如何加强外包安全策略

在过去的几周内，并没有出现什么重大的安全漏洞，所以，John McCormick有机会将他的重点放在最近发生的一系列的重要数据安全的事件上。通过研究这些事件，可以从中找出创建更强的安全策略的重要性，并且可以从中看到最近在安全领域内都发生了什么事情。。

虽然在这一周没有出现重大的安全漏洞，但是最近发生的几起关键数据安全的事件向人们强调了在讨论外包和收购的过程中创建有效的安全策略的重要性。

细节
由于在最近几周中没有出现重大的安全漏洞，因此我想将我的注意力集中于最近发生的那些影响到安全策略的事件上，而不是放在攻击安全漏洞的新闻上。但是在本文的末尾，你可以找到一些与安全漏洞相关的信息。

如果你想对外包给出另外一个管理警告的理由的话，最近在印度的花旗银行（Citybank）发生的新闻可以给你提供更多的理由。为了加快项目的速度，花旗银行将他们呼叫中心的客户服务业务外包给印度的一个本地化团队，但是这个团队中有人泄漏了花旗银行在美国客户的密码和其他账户信息，从而导致了大量的欺骗性采购，花旗银行为此损失了425,000美金。到目前为止，当局目前已经逮捕了16个人（对于这个问题，要想得到印度方面的观点，可以从印度的快报的网站上得到这个故事的详细情况。）

当然，问题并不是印度的呼叫中心的工人会盗用而美国本土员工就一定不会盗用，现在的骗子还是很多的。更合适一点的说法是，这个事件只能突出这样一个事实：使用本地工人比外包到海外要安全的多。

还有要记住的很重要的一点是：各个国家保护公司防止被欺骗以及惩罚那些犯罪分子而使用的法律都有着很大的不同。换句话说，在美国看来是非法的事情可能在另一个国家根本就不是一种犯罪。

我在这个专栏中写出这篇文章，并不是要将大家的注意力集中到印度这个国家。事实上，印度当局对这个欺骗事件非常关注，并且可能会使用所有必要的法律武器来惩罚这些犯错误的人。但是这也不是一个孤立的事件：我们使用外国劳动力的机会在不断增加，而第三世界国家也认识到他们可以从中分一杯羹，并且他们可以不断增加外包份额。

由于安全方面的原因造成一定的损失而要起诉一个本地的公司的话，这将是非常困难的。你无法想象，要想从一个完全不同的法律体系的国家中的公司或者个人那里获得赔偿是多么的困难？

从另一方面来说，有些经理可能会看到印度当局所采取的快速行动，并且作为补充，他们可能还会注意到印度当局发现欺骗的速度，如果这些事情发生在美国，并且如果不涉及到某些本国居民的话，他们可能永远不会看到这种案件的曙光，因为这些案件首先要经过政府那强有力的盗窃身份的法律确认，而要实现这一点往往是遥遥无期的。

如果你的公司在印度有业务，或者准备将关键任务外包到印度的话，你首先应该看一看印度的有关网络方面的法律--可以在Naavi.org这个网站上看一看有关的报告。在这里我所能够说的是，我还不清楚在这个案例中，这个印度的呼叫中心公司的财政要承担的责任是什么，但是我敢打赌，花旗银行在这个案例中所花费的律师费远远比实际损失的客户的要多得多。

与此同时，在与上述故事无关的另一个案例中，最近在LexisNexis 公司出现的安全问题造成的损失是该公司最初报告的十倍还要多。一开始，该公司并没有重视这个威胁，这个威胁与the ChoicePoint debacle非常相似。LexisNexis最初报告了这个并不严格的安全手续，并且说明这个不严格的安全手续可能导致公司损失了超过30,000人次的数据记录。然而，在四月12日，公司再一次公开发布的报告中承认大约有接近310，000个美国公民受到这个不严格的安全手续的影响。

这个问题中最麻烦的部分不是安全手续太过脆弱，而最重大的新闻也不是大多数公司的大多数安全手续都很脆弱。最重大的新闻是那些公司既没有认识到这个问题所影响的范围，或者说它们可能知道这个问题但是几个星期以来一直没有通知公众。

对于那些不知道的人来说，特别是LexisNexis公司所犯下的错误，他们没有正确的对通过收购所获得的数据仓库公司——位于佛罗里达的Seisint公司的现存客户基进行筛选。这个细微的失误因此也导致了重要的安全漏洞，这也很可能会影响到很多其他的公司。各个企业不能仅仅满足于对收购所获得的数据库的安全手续进行后向检验，因为他们自己的安全手续往往都是很坚实的。

（个人声明：LexisNexis是一个包含大量商业信息的数据库，并且这个数据库是一个合法的数据库。我原来为总公司--Reed Elsevier LLC工作，但是现在我不再为这个公司工作，并且我从来没有与LexisNexis数据库自身连接过。）

最后的话语
需要大家记住的是，我并不是在这里要专门挑剔印度的外包呼叫中心。我在这里只是从法律和财务的观点出发，强调外包不仅仅是一个节约费用的问题，它比我们所要求的复杂的多。

任何正在集成数据或者客户列表的公司都应该注意这方面的问题，因为任何购买数据库或者进行公司收购的公司的心中都应该记住LexisNexis公司的那个报告。因为你不知道那个最初创建授权客户列表的公司中安全状况是好还是坏。

相关参看