问题类型。 

当您尝试建立分析功能时，要了解的第一件事是确保将安全性和隐私性纳入其中。通常，您正在使用基于用例的方法来分析建筑物的分析功能。在真正开始使用或构建它之前，您必须清楚并统一用于管理访问，管理通过它运行的数据，管理输出的策略和控件集。它生成这些输出并执行这些输出的用途。然后，确保您已确定需要扩展现有堆栈中的哪些成熟度功能，以及在对基础结构体系结构进行更改的情况下可能需要哪些增量功能。 

我要说的最后一件事是，从流程的角度来看，至关重要的是，确保您最好从业务和技术方面都建立正确的治理委员会。委员会应定期召集会议，并就如何处理您所遇到的问题做出决策。无论您计划得如何好，大多数分析项目的本质都是它们很复杂，并且在执行过程中可能会出现[无法预料]所有安全和隐私问题。

鉴于当时对数字分类帐技术的兴趣激增，将消费者数据标记化的概念在去年受到了广泛关注。您认为令牌化对消费者数据起什么作用？

Sorel：令牌化（Tokenization）只是对数据点进行加密的一种方式，这样一来就不会再进行解密了。它最终是一个非常可靠且安全的通道，用于将数据从发送方传输到接收方。如今，令牌化已在金融服务中大量使用，尤其是在支付中，但在其他地方并没有真正大规模使用，尽管支付会影响零售和消费领域-您让消费者使用信用卡进行支付的任何行业。同样，令牌化可以在发生B2B付款的企业B2B上下文中进行。 

因此，令牌化是用于交易的。尚未扩展到消费者数据。这就是我们获得的机会。现在还很早。我要说，它还没有被大规模采用。 

我认为对于其他类型的遮罩，[我们正在看到]类似的故事。它主要与最近才意识到必须进行这种类型的掩盖有关[或]最近通过的法规和要求的后果，这些法规和要求用于谨慎处理消费者数据并以符合现有安全性和隐私期望的方式进行监管制度以及消费者的偏好。 

总而言之，关于组织如何通过优先考虑隐私和安全措施来提高其在客户中的地位的最终建议？

Sorel：几个行业的许多机构都在努力确保安全的客户体验。我们从客户那里知道，我们已经服务过，您可以通过改善客户在公司的安全体验来提高公司的净促销员得分。在金融服务业中尤其如此。但是，在任何具有点击身份验证或其他类型的安全协议的地方，尤其如此。 

那么，有效和领先的客户体验实践是什么样的呢？这是关于授权用户通过他们喜欢的媒介和手段来设置他们想要遵循的验证标准的全部内容。您需要确保以相对可点击且省力的方式进行操作。因此，从策略上讲，这通常意味着[在消费者首次与企业互动时为其提供明确的选择]。关键是他们可以如何设置自己的喜好有很多不同的选择，而且还可以提供有关他们可能想要选择的内容的持续观点，以使他们能够控制自己的体验。通常，当消费者拥有这种控制权时，他们最终会获得更好的体验，从而带来相对更好的客户体验所带来的所有其他美好事物。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• PCI 合规变得简单：5 种可以提供帮助的技术

• SaaS产品的数据安全解决方案

• 支付型HSM：支付安全的未来

• 保护您的企业数据免受即将到来的网络风暴的影响