|
女士们、先生们,下午好!我们知道大家已经在这两天里的会议非常劳累了,我们在讨论到安全问题的时候,马上会想到全球采购的安全,我们知道整个全球采购的情况下,印度在这方面做得也有些不足,所以我们在怎么强调这个问题都不为过。
安全并不是新的问题,每个公司都遇到这样的问题,不管是在业务流程还是业务方面都会涉及到安全的问题,所以,为什么全球采购的安全不同于其他方面的安全问题呢?现在又有一些什么新的情况呢?全球采购的安全问题现在不断更新,已经不像5、6年前那样了。
我们知道以前在中国,大家把这些业务外包出去,放到全球采购的大环境之下,如果你看到这些业务流程方面,发现现在的业务流程外包当中已经涵盖了一些核心的业务,因为以前的离岸外包主要是把一些非核心的业务外包出去,在这种情况下,因为有核心业务的参与,我们必须要保证这些信息的安全,这是至关重要的问题。
我们可以看到,为什么全球采购的安全会出现问题,首先是缺乏法律的保证,比如说哪一些当地的官方可以提供支持,如果你遇到一些问题,你将得到那些法律法规的保证呢?这方面非常不足,所以造成全球采购的安全问题非常严重。有很多公司,花了很多时间进入一个国家的市场,但是后来当他们进入之后,发现一切都是空想,因为他们没有很好的法律保护。
还看到法律法规、法制的影响,离岸外包这些业务涉及到多个方面,有的时候也是跨行业的业务,所以,这些不同行业的法规和法令将会对离岸外包的信息传输有一定的影响。因为不同的行业有不同的标准和法令,如果跨行业进行业务操作,将会有违反这些法令的风险,所以会对你业务的安全有一定的影响,同时,我们看到执行的方面缺乏也造成全球采购的安全问题。有时候在中国、印度或东欧国家的公司,他们也许不是在一个同样的框架下操作业务,我可以举个简单的例子,也就是对这些金融数据的态度,在美国、英国、澳洲,这些金融数据非常保密,是个人的机密信息,但是在中国和印度的环境下,大家觉得这些金融信息是免费的,每个人都可以得到这种信息,你可以看到一个人的金融数据,比如说一些薪金,他们也许可以跟8-10个人一起讨论,来比较你的薪水、我的薪水是多少,在印度的环境下,金融信息并不是个人或非常隐私的东西,这对业务的安全性会造成一定的影响。同时,这些文化的态度,也有一定的影响,有一些文化可以接受的东西在另一种文化中也许是禁忌。
所以,由于文化的差异,有些人也许不会在中国建立BPO或其他的专署中心,因为他们会担心这些信息的安全。因为他们觉得在中国的文化是分享,他们很担心这些数据会在同事之间广为流传,所以,文化这方面也是非常重要的。并且需要注重进行一定的培训,让人们对不同的文化背景保持一定的敏感度。
还有监控,我们知道全球采购中监控非常难,因为你把业务外包出去,在不同的环境和规章下是很难对他们进行监控的。同时我认为,专署中心和外包中心都面临着同样的挑战,因为专署中心和外包中心都涉及到监控和评估的问题。也就是说这些专署中心不可能跟你的公司在一个地方,如果在监控的层面来说,有一定的困难。因为你想想,不可能把很多员工派到所有的外包中心,比如日本、德国等等,因为在这种情况之下,外派人员会激起一定的风险。在这方面就涉及到人力资源管理的风险,这个时候你可以坐下来和你的员工好好谈一谈,改变他们原有的态度,让他们可以接受不同的文化。
进行外包业务的这些公司,很多都是自己进行监控的,但问题是他们监控的力度并不是特别大,晚些时候我将会讨论一下背景筛选的问题,可以让大家知道中国的期望是什么。在印度,有一个清晰背景的调查,也就是清楚的了解所有你将合作伙伴的金融信息和各个方面的信息,也就是要调查他们所有的背景信息,看一些他们的推荐人所给的信息,这样才可以保证他们是否有能力保证这些信息的安全。
推荐的框架一会儿我会跟大家详细讨论,同时这些隐私的保护、法律条款的执行也是非常不完善的,如果你看一下中国的意识,北京的工作人员对工作的执行态度也许跟成都和其他城市的态度不一样,所以执行这方面我们也必须非常重视,因为不同的地区执法和执行的方式是不一样的,因为这种执行的态度和方法将会决定你在这个地方业务信息的安全性。
