Podle slovníků je důvěra „víra ve spolehlivost, pravdu nebo schopnosti někoho nebo něčeho“. Nejen z uvedené definice je tedy zřejmé, že základními rysy důvěry jsou zejména:
Důvěra vyjadřuje vždy vztah mezi dvěma subjekty (někdo věří někomu nebo něčemu). Každý vnímáme okolní svět jiným způsobem, a z toho přirozeně plyne i subjektivita každého takového vztahu – někdo prostě důvěřuje stejnému objektu více, někdo méně.
Získání důvěry je věc obvykle dlouhodobá. Získává se na základě vlastních zkušeností, osobních postojů, informací z více či méně důvěryhodných zdrojů a často pro ni platí známé přísloví „Těžce nabyl, lehce pozbyl“.
Čeština může být v některých případech záludná, takže všeobecně používaný pojem „digitální důvěra“ může svádět k výkladu, že důvěra má i jakousi „digitální variantu“. Přesnější označení by však mělo být spíše „důvěra v současném digitálním prostředí“ a takto je nadále potřeba tento pojem vnímat.
ISACA (Asociace pro audit a kontrolu informačních systémů) podrobněji definuje, že: „Digitální důvěra je přesvědčení o integritě vztahů, interakcí a transakcí mezi poskytovateli a spotřebiteli v příslušném digitálním ekosystému. Zahrnuje schopnost lidí, organizací, procesů, informací a technologií vytvářet a udržovat důvěryhodný digitální svět.“
Definice digitální důvěry
Základním předmětem definice digitální důvěry je tedy stále vztah, který obvykle vzniká na základě opakované nebo jednorázové interakce či transakce. Integrita se v této souvislosti nevnímá obvyklým pohledem řízení bezpečnosti, tj. jako zajištění pouze oprávněných změn, ale vztahuje se zejména k dodržování kodexu morálních hodnot, jedná se tedy o morální integritu.
Digitální důvěra zahrnuje nejen prostou víru nebo přesvědčení, že člověk bude jednat správně a efektivně, ale zaměřuje se i na vztahy v širším kontextu. Musí vzít v úvahu celý příslušný ekosystém, tj. lidi, procesy, technologie i vlastní organizaci – hodnotí se však obvykle pouze vztah mezi jedním dodavatelem a spotřebitelem.
→ Tip: Mohlo by vás zajímat, jak na bezpečné dodavatelské vztahy.
Je zřejmé, že zvláštní důraz je kladen na digitální charakter dnešních ekosystémů. V dnešní době celosvětové digitální transformace už lze těžko považovat za zdroj důvěry jen osobní kontakt s podáním ruky nebo důstojnost prostor banky. Jednoduše proto, že k takovým zdrojům se už prostě nedostaneme. Účet v bance můžeme založit vzdáleně, aniž bychom viděli jediného bankovního zaměstnance, transakce provádíme přes internetové bankovnictví z mobilního telefonu na cestě do práce. Těžiště zdrojů důvěry se přesouvá směrem k „virtualizovaným“ informacím ze sociálních sítí a informačních médií.
Stále více informací v době digitální transformace a přechodu od světa analogového ke světu digitálnímu vyžaduje vysoký stupeň důvěry v to, že se nebudou zneužívat – jak z pohledu zákonných předpisů, tak i z pohledu etického. Zároveň stále vzrůstá počet zpracovatelů těchto informací z oblasti státní i soukromé s potřebou vzbudit v odběrateli pocit důvěry ve své služby nebo produkty.
Mezi typy informací s potřebou vyšší míry důvěryhodnosti patří v současnosti zejména:
Potřeba důvěryhodnosti se potom automaticky přenáší z vlastních informací i na organizace, které tyto informace zpracovávají.
Výhody plynoucí z vybudované digitální důvěry ve vzájemném vztahu jsou oboustranné. Očekávání přínosů však závisí na roli v dodavatelském vztahu. Zájmem spotřebitele je především odebírat službu nebo produkt od poskytovatele, který ho přesvědčil o kvalitě, dostupnosti, bezpečnosti, soukromí, etice, transparentnosti, poctivosti či odolnosti svého zboží.
Cílem poskytovatele při budování digitální důvěry je na druhé straně zejména získání některé konkurenční výhody prostřednictvím:
Digitální důvěra – očekávání
Dá se říci, že informační bezpečnost tvoří celkem přirozeně nejvýznamnější základ pro řešení digitální důvěry. Zásadní je však pohled, kterým se na problém díváme. Zatímco informační bezpečnost je pohledem technickoorganizačním, digitální důvěra představuje spíš pohled obchodní.
Přístup s využitím více pohledů na jednotný model ostatně odpovídá i systémovému pojetí modelování složitých procesů reálného světa a běžně se využívá při řešení architektury složitých systémů – např. v metodice TOGAF apod.
Digitální důvěra a informační bezpečnost – pohledy
Jelikož některé oblasti požadavků na digitální důvěru jsou prakticky společné s informační bezpečností (odolnost, dostupnost, soukromí), lze si digitální důvěru představit zjednodušeně i jako rozšíření standardní informační bezpečnosti o „nadstavbové“ oblasti, jako je etika, transparentnost, poctivost, čestnost.
