预防始于检测

以检测开始 降低安全威胁，通过全面的安全风险评估 简介 在当今数据驱动的世界中，信息常常被称作“新的石油”。随着COVID-19大流行迅速加速了全球对技术和互联网的依赖，数据库存中新增的信息比以往任何时候都多，这一说法比以往任何时候都更加真实可信。 随着数据价值的提升，网络犯罪分子和欺诈者变得越来越有动力窃取和破坏这种资源，使得数据隐私和保护比以往任何时候都更加重要。 为确保企业长期成功，公司正在采取重要措施，例如采用保护技术和获得安全证书。然而，随着威胁的迅速演变，公司通过实施全面的安全风险评估，投资于主动预防、检测和缓解至关重要。 在这份白皮书中，我们将讨论进行安全风险评估的迫切需求、其益处以及Teleperformance如何帮助组织评估和降低其安全风险，以确保其宝贵信息的安全。 当前安全风险评估状况 面对不断演变的威胁环境，许多组织通常采取一种反应性方法，这种方法总是追求威胁并应对可能发生的事件。 什么是SRA？ 最常见的三种欺诈类型包括网络犯罪、客户欺诈和资产侵占。对于处理敏感数据的组织来说，产品发货、信用卡欺诈和数据泄露也是重大关切。如果这些情况没有得到识别和正确缓解，将严重损害企业。1 SRA 是一种积极主动、不干扰的方法，用于在接触中心环境中识别流程和应用中的潜在风险。此过程为客户提供主动管理风险的途径，而非对安全事件做出反应。 在安全风险评估期间，我们识别风险并设立适当的控制措施，帮助客户领先于潜在的欺诈尝试，以确保对他们的敏感数据和系统提供更高的保护水平。 面对不断演变的威胁环境，许多组织往往采取被动应对策略，这种策略总是追求威胁并对可能发生的事件做出反应。一种新的方法需要主动分析攻击面，提高优先级，并定期监控和沟通进展，以更高效、更有效地减少风险，这始于风险分析。 在Teleperformance，我们高度重视安全。这就是为什么我们与每位客户合作的首要任务是提供一项经过我们多年精炼的、结构化和标准化的安全风险评估（SRA）。 为什么选择Teleperformance？ 网络犯罪不仅是公司面临的最大威胁，现在也是数字世界中最关键的问题之一。由网络犯罪造成的经济损失现在每年已达数百万。据Statista数据显示，截至2023年，全球每起数据泄露的平均成本达到了445万美元。2因此，由于这些威胁的增长速度超过了企业应对它们的能力，成本仍在呈指数级增加。 专业与流程 执行SRA需要专业的技术，这就是我们团队配备了专职、高度训练的专业人士，他们都是信息安全方面的专家。我们的运营安全经理和客户风险评估人员拥有多年的运营经验，以及对不同行业和业务领域的深入理解。此外，他们还通过了严格的内部安全与隐私认证项目。 他们的知识和经验，加上他们的培训，使他们能够识别风险，并制定针对我们客户特定需求的定制化缓解策略。 协作和多职能方法 除了我们的专业团队外，我们的流程还涉及其他利益相关者的参与。我们对SRA采取协作和多职能的方法，与IT、运营、业务所有者和客户合作。此外，我们与全球事件响应团队的紧密协调确保了任何安全事件都会被分析和整合到SRA中，帮助我们不断改进风险管理能力。 为了保护自己，公司必须扩大其网络安全和防护计划，尤其是在高风险的入口点，如客户服务渠道。 风险登记簿 各种商业领域存在众多安全风险和漏洞。为了解决这个问题，我们多年来一直在不断优化SRA流程，从而创建了我们的风险登记册。这个仓库包括基于为Teleperformance服务的众多主要客户进行的数百次评估而汇总的200多种常见风险。 通过SRA流程，我们解决消除风险的需求，或者如果消除不可行，则实施降低风险发生或检测未授权行为的控制措施。SRA的主要目标是确保客户信息的安全与保护，在处理和加工他们宝贵数据的过程中，建立信任和安心。 利用我们在风险登记册中收集的数据，以下是我们确定的四个主要类别（+度量操纵）。这些是我们经常遇到的主要漏洞： 1. 