两年前我们做了一个战略,在将来的3—4年之后,全球采购的安全问题将会成为主旨问题,同时我们还把这些问题细分了一下,也就是说如果你做全球采购,将会遇到哪些问题。今天要讨论的三个方面:第一,问题的范围和程度;第二,有哪些最佳实践是最近才得到的。因为有很多人以前没有想到安全的问题,当他们遇到的时候他们想我应该怎么面对;第三,将来我们应该怎么做?我们先看一下全球交付模式的演变。
几年之前我们讨论一种双边的模式,现场和离岸两种交付模式,这些工作小组以及分销小组都是协同合作的,现在我们已经演变到细化的交付模式,你可以看到,有一些A公司会使用多种交付模式,而且他们的专署中心也许设到很远的地方,并不在他们的本土,所以,如果你把这些专署中心移到外岸的时候,将会有一定的风险。近岸呢?比如说像美国,他们选择近岸的国家也许是墨西哥或者加拿大。从澳洲的角度来说,近岸也许是新西兰或者其他的地方。????
最后我们看一下离岸的目的地,现在发现如果把这些工作放到离你非常远的地方操作,风险会越来越大,我们怎样面对这些风险带来的挑战呢?我们一直向前发展的时候,我们会发现在接下来的几年,这些大公司,比如说通用公司,已经发展成一种集成的全球交付模式,他们可以通过这种模式交付一种质量最好的服务,同时,他们为什么要发展这种集成的服务?是因为可以应对很多变化,因为我们知道外部业务操作的因素有很多,会发生变化,集成的模式可以帮我们应对各个方面的问题。比如说在一些项目,他们会考虑把这些工作移到中国,因为成本比较低。
在进行重新选择的时候,你们的难度有多大?比方说你们运用的是外包模式还是专署模式,这对于决策者来说都是一个挑战。当然,在你们进行产品模式的时候,你们怎么样能够从最强的模式转移到更为有利的模式,因此你们要寻找最新的合适地域。?
我们先看一下大家所用的交易模式,都能够带给你各种各样安全的风险,因为他们有着不同的控制程度和不同风险敞口。而且你们在不同的模式当中对付风险的情况也是不一样的,比方说外包、内包,对于你们的控制能力是多少,因此,你们在各种各样不同的交易模式当中会由自己的员工对外包模式的风险进行检控。如果大家做的是项目作业,那么你们就要跟外包服务商打交道,可是你们要看整个外包的环境,你们的应用、BP、业务流程、基础设施,这会给你带来不同的风险。对于我们来说,专署中心是现在不断发展的新模式,也是BPO的转型情况,我们将会把所有的业务外包给第三方,现在又将给所有的业务转给专署中心进行管理。可是我们要看一下在专署中心当中是否所有的员工能够满足你们的质量要求,在双方面,在内部和专署中心是否都有保护的机制?我们再来说一下专署中心给你们的风险又是不一样的。????
在专署中心当中集中量所带来的风险,比方说他们的员工是否遵守我们的流程,我们的流程如果从一个国家转移到另外一个国家运作的时候,当地员工能否控制这些流程?因此我们要看一下不同的模式当中不同的情况。可是刚开始的时候,你很难进行控制和认识,因为他们都有不同的背景,无论你是喜欢还是不喜欢,你们都需要这样去做。也许你们要观察整个离岸公司运作的情况,因为观察之后,你们可能会对自己的做法进行改变。
接着我们谈论从离岸公司所带给你们服务的情况。如果大家做的是AD支持,那么你们对于敏感的数据,还有现实生产的数据等等,都是你们所关心的。你们是否可以用这些数据呢?应用这些数据的时候,其他非相关的人他们是否能获取到数据?又是怎么样允许测试所用的数据能够走到其他中心测试,而不被以后没有权限的人获取?这些都是技术层面的问题。如果大家做的是开发,代码和其他的知识产权问题是你们关心的,因此你们在这方面应该有一个总结出的最佳实践,比方说他们是否有一个人,能够对代码有完全的控制权,因此,在其他知识产权风险问题的时候,你们必须看一下怎么样分配代码的权利,怎么样禁止调查报告。????
