如何加強(qiáng)外包安全策略

申請免費試用、咨詢電話：400-8352-114

在過去的幾周內(nèi)，并沒有出現(xiàn)什么重大的安全漏洞，所以，John McCormick有機(jī)會將他的重點放在最近發(fā)生的一系列的重要數(shù)據(jù)安全的事件上。通過研究這些事件，可以從中找出創(chuàng)建更強(qiáng)的安全策略的重要性，并且可以從中看到最近在安全領(lǐng)域內(nèi)都發(fā)生了什么事情。。

雖然在這一周沒有出現(xiàn)重大的安全漏洞，但是最近發(fā)生的幾起關(guān)鍵數(shù)據(jù)安全的事件向人們強(qiáng)調(diào)了在討論外包和收購的過程中創(chuàng)建有效的安全策略的重要性。

細(xì)節(jié)
由于在最近幾周中沒有出現(xiàn)重大的安全漏洞，因此我想將我的注意力集中于最近發(fā)生的那些影響到安全策略的事件上，而不是放在攻擊安全漏洞的新聞上。但是在本文的末尾，你可以找到一些與安全漏洞相關(guān)的信息。

如果你想對外包給出另外一個管理警告的理由的話，最近在印度的花旗銀行（Citybank）發(fā)生的新聞可以給你提供更多的理由。為了加快項目的速度，花旗銀行將他們呼叫中心的客戶服務(wù)業(yè)務(wù)外包給印度的一個本地化團(tuán)隊，但是這個團(tuán)隊中有人泄漏了花旗銀行在美國客戶的密碼和其他賬戶信息，從而導(dǎo)致了大量的欺騙性采購，花旗銀行為此損失了425,000美金。到目前為止，當(dāng)局目前已經(jīng)逮捕了16個人（對于這個問題，要想得到印度方面的觀點，可以從印度的快報的網(wǎng)站上得到這個故事的詳細(xì)情況。）

當(dāng)然，問題并不是印度的呼叫中心的工人會盜用而美國本土員工就一定不會盜用，現(xiàn)在的騙子還是很多的。更合適一點的說法是，這個事件只能突出這樣一個事實：使用本地工人比外包到海外要安全的多。

還有要記住的很重要的一點是：各個國家保護(hù)公司防止被欺騙以及懲罰那些犯罪分子而使用的法律都有著很大的不同。換句話說，在美國看來是非法的事情可能在另一個國家根本就不是一種犯罪。

我在這個專欄中寫出這篇文章，并不是要將大家的注意力集中到印度這個國家。事實上，印度當(dāng)局對這個欺騙事件非常關(guān)注，并且可能會使用所有必要的法律武器來懲罰這些犯錯誤的人。但是這也不是一個孤立的事件：我們使用外國勞動力的機(jī)會在不斷增加，而第三世界國家也認(rèn)識到他們可以從中分一杯羹，并且他們可以不斷增加外包份額。

由于安全方面的原因造成一定的損失而要起訴一個本地的公司的話，這將是非常困難的。你無法想象，要想從一個完全不同的法律體系的國家中的公司或者個人那里獲得賠償是多么的困難？

從另一方面來說，有些經(jīng)理可能會看到印度當(dāng)局所采取的快速行動，并且作為補充，他們可能還會注意到印度當(dāng)局發(fā)現(xiàn)欺騙的速度，如果這些事情發(fā)生在美國，并且如果不涉及到某些本國居民的話，他們可能永遠(yuǎn)不會看到這種案件的曙光，因為這些案件首先要經(jīng)過政府那強(qiáng)有力的盜竊身份的法律確認(rèn)，而要實現(xiàn)這一點往往是遙遙無期的。

如果你的公司在印度有業(yè)務(wù)，或者準(zhǔn)備將關(guān)鍵任務(wù)外包到印度的話，你首先應(yīng)該看一看印度的有關(guān)網(wǎng)絡(luò)方面的法律--可以在Naavi.org這個網(wǎng)站上看一看有關(guān)的報告。在這里我所能夠說的是，我還不清楚在這個案例中，這個印度的呼叫中心公司的財政要承擔(dān)的責(zé)任是什么，但是我敢打賭，花旗銀行在這個案例中所花費的律師費遠(yuǎn)遠(yuǎn)比實際損失的客戶的要多得多。

與此同時，在與上述故事無關(guān)的另一個案例中，最近在LexisNexis 公司出現(xiàn)的安全問題造成的損失是該公司最初報告的十倍還要多。一開始，該公司并沒有重視這個威脅，這個威脅與the ChoicePoint debacle非常相似。LexisNexis最初報告了這個并不嚴(yán)格的安全手續(xù)，并且說明這個不嚴(yán)格的安全手續(xù)可能導(dǎo)致公司損失了超過30,000人次的數(shù)據(jù)記錄。然而，在四月12日，公司再一次公開發(fā)布的報告中承認(rèn)大約有接近310，000個美國公民受到這個不嚴(yán)格的安全手續(xù)的影響。

這個問題中最麻煩的部分不是安全手續(xù)太過脆弱，而最重大的新聞也不是大多數(shù)公司的大多數(shù)安全手續(xù)都很脆弱。最重大的新聞是那些公司既沒有認(rèn)識到這個問題所影響的范圍，或者說它們可能知道這個問題但是幾個星期以來一直沒有通知公眾。

對于那些不知道的人來說，特別是LexisNexis公司所犯下的錯誤，他們沒有正確的對通過收購所獲得的數(shù)據(jù)倉庫公司——位于佛羅里達(dá)的Seisint公司的現(xiàn)存客戶基進(jìn)行篩選。這個細(xì)微的失誤因此也導(dǎo)致了重要的安全漏洞，這也很可能會影響到很多其他的公司。各個企業(yè)不能僅僅滿足于對收購所獲得的數(shù)據(jù)庫的安全手續(xù)進(jìn)行后向檢驗，因為他們自己的安全手續(xù)往往都是很堅實的。

（個人聲明：LexisNexis是一個包含大量商業(yè)信息的數(shù)據(jù)庫，并且這個數(shù)據(jù)庫是一個合法的數(shù)據(jù)庫。我原來為總公司--Reed Elsevier LLC工作，但是現(xiàn)在我不再為這個公司工作，并且我從來沒有與LexisNexis數(shù)據(jù)庫自身連接過。）

最后的話語
需要大家記住的是，我并不是在這里要專門挑剔印度的外包呼叫中心。我在這里只是從法律和財務(wù)的觀點出發(fā)，強(qiáng)調(diào)外包不僅僅是一個節(jié)約費用的問題，它比我們所要求的復(fù)雜的多。

任何正在集成數(shù)據(jù)或者客戶列表的公司都應(yīng)該注意這方面的問題，因為任何購買數(shù)據(jù)庫或者進(jìn)行公司收購的公司的心中都應(yīng)該記住LexisNexis公司的那個報告。因為你不知道那個最初創(chuàng)建授權(quán)客戶列表的公司中安全狀況是好還是壞。

相關(guān)參看

作者簡介
John McCormick是一個安全咨詢專家，并且是IT領(lǐng)域的一個知名作家，公開發(fā)表了17000篇文章。他為TechRepublic的ITLocksmith專欄寫了四年多的文章。(zdnet)