未经过客户身份验证的客户账户访问2. 未通知即修改客户账户信息的能力 SRA流程 鉴于这些威胁的普遍性，这些漏洞很可能也存在于您的程序中。以下安全风险评估（SRA）流程为我们提供了机会，以识别程序流程和系统中的这些漏洞，将它们公之于众，并使我们能够制定有效的解决方案来减轻风险。 2. 全面安全风险评估 3. 风险及补救策略的沟通 1. 绿色启动预SRA调查 在安全风险评估过程中，该项目的所有业务线都涵盖在评估范围内。此程序由我们经过培训的安全管理团队联合多个领域专家、运营经理和其他运营领导者领导。此程序的目的在于评估项目中使用的所有流程和工具，识别相关的风险，并通过几个审查阶段进一步验证它们。 《绿色启航预SRA调查》是一项旨在识别可能的关键风险以及欺诈或数据窃取的潜在途径的初步调查，它是进行完整SRA的前奏。该调查的结果为项目风险提供了至关重要的信息，这为完整的SRA奠定了基础。我们还将结果告知客户，以确保在全面启动前实施任何可能的缓解控制措施。 Teleperformance 正式与客户分享风险并推荐补救策略。 4. 整改措施的实施 5. 过程重复 一旦与客户就风险和补救策略达成一致，风险补救过程便得以实施。其中一些策略是Teleperformance或客户单独负责的，而另一些可能是共同责任。 随着时间的推移，一个项目中的工具和流程可能会发生变化，从而产生新的风险。因此，为确保SRA始终得到更新，这个过程每年重复一次，以识别新的风险、调整补救策略，并提高整个流程的有效性。 在这个过程中，Teleperformance 监控并管理合规性，以确保双方继续努力解决风险。 科技 作为SRA流程的一部分，我们通过推荐各种技术来应对识别出的漏洞，包括Teleperformance开发的第三方解决方案和专有选项。 专有解决方案 一旦完成全面SRA审查，该流程将提供早期识别威胁并加强欺诈事件的预防。实施防止或减少事件的建议的好处包括： 客户和Teleperformance声誉保护通过安全流程实现客户满意度信息安全与数据隐私预防收入损失，尤其是在银行和金融业务领域避免昂贵的安全漏洞、法律影响及费用遵守隐私法规和严格的监管要求，如GDPR（通用数据保护条例）和HIPAA（健康保险可携带性和问责制法案） 益处 如果您选择与Teleperformance合作，我们将提供SRA作为我们与客户伙伴关系和协作的一部分，以便为我们提供更好的决策数据质量，并确保我们在减轻风险和保护客户免受欺诈方面保持一致。 此外，作为您可信赖的数据处理商/子处理商，Teleperformance优先考虑主动识别风险。在任何项目启动前，我们已着手进行绿色启动初步风险评估调查，目的是在项目启动之前识别、沟通并及时缓解关键风险。 案例研究 通过我们的SRA流程，我们见证了客户对我们的建议的显著反应，他们已经接受并采取了果断行动。 以下案例研究展现了极具说服力的例子，证明了我们的SRA流程的积极影响，展示了我们团队合作如何加强安全措施，赋能客户在全球数据保护复杂环境中航行。 通过每周风险缓解会议提升电子商务安全 影响 我们的客户 SRA充当了客户主动合作和建立“风险缓解每周通话”的催化剂，使他们能够优先考虑已确定的风险漏洞，并制定具体的缓解措施。 在SRA过程中，发现客户的机密信息甚至在没有商业需求的情况下也可能泄露给员工。这一风险与在笔记工具和文件夹中存储信息的能力以及通过邮件、聊天和外拨电话等通讯渠道分享数据的可能性相结合。 我们的客户是一家知名的电子商务服务公司，在竞争激烈且动态变化的行业中运营。 在将SRA的结果与客户分享后，他们与我们建立了战略合作伙伴关系，积极应对风险关闭。在此努力中，已设立“风险缓解每周会议”，客户与我们的业务所有者积极合作，实施风险缓解策略。 