中国特别受到这些陷阱的威胁,我们要看一下政府对这方面的反应,因此,我们必须要从设想当中脱离出来看一看实际的情况,找出弥补的做法。
讲一下IT基础设施,BPO还是主要的发展流程,但是我们看到,外部读取关键应用资料和数据库权限也是关注的领域,如果对数据库进行加密,力度要不断加大,而且还要加大你们的审计工作,所以,你们要看一下怎么样解决这个问题。如果大家所使用的服务包括呼叫中心,我们可以经常从媒体当中听到各种各样关于信息泄露的问题,比如在银行业泄露客户资料,所以,在印度呼叫中心对客户的数据保护非常好,因此他们要求每个客户都有一个号码,除了客户的卡号之外还要连同Pin的卡号才可以获取资料,采用这个方法之后,三个月之内这个呼叫中心泄密的保护得到很大的改善,而且就算有事情发生,他们也可以根据一系列流程追踪到到底谁做了手脚。但是,我们所关注的就是,我们怎么样保护内部的个人数据不会通过内部的员工散发出去,我们要在他完全失控之前进行改善。今天大部分的呼叫中心现在的环境都比较好,因为他们在呼叫中心员工不许带纸和笔,也不许带任何通讯工具,因此防止了这些敏感数据从呼叫中心泄露出去,可是这样的做法不能防止这些员工记住信用卡的资料和信息,因为有些人的大脑记忆力非常好,我不排除这种可能性,所以我们这样的做法也不会达到百分之百的防御。现在信息泄露的情况越来越多,而且做法越来越高明,大家看一下怎么样应对。
接下来你们接触的服务有可能包括后勤服务,可是在中国在医药界或其他的领域中没有非常好的审计工作团队可以对这种情况或合规的问题进行审核,所以我们看到审计和审核的过程当中要撰写审计报告递交给离岸的公司,所以审计是非常关键的,确保离岸的公司能了解到对岸的工作情况。
我们再讲到安全,你们最大的风险敞口能力是多少?或者说你们在这个领域当中最大的投资力度是多少?当然你不能保证百分之百的部分或领域都能进行保护,因为这样的成本是很大的,因此,总有一部分东西会成为漏网之鱼。我们回想过去的时间当中,如果大家不进行任何社交活动或不参与任何东西,这样风险确实是很低的,因此我们要看一下平衡,因为如果你不做任何事情,就不会有任何风险。
合规也是一个关键的问题,特别是怎么样跟各种各样的法律法规打交道,比如说SB1386、加州突破安全法令。比方在巴基斯坦,巴基斯坦有一个子承包商,他们的最终服务公司是加利福尼亚的公司,在加利福尼亚的公司并没有意识到在巴基斯坦还有第三方的子承包公司,因为中间还有一个承包商,所以通过互联网络传递信息的时候,他们所接受的服务质量并没有达到他们的满意度,而且并没有符合他们的法律法规,因此,这样的事情必须在合同里面写清楚,你们是否允许接包方开发自己的子承包商,而且我们要讲到一个告知的机制,如果有些事情失控了,或者说SP尝试掩藏或掩盖一些失控的事情,那么处罚是什么?你要有非常清楚的条款在合同里面列清楚,或者说有一个独立的合同撰写清楚这样的规定,如果这样的合同会被转移到第三方,那你们对第三方的要求是什么,这都是很重要的。
另外,你们是否要告知你们的员工说你们公司人力资源的功能已经外包给海外的公司了,因为在全球,这些员工都非常担心自己的个人资料是否被外泄,你们是否开诚布公的告诉他们,这也是你们的原因。
