2014年,在全球范围内有超过10亿条记 录被泄露,比上一年度增长78%
持续存在的防范挑战
从网络威胁、数据泄露、社交媒体骗局,到手机入侵,欺诈行为肆意横行、蔓延迅速。将安全漏洞称为重大问题毫不为过。入侵者在盗取敏感客户数据的过程中变得更迅速、更聪明、更机警——而且全无减速迹象。2014年,在全球范围内有超过10亿条记录被泄露,比上一年度增长78%。1组织机构常常面临比行骗者先行一步,以保护客户信息、公司品牌形象和财政收入的挑战。认为有哪个机构会免于攻击是不切实际的想法。有一个事实清晰明确:欺诈攻击将继续成为商界的常态,而企业需要对此做好准备。
作为全渠道客户体验领域的全球领导品牌,安全被Teleperformance互联企信视作关键事项。为我们的客户、 客户的客户以及我们的员工提供高度安全的环境是第一要务,因此我们确保提供领先市场的创新安全解决方案。不断增长、无处不在的数据安全领域威胁充分说明维护安全人人有责,持续主动的防范应当成为每家企业 文化的一部分。
本报告从全球视角分析近期的数据泄露环境,并分享Teleperformance互联企信如何凭借由世界级战略、 流程和技术支撑的强大信息安全系统引领行业发展。通过运用能够有助防范泄露并预判潜在威胁的战略,Teleperformance互联企信不断提高其安全措施水平。
安全泄露代价高昂
根据2014年一项覆盖10个国家314家企业的全球数据泄露研究结果,数据泄露的平均总成本损失比上一年度增长15%,高达350万美元。通过详细分析研究结果,泄露行为造成的平均业务成本损失在各国间存在很大差异(见图1),其中美国最高,为330万美元;而印度最低,为252,876美元。这些成本包括非正常客户流失、增长的客户获取活动、信誉损失以及商誉弱 化。2成本差异可归因于各国数据保护法规的变化以及针对公司进行的攻击类型。
“数据泄露的平均总成本损失比上一年度增长15%。”—波耐蒙研究所>
此外,如图2所示,一些严格受监管的行业——医疗保健(359美元)、教育(294美元)、制药(227美元)和金融服务(206美元)——人均数据泄露成本损失明显高于排名最低的行业:公 共(100美元)和零售(105美元)。
图2:按行业分类的人均成本损失 (波耐蒙研究所,《2014年波耐蒙数据泄露成本研究》)(Ponemon Institute,“2014PonemonCost of DataBreachStudy”)
由美国注册舞弊审查师协会(ACFE)开展的一项全球职业舞弊研究证明,一些泄露事件的发 生归因于薄弱的内控措施(见图3)。此项研究基于注册舞弊审查师调查的1,483起职业舞弊案件。研究表明,“相比缺乏常见反舞弊控制措施的机构,已实施几种反舞弊管控措施的受害机构,其发生舞弊事件的损失明显更低且在更短时间内被侦查。”此外,安全泄露事件的蔓延及 其数量和成本的增长也表明采取主动侦察和防范措施迫在眉睫。
互联企信的安全与欺诈防范措施“五大支柱”
互联企信安全与欺诈防范项目重点着力于尽可能预防欺诈,并在无法预防时及早侦查欺诈行为。自引入欺诈风险评估以来,该项目日趋成熟,并加入持续监测和审计环节,旨在将风险降至最低,同时按照欺诈风险处理计划提高合规性。我们依照“五大支柱”规划与进行该项目,这些支柱构成一个综合主动的欺诈防范方法框架:
1-训练有素的人员