通过主动和协作的方法加强社交媒体服务中的安全 接近 我们的客户 严格管理，确保代理商无法在登录Teleperformance电子邮件系统之前访问客户工具，该系统仅限TP网络内部访问。这保证了客户工具的访问权限仅限于安全网络环境中的授权人员。 在SRA展示之后，他们不仅认识到了我们SRA的巨大价值，而且采取了主动措施来加强他们的安全态势。 我们的客户是领先的短视频托管和社交媒体服务提供商之一。 他们成立了专门的全球风险合规团队，以便迅速解决和缓解已识别的风险点。除了立即行动外，我们的客户还认识到加强访问控制的需求。他们开始指派超级管理员来控制每个子公司的工具。 此外，为了解决代理商将云服务作为业务需求使用的担忧，我们部署了TP Protect，这是一种Teleperformance技术，用于检测潜在的欺诈活动。为该程序实施的TP Protect规则监控代理商的活动，例如可能未经授权尝试存储机密信息。这项技术作为安全层的一个补充，确保仅允许授权活动。 Teleperformance 还建立了补偿控制措施，作为我们致力于与客户合作以减轻风险的承诺的一部分。这包括实施以下措施： 影响 我们的客户采取的积极主动措施，以及实施的补偿性控制措施，已经带来了实实在在的利益。通过认识到SRA的价值，他们的安全态势现在变得更加坚韧。 通过提高银行的安全性和信任度，以及采取协作方式，实现100%的风险缓解 我们的客户 影响 我们的客户是一家知名的跨国银行。 按照这一点，所有已识别的风险都得到了有效缓解。因此，客户强烈表示希望定期收到此类报告，以确保持续的卓越安全。 SRA调查结果的呈现是我们客户的转折点。他们获得了关于其安全状况的宝贵见解，同时也意识到了此类评估的重要性。 在SRA期间，确定的风险之一是代理商未经充分验证客户身份就获取客户信息，这可能暴露敏感数据。在SRA调查结果呈现后，我们的客户迅速并主动采取措施减轻这些已确定的风险，包括对代理商实行严格的验证流程，要求他们在获取敏感信息之前验证客户身份。如果账户未验证，通话将自动终止，并通知客户以确保透明度和安全性。 客户评价 随着银行领域的风险以极快的速度出现，很大程度上是响应监管、客户期望或/和技术的变化，作为银行，我们需要更高效、更有效地管理适用风险，以实现战略目标或/和在市场上获得竞争优势的机会。 “很高兴每年都能开展这项工作，这表明您把我们的最佳利益放在心上。这个过程非常稳健，也引发了一些我们未曾考虑过的问题。”- 一家知名的网络时尚零售商 在这个实践中，Teleperformance通过安全风险评估的方法进行风险管理，帮助我们更有效地、更及时地管理风险，识别出适用的风险。其中，一些风险对我们来说是新的。因此，我们相应地提供了解决方案（缓解计划）来应对这些风险，并在合作中实施。 我们最近与TP成为了合作伙伴，这是我们以前合作伙伴从未提供过的增值服务。一家著名的家电制造商 一家历史悠久且信誉良好的银行和金融服务公司 这是信息安全领域的一个不同观点。感谢您与我们分享这些发现。一个全球电子商务巨头 我们真正感激为确保合规所做的每一件事。这让我们确信我们与正确的人合作。感谢您通过进行这次练习，并发现问题来照顾整个流程；我们肯定会将这些发现与内部团队分享，并给出时间表。一家知名的口腔护理产品制造商 这是我第一次看到这样的东西，太棒了。一般来说，作为客户，我们进行第三方评估，我们称之为供应商评估。这是Teleperformance的一个主动方法，一个了不起的举措。跨国金融机构 这是非常好的实践，其中一些风险我们甚至没有意识到。我们将把这个问题提交给我们的项目团队。一家领先的建筑材料公司 白皮书 | 11 结论 作为一家领先的全球数字商务服务公司，我们认识到欺诈行为对您的客户和公司声誉的破坏性影响。安全事件可能会严重损害公司的声誉，并侵蚀客户信任。 凭借我们在进行SRA审核的严格流程、实施适当安全措施的先进技术以及杰出的全球团队，Teleperformance能够助您维持作为一