大家看左手边,这是所用的一些因素给不同的国家评分,他们的风险到底多大。比方说安全风险、保护隐私风险、执法风险,政府有什么样的权力,比方说窃听电话、侦听电子邮件等等,还有商业秘密法等等。下面是员工和劳动法,我们会问,为什么这个会在安全领域当中呢?我们给大家举个例子,如果大家看一下发达国家,看一些公司破产的情况,都是因为没能保留住关键员工,关键员工流失到竞争对手当中,但这样的情况还没有被印度和中国这样的国家认识。比方说在印度,有些法律法规还没有做出足够的保护,保护这些员工,但是从公司当中,也缺乏这种相关的法律法规来保护公司的秘密或其他的情况,或者竞争优势会因为员工的流失而造成损失。因此我们要让人知道有些东西你是不能控制的。
我们要看另外一个风险,就是由契约产生的法律风险,我们进行法律诉讼的时间有多少,成本是多少,如果说你们打的是非常严重的知识产权的案子,有可能会进行六年甚至更久,因此你们要从合同当中写清楚你们的仲裁手段或有可能仲裁的方法。我们不是说这种情况会在你们的公司当中发生,但我们说的是你们必须考虑进去,对我们起到更大的保护。
还有一些其他的概念,比如有一些信息安全管理的法规,比如说ISO、IEC这些法规,大家可能都了解了,因为有一些人对你说,我有CMI5级的认证,我的业务流程非常好,还有人有ISO17799的规定,但其实我们并不是完全可以信任他的,我们必须把所有公司的最佳实践总结出来进行比较,然后把它放在一个整体的框架下去评估,看他们是否是合规的。同时还有CubT也是一些法规,它在某一种程度上可以保证这些业务流程的安全,但这并不是百分之百保证你的权益,你必须认识到,你可以在你的收益当中分配百分之多少来进行安全问题的维护,如果你看到有很多问题,但是你在这方面的资金分配并不是特别充足,对解决安全问题不太有帮助。
我们看到安全问题,这个问题有个生命周期,其实就像CIO去到这些公司看服装秀一样,他们不断考察一些公司,去深圳、大连或印度,他们所发现的东西,首席安全执行官的工作有很多,他们不仅要管安全的问题,管安全必须从战略的角度开始,你看到这里的生命周期,也就是安全问题的生命周期,第一个周期是从战略开始的,你必须在一个公司制定一个战略,如果你要做外包,你的战略将是怎么样的,你应该从哪几个方面考虑,看到一些案例,有时候在签署合同之前由于不是内审的结果太好,在签合同最后的时候合作伙伴拒绝签合同,造成业务的失败。然后我们从战略的角度过渡到战术的角度,也就是这一部分关于评估和筛选,你必须对这些国家进行评估,对他们的政策进行了解,选择你将要合作的伙伴,你应该怎么样做计划保持业务的连续性等等,在这个环节之内,你还要考虑的就是整个安全问题,同时看所有业务的流程,考察他们的执行能力,一些记录在案的文件和他们以前发现的问题是如何解决的,这些东西都是需要的。
最重要的就是考察他们现在的管理,因为我们可以通过这些内审找到关键的因素看他们的管理层是否是健全或健康的,你把你的审计员派到那个地方进行审计,同时也需要当地的审计员给你们配合,提供一些相关的资料,你才可以进行成功的审计。所以,为什么这些采购经理的职位也是越来越重要的原因,因为他们在某种程度上可以给我们提供有用的信息,也会帮你检查他们的运作系统怎么样。
同时我们看到安全和采购,这个将会由谁来决定?因为我们有很多利益关系人,我们经常看到所有利益干系人都是相互争斗的,他们并没有坐在一起讨论出一个统计的结果,所以这些决策是非常重要。我们看到公司的安全部当然要参与其中,执法部门、内审部门,以及项目管理办公室、业务干系人。所以我们要根据不同利益干系人来评估各方面,让他们一起制定平等的协议。