成功有效的安全战略的基本面之一是招聘和甄选适合的人员。Teleperformance互联企信作为一家“以人为本的企业”,其 人力资源团队在管理公司最宝贵资产——人力方面扮演重要角色。Teleperformance互联企信的人力资源专家运用按步 走的方式招聘新人,该方法包括对所有员工的背景调查,细至前任雇主、犯罪记录以及当地法律允许的所有检查,例如药 物测试。除了从安全角度筛选员工,聘用过程还采用分析性解决方案,运用预测模型提供招聘评分。该评分是适合职位 匹配的参考指标,由此降低本地以及全球运营的人才流失及招聘成本,同时提高业绩表现,并有助于做出更好的招聘决策。此外,Teleperformance互联企信还与各个客户合作,根 据客户要求与项目需要,创建定制化的招聘计划。
安全培训
一旦被录用,团队成员将接受全面培训,提高数据安全意识与水平。培训包括安全培训、清晰沟通、持证安全团队以及全球 安全手册等各方面。每位员工均需接受入职培训,其中一个板块是向员工传播企业安全政策与程序教育。除此之外,其他培训模块还包括针对欺诈防范以及处理数字、纸质和口头形式的敏感客户信息 和财务数据的正当程序。
清晰沟通
我们针对严格安全事件进行持续、清晰的沟通,由此倡导保 护与安全文化。从识别证到屏幕保护以及宣传海报、安全标识和语言处处可见,提醒员工勿忘欺诈防范的高度标准与意 识。此类内部活动将安全置于联络中心所有活动的首位,并培养强有力的安全文化。根据注册舞弊审查师协会的报告,防范员工欺诈的最佳方法是,将侦查欺诈行为的现有管控措 施、被抓的可能性与后果告知员工(与潜在犯罪者)。
持证安全团队
Teleperformance互联企信全球安全团队的重要特点之一是团队的安全分析师、安全顾问、风险顾问、合规专员以及审计 师均获得各类认证证书,包括幕截图、照片和视频进行全面描述和说明。虚拟漫游视频可让员工一览部分Teleperformance互联企信水准一流的分支 机构。
2-尖端前沿的技术Teleperformance互联企信投资尖端工具与技术,为客户及其客户提供卓越、安全、可靠、高效的客户体验。企业的专利技术与工具帮助合作伙伴节省更新或更换陈旧IT基础设施的 相关成本。众多行业,例如信用卡、银行和电子商务,针对安全、消费者欺诈防范与保护以及身份盗窃,实行严格的法律法规。外包合作关系能够让企业了解最新发展动向与安全要 求,为他们省下技术与系统升级所需的无止境的高昂投资。 一旦被录用,团队成员将接受全面培训,提高数据安全意识与水平。培训包括安全培训、清晰沟通、持证安全团队以及全球 安全手册等各方面。每位员工均需接受入职培训,其中一个板块是向员工传播企业安全政策与程序教育。除此之外,其他培训模块还包括针对欺诈防范以及处理数字、纸质和口头形式的敏感客户信息 和财务数据的正当程序。
• CISSP(注册信息系统安全专家)
• CFE(注册舞弊审查师)
• CISA(注册信息系统审计师)
• ISO注册主任审核员和项目管理专业人士(PMP)
全球安全手册
全球安全手册由关于安全政策和标准的详细指引组成。同样地,通过强调提供清晰沟通的重要性,这些指引利用工具、屏幕截图、照片和视频进行全面描述和说明。虚拟漫游视频可让员工一览部分Teleperformance互联企信水准一流的分支 机构。
2-尖端前沿的技术
Teleperformance互联企信投资尖端工具与技术,为客户及其客户提供卓越、安全、可靠、高效的客户体验。企业的专利技术与工具帮助合作伙伴节省更新或更换陈旧IT基础设施的 相关成本。众多行业,例如信用卡、银行和电子商务,针对安全、消费者欺诈防范与保护以及身份盗窃,实行严格的法律法规。外包合作关系能够让企业了解最新发展动向与安全要 求,为他们省下技术与系统升级所需的无止境的高昂投资。
除了标准防火墙、反病毒软件以及其他常用安全技术,leperformance互联企信还利用多项技术改善最终客户安全体验,防范欺诈,保护个人可识别信息的完整性和隐私 性,同时实时侦查欺诈与安全风险。比如,客户与坐席之间的安全通信技术可避免个人可识别信息(PII)的口头泄露,例如但不限于信用卡信息。这项技术以“ 非口头形式”安全获取个人可识别信息,并将该信息插入客户 的客户关系管理系统(CRM),而绝不会泄露给坐席。