Digitální důvěra a informační bezpečnost – požadavky
Zdá se, že pro organizaci přináší řízení digitální důvěry skutečnou hodnotu bez ohledu na její občas poněkud obtížně postižitelný charakter. Pro praktické použití je však potřeba nějaký základ či rámec, ze kterého je možné vycházet. Organizace ISACA, která sdružuje profesionály v oblasti IT auditu a informační bezpečnosti, vypracovala a na konci roku 2022 i uvolnila první verzi rámce pro management digitální důvěry – DTEF (Digital Trust Ecosystem Framework).
DTEF poskytuje metodickou podporu digitální důvěry v celém ekosystému se zaměřením na vztahy mezi poskytovateli a spotřebiteli, zákazníky či uživateli. Tento rámec je navržen tak, aby podporoval organizaci jakéhokoliv typu a velikosti se zájmem o digitální důvěru. Vztahy digitální důvěry vznikají k organizacím, které svým zákazníkům prokázaly, že dokážou zajistit bezpečnost, soukromí a spolehlivost etickým způsobem v rámci svých produktů a komunikace.
Vlastní rámec DTEF je výsledkem důsledně systémového přístupu a ukazuje, jak se všechny části systému vzájemně ovlivňují. Pokud se některá část modelu změní, tato změna se rozšíří na další části modelu, což pravděpodobně povede ke změně i ostatních částí. Rámec tedy zahrnuje oblasti jako jsou integrita, bezpečnost, ochrana osobních údajů, odolnost, kvalita, spolehlivost apod.
DTEF – oblasti digitální důvěry
Metodickým základem DTEF je třídimenzionální prostorový model ve formě pyramidy, který tvoří čtyři prvky (uzly) a šest domén (vazby). Tři obvyklé prvky (lidé, procesy a technologie) doplňuje čtvrtý – organizace. Vazby mezi prvky potom definují DTEF domény, tj. cílové oblasti zájmu při hodnocení digitální důvěry. Domény tvoří kultura, architektura, lidský faktor, směrování/dohled, umožnění/podpora a vznik/vývoj emergence.
DTEF – model
Každou doménu doplňují a upřesňují tzv. faktory důvěry (Trust Factors), které jsou kritické pro plánování, implementaci a následné provozování DTEF, a zároveň jsou měřitelné.
DTEF – faktory důvěry
Kompletní hierarchii potom doplňují praktiky a aktivity, které poskytují pro organizaci praktická vodítka, co si představit pod mnohdy obecnými pojmy v reálném provozu organizace. Pro implementátory rámce DTEF budou též zajímavé vlastnosti aktivit, obsahující možné parametry pro měření (KPI, KRI) nebo identifikace vnitřních vazeb v modelu.
DTEF – hierarchie
Jak už bylo uvedeno – budování důvěry má dlouhodobý charakter. Pro úspěšný start a celkovou změnu v kvalitě řízení tohoto procesu je možné identifikovat následující souhrnná doporučení:
Pro změnu přístupu je nutné získat podporu vedení, stejně jako personál se schopností systémového přístupu a integrace se stávajícími procesy organizace. Zaměření se musí přesunout od čistě „výrobního“ pohledu k rozšíření o důvěryhodné vztahy se zákazníkem.
Úroveň cílové digitální důvěry musí vždy odpovídat konkrétním požadavkům a očekáváním – je však nutné jim v první řadě rozumět. Počáteční analýza požadavků a očekávání je tedy nezbytností.
Nedělejte věci formálně. Nezaškrtávejte políčka v dotazníku, ale přemýšlejte nad obsahem tak, abyste dělali správné věci správným způsobem a dosáhli vytyčeného cíle. Systémový přístup podpořte užitím standardů a frameworků – např. COBIT apod.
Jednou z nejvýznamnějších překážek může být neschopnost uživatele identifikovat legitimní a bezpečnou metodu interakce s dodavatelem. Možnosti komunikace tedy musí být zřejmé, jednoduché a jednoznačné. Musí např. existovat možnost přímého kontaktu s dodavatelem a ověření validity provedené transakce.
V případě výskytu informace s potenciálem narušení důvěry je důležité nastavit vhodná, pokud možno automatická upozornění, a být připraveni na rychlou reakci.
Organizace musí ukázat, že dostatečně řídí a monitoruje své vlastní procesy. Musí být pro zákazníka dostatečně průhledná a být schopna rychlé reakce na vzniklé problémy.
→ Tip: Přečtěte si, jak na kybernetickou bezpečnost z hlediska firemních procesů.
Překročení závazku z kontraktu nebo očekávání zákazníka je základem pro úspěšné budování dlouhodobé loajality a důvěry.
Závěrem se vraťme k otázce položené v úvodu tohoto článku – je digitální důvěra jen nový buzzword? Odpověď zní – jak pro koho, záleží na situaci. Nejen bezpečnostní manažeři vidí, že velkou část agendy spojenou s digitální důvěrou tvoří informační bezpečnost. Něco jiného je to však z pohledu rolí zajišťujících každodenní business organizace. V případě, že je organizace vysoce citlivá na chování zákazníků (např. bankovní instituce, automotive apod.), je pro ni efektivní budování a řízení digitální důvěry kritické už dnes a u těch ostatních bude s postupující digitální transformací dále jen vzrůstat.
Každopádně bychom tedy měli dál průběžně sledovat vývoj v této oblasti tak, abychom byli schopni na základě hodnocení vlastního prostředí rozumně, systémově a ve správný okamžik implementovat její nejpřínosnější principy pro organizaci.