我们首先要考察五个方面,尤其是在需求方案说明书当中要考虑的五个方面:网络平台、操作、支持、服务、应用。你看到自己的各种环境,你知道自己环境的复杂性,也许你发现你的需求信息和需求方案说明书当中并没有包括全这些信息,你可以根据这几个方面来补充你的RFP,也就是需求方案说明书,这样可以让你的供应商很好的遵守这些合同里面规定的条款,保证它的有效性。我可以把这五个领域当中列举的例子,你在这五个方面需要收集哪些资料。
我们看一下供应商的离岸外包步骤,其实包括了基础设施、业务流程、合规性、人力资源和政策。我们发现现在大部分服务供应商都会帮助各个行业提供服务,所以我们发现的是,对于他们来说,这种核心业务由1—2个人来负责。问题是,有一个人手分配的问题,因为每个人觉得这些项目很重要,我们怎么样分配这些专业的人士?我们看一下基础设施方面,这是很基本的安全保护区域,但是业务流程方面也是非常重要。它可以帮助你审查一些方面,保证你的业务流程当中信息安全。
同时,你还要问服务供应商一些问题,分为两部分,一部分是技术问题,一部分是合同问题。首先你要问是否对这些员工有背景调查,这些中介商是否可信,这些法规做出改变的时候是否有记录在案,他们的服务水平和管理是否有详细的条例来规定,还有一些技术的问题,就是他们是否有保护一些客户和员工的敏感资料。同时还要问他们是否有管理敏感数据,是否对它们进行了加密,尤其是把它们交给服务供应商的时候是否有进行加密。我们必须有一个非常严格的指导方针,一定要严格规定在多长时间内不能公开这些数据,如果要做这些数据操作运算必须要让我知道。你必须问一些法律方面的问题,就是说所有的合同备案是否齐全。
安全问题是非常关键的,我们有很多工具可以进行安全保障,但问题是,我们怎么样把这种工具带给公司和服务供应商呢?让他们更好的确保这些安全问题,这里有一些软件可以保护你们的数据。这里有DRM(数字权限管理),数据库的审核、应用程序的测试监管,测试当中的数据不规则性都有一些相关的工具可以帮助你进行操作。看到最后一项,在测试当中的数据不规则性,如果在测试当中你发现有些不合规的数据,你将会使用这些软件找出异常的现象,然后进行修正。
最后我做一个总结,千万不要低估这种全球采购安全问题的复杂性,千万不要过于自信,说我们这些外包业务可以持续上百年都不需要关注安全问题,同时还要注意,你必须采取安全的生命周期的方法,同时把它与外包的生命周期相结合,来保护这些业务的安全性,而且你必须清晰地了解客户的产品和生产生命周期,根据他们的变化可以保护你们的信息安全。然后把这个问题融入到你的外包策略当中,从而才可以保证整个外包的实践有安全保障。同时,你必须要注意这种可能性,也就是说你要注意发现安全风险的概率,并不仅仅是算出它的可能性,也就是说在一些特定的国家做外包项目的时候,要算出风险发生的概率,比如说你算出这个概率,通过法律申请一些证件的时候,对你是有利的。还有一个问题,你们必须在不同的环境下进行安全的管理,不能一味按照老的模式运行,同时,必须要紧密关注国内外的安全标准,并且执行这些安全标准,尤其是在专署中心当中要很好地执行这些标准,因为有的时候也许是符合国内标准,但是你把它离岸外包以后,也许并不能满足当地的安全标准,所以会对你的业务操作造成一定的阻碍。
同时,文化方面也是非常重要的,因为文化是我们不可忽视的问题,我们必须做不断的培训,培训我们的员工,让他们了解各个地方的文化差异。大家知道员工在这方面是比较被动的,如果你不对他们进行培训,他们是不会知道那些东西的。同时,我们发现新兴和最前沿的安全工具是非常重要的,你必须推荐给你的合作伙伴以及服务供应商,同时,向专家还有各个方面的专业认识也是非常重要,最后你要记住这些认证并不是百分之百保证你们的安全,谢谢大家的聆听! | 