TP安全
直到最近,公司始终缺乏提供实时安全警报的资源。实时警报的重要性不仅体现在快速识别风险,而且有助于降低可能被泄露的任何数据记录的相关成本。Teleperformance互联企信的实时警报工具,名为“TP安全”(TPSecurity),提供坐席活动 的统计监控技术。利用此项技术,可根据预先为每个客户程序设定的关联标准,触发实时警报。此外,该项技术还能够提供可能代表欺诈行为并要求调查的统计数字。一旦侦查到安全风险,“TP安全”会向安全团队发送欺诈警报。该警报包含详细 的坐席档案,帮助快速识别并拦截犯规的坐席。
TP政策
为了达到合规性、审计与报告要求,制定工具必不可少。TP政策(TPPolicy)依照客户要求与Teleperformance互联企信 的政策,定制众多合规性与法律要求。该工具拥有报告仪表板技术,能够每日查看活动欺诈防范项目的准确合规性,并且 进行中期纠正,由此确保项目维持高水平的反欺诈合规性。
TP工具与管控
为了加强证明其对技术与安全的重视度,Teleperformance 互联企信获得来自多项领先安全标准的认证,例如PCI/ DSS、ISO27001/2,以及HIPAA。事实上,Teleperformance互联企信是首家获得PCI/DSS认证的联络中心服务提供商,由此树立联络中心的信息安全基准。企业与技术及安全领域的领 先机构紧密合作,共同开发合规性审计与认证、风险管理技术以及安全解决方案。由此,Teleperformance互联企信得以提供一套用于侦查支付卡行业(PCI)对客户系统所作违规行 为的系统。
3-清晰明确的安全流程
Teleperformance互联企信的安全流程包括制定数据、流程与经营方式。这项技术通过利用对欺诈与经营风险的评估结 果,识别流程和系统中的安全泄露事件。安全评估例如安全评估,提供了流程、系统以及资源交互的详细制定 方法,以此识别经营活动中可能产生负面影响或潜在泄露事件的关键点。为补充初步分析,Teleperformance互联企信会在90天程序管理后开展另一项评估工作,但主要针对经营流程环境。
安全评估完成后,Teleperformance互联企信和客户针对各项侦查到的风险实行的防范和/或早期侦查策略(“风险补救 策略”)达成一致。来自Teleperformance互联企信账户管理层、leperformance互联企信安全分析师,以及客户方的关键人员展开三方讨论并商定就各项记录在案的风险实行的处 理策略。目标是以团队形式就风险方法策略或者针对无法防范的风险实行的早期侦查策略达成一致。策略中所制定流程作为项目中的标准惯例来实施。一些被侦查到的风险或许可以防范,而另一些风险则需要通过持续监测,尽早侦查可能的欺诈行为。针对这些持续监测,Teleperformance互联企 信根据需要尽可能频繁地追踪合规性,以此确保根据双方约定尽早侦查欺诈行为。报告信息每周发送至客户,说明各项风 险处理计划的实际合规性。
审计与认证
为识别流程与技术方面的任何问题,Teleperformance互联企信实施内部与外部安全审计。内部审计由认证安全专家组成的专门团队实施,力求在整个机构内协调和实行安全政策。顺利实施程序和审计后,各个客户和/或经营场所被认证为符合 Teleperformance互联企信安全要求范围内的最低标准。
4-安全管理方法 5-严格的政策
为确保企业程序与一流安全实践保持一致,Teleperformance互联企信实施以下管理方法以及其他多种方法:
安全委员会作为Teleperformance互联企信欺诈防范程序的主管机构,该委员会追踪和评估全球基本安全政策及程序。此外,该委员会还及时了解市场内的新威胁,评估这些风险,以确定是否 有必要改变政策。
透明的安全合作关系
公司之间完全透明的合作关系,对于成功安全的多渠道项目 至关重要。在项目初步实施后,Teleperformance互联企信与客户共同组建安全委员会,旨在分享最佳实践,并探讨评估过 程中识别的安全泄露事件。
与安全相结合的运营标准
所有安全程序和政策均与Teleperformance互联企信的运营标准(例如TOPS和BEST)相结合。由此提高公司内部和项目范 围内安全政策与程序的合规性。•TOPS(Teleperformance互联企信运营标准)包括运营团队为服务Teleperformance互联企信项目所制定的核心运营标准与程序。TOPS最佳实践代表企业经营管理的核心框架。其主要目的是在全球所有联络中心推广最佳实践 的运用。
•BEST(Teleperformance互联企信基线企业标准)
包括招聘与甄选、培训与发展等方面的全球最佳实践。BEST 的益处包括完善企业、运营及人员层面的实践和度量指标。
5-严格的政策
Teleperformance互联企信项目内的严格政策加强所有客户的数据安全水平。如团队成员遵守政策,欺诈与数据泄露威 胁则能够显著减少。
例如,全体员工在正确使用社交媒体和互联网方面接受良好培训。所有工作场所均受到监管,因此员工仅有完成工作所需的物品,例如电脑、监视器、头戴式耳机、鼠标和鼠标垫以及电话设备——别无他物。电子设备、钱包与包袋不得带入项 目区域。
工作站仅有获批的应用程序,访问网站前须经过网页过滤。禁止使用可移动媒体设备。访问程序或账户时,需要登 录密码。Teleperformance互联企信分支机构实行严格的设施访问管控措施,使用分配的识别证。作为附加防范措施,Teleperformance互联企信提供员工热线,为员工报告任何可疑欺诈行为提供安全保密的途径。注册舞弊审查师协 会也强烈推荐使用热线电话。
根据注册舞弊审查师协会在其《2014年全球舞弊研究》中的 舞弊案例分析,有51%的内幕消息提供是通过热线电话向机构提供,而仅有33%非通过热线提供(见图4)。这表明热线 电话对侦查员工舞弊行为具有重大影响。
图4:热线的影响 (注册舞弊审查师协会, 《职业舞弊与滥用国家报告:2014年全球舞弊研究》)(Associationof CertifiedFraudExaminers,“Report totheNationsonOccupational FraudandAbuse:2014Global FraudStudy”)
结论:提高水平
尽管安全威胁和数据泄露如今已是商界的常态,企业仍可采取多种方式开展与改善舞弊防范与早期侦查工作。首先,实施现有的综合安全策略——辅以高质量的政策、流程与技术——由此保护客户与员工。凭借其强有力的核心安全文化,Teleperformanc互联企信已帮助跨越数十个行业的上千家公司,提供安全、出色的全渠道客户体验。
Teleperformance互联企信是首家获得PCI/DSS认证的联络中心,由此树立联络中心信息安全基准。Teleperformance互联企信的行业领先隐私管控措施还得到万事达卡(MasterCard)的第三方推荐,并获得ISO27001/2、HIPAA和安全港协议(Safe Harbor)等的合规性认证,受到广泛认可。既然认证已成准则,Teleperformance互联企信相信是时候再次提高水平,鼓励企业投入更多力量,持续开展信息安全工作,同时在各个企业机构内部倡导安全文化。
转载请注明来源:2014年,在全球范围内有超过10亿条记 录被泄露,比上一年度增长78%
噢!评论已关闭。