一、 BPO 外包
BPO(Business Process Outsourcing)是指企业将自身部分业务外包给第三方服务提供商进行处理的用工模式,换个更通俗易懂的名称就是,外包。
任何一家企业,采用外包核心原因只有一条,降低人力成本,提升用工的弹性。
外包存在方式和业务场景,职场人一定都接触过,下面是现在市面上较为常见的:
1、电商企业的客服:江浙沪包邮区的电商企业,要在本地招聘客服人员的话,单人每月成本在 8,000 元往上,如果外包到甘肃、江西、东北等地,可以下降至每月不到 2,000。同时能灵活的在大促期间(双11,年货节等)临时性增加几千个客服人员,淡季又马上回退到几十人规模。
2、互联网平台的内容审核:为了满足国内严格的监管要求,任何能够支持用户发布内容的互联网平台,如抖音、知乎、电商平台、小红书等等,背后都有大量的人力外包,用于人工审核用户上传内容,是否包含黄、赌、毒、政等敏感违规内容。用户基数越大的平台,背后对应的审核队伍越大,例如抖音背后即使有超过 10 万名常规的审核人员也不足为奇。
3、新能源车厂的全国销售:如今是妥妥的,新能源车企百家争鸣的时代,汽车的售卖只能在线下完成,如何快速且灵活地构建线下销售队伍,决定了各家划拨地盘的结局,销售外包是最好的方式。
在这个普遍提倡降本增效的时代,一家赚钱的企业,一定有外包;还没有外包的企业,一定还不怎么赚钱。
二、 BPO 的学术分类
离岸外包(Offshore Outsourcing):这种方式指的是公司将业务流程外包给位于其他国家或地区的供应商,通常是为了利用成本差异和时区优势。例如,美国或欧洲的企业可能会选择将后台办公支持、客户服务或 IT 开发等业务流程外包至印度、菲律宾、中国等地。
近岸外包(Nearshore Outsourcing):近岸外包类似于离岸外包,但距离母国较近,地理位置相近且有时区相似或重叠,便于管理和沟通。例如,欧盟国家之间的外包,或者美国企业向墨西哥、加拿大等地的外包。
国内外包(Onshore Outsourcing):国内外包是在同一个国家内部进行的,可能是跨地区或者城市间的外包。这种方式仍然能实现成本节省,同时避免了语言、文化、法律差异带来的复杂性。
云外包(Cloud-based BPO):随着云计算技术的发展,一些BPO服务可以通过云端平台完成,比如基于SaaS(Software as a Service)的解决方案,使得企业可以在线获取和管理各种业务流程服务。
专业功能外包(Specialized Functional Outsourcing):包括但不限于财务会计、人力资源、供应链管理、市场营销、研发设计等特定领域的业务流程外包给专业的服务提供商。
知识流程外包(KPO, Knowledge Process Outsourcing):KPO 涉及更高层次的分析和决策支持活动,包括法律研究、市场调研、医药研发、数据分析、金融分析等高度专业化和知识密集型的工作。
三、 云 BPO 越来越是主流
在这个云办公时代,只要没有和企业正式员工坐在一起办公的外包,基本都是云外包的形式,外包人员在任意地理位置,通过一个 SaaS 化的平台,访问企业数据,完成工作内容。例如外包客服人员一定有客服系统,售后工单系统;内容审核人员,一定要借助企业自己搭建的在线内容审核平台;外包销售人员一定有个云上 CRM 系统。
四、 云 BPO 让传统的数据安全架构彻底瓦解
标题很吓人,但现实就是如此残酷。传统的数据安全管理哲学,要么是监控,要么是管控。但是一旦遇到了云 BPO,就纷纷失效了。
1、为什么监控的路给堵死了?
家里养了一只金毛犬,每半个月洗一次,妥妥的脏活累活,你受不了了于是把狗拉到宠物店,以 80 块一次的价格,委托店主来洗。你告诉店主,为了确保他有用心给狗洗澡,不存在虐待宠物的行为,你要求在店里装上自己的摄像头,以便随时监控。你觉得店主会把你往死里打,还是往死里骂?
2、为什么管控的路给堵死了?
你有一块 10 斤的金条,寄存到银行的 VIP 保险箱里,你告诉银行行长,箱子的锁得换成你带过去的锁,行长会让你再换一家银行试试。
给了钱,还不是大爷,仅仅是因为钱给得不够。要是给得足够,乙方外包倒是愿意换门、换锁、专人、专岗地伺候着爷。但是如果要花那么些钱,还外包个什么,招一堆全职员工去折腾不就好了。
五、 保密协议,数据安全能力薄弱的甲方遮羞布
供应商泄密,微博谴责,重新签订保密协议。频繁上演的剧情,让人熟悉又亲切,很是无奈,但这就是大多数企业对于自己的 BPO 供应商,能够实施的唯一有点把控性的措施了。
我问过 GPT 了,我问他企业应该如何保障 BPO 过程中的数据安全,同一般的 CSO(安全总监)能够给出的答案应该是一致的:
1、安全政策与标准统一:建立一套适用于内外部团队的数据安全政策,并确保BPO团队严格遵循这些政策和程序。要求BPO服务商采用与企业同等或更高级别的安全措施,包括但不限于加密技术、访问控制、防火墙策略等。
2、访问控制与权限管理:对 BPO 团队成员设置严格的访问权限,仅允许最小化授权原则下的必要访问。实施多因素认证和会话审计,监控对敏感数据的操作行为。
3、数据传输安全:使用安全的数据传输协议(如SSL/TLS)进行加密传输,避免数据在传输过程中被窃取或篡改。在可能的情况下,考虑使用专用网络或虚拟私有网络(VPN)连接,增强数据传输安全性。
4、监控与审计:定期审查BPO团队的安全控制措施及其执行情况。实施定期的数据安全审计,包括系统漏洞扫描、渗透测试等,以验证数据安全防护的有效性。
5、培训与意识提升:对BPO团队成员进行数据安全培训,确保他们了解并遵守企业的数据保护政策和最佳实践。提升外包员工的信息安全意识,减少由于疏忽或不当操作引起的数据泄露风险。
6、应急响应与灾难恢复计划:制定清晰的数据泄漏应急预案,并确保BPO团队能够快速有效地响应安全事件。
以上教科书般的 6 点看似头头是道,正当无比,但它们有个最大的 Bug,那就是丝毫没有解决 BPO 供应商自身作恶的初始矛盾。
六、 家丑不可外扬 vs. 外丑势必内扬
BPO 模式,让 CSO 面临比内部更大的压力。
一个企业内,如果安全团队发现某个员工有疑似泄露企业数据的行为,调查团队通常会先寻求涉事员工的主管予以协助。主管们接下来的行为模式,极具预测性,他们通常是先表示惊讶,然后开始打掩护,掩护的理由无外乎“他肯定误操作了”,“他事先跟我讲过了”,“他不是有心的”。
近年来,业界开始流行一种叫做有效性验证的安全自检路线,其作用之一是帮助安全团队发现安全失效的缺口。但现实情况是,把任何一个企业的 CSO 提溜出来,每个人对自己组织内有多少个 DLP 渠道已经失效了,多少个防火墙策略没有开启,多少个接口还没鉴权,多少流量还没收口,多少个风险敞开还无人关心,都门清儿,但他们不一定会具实告诉老板。
其中内因,都在这里交代过了:数据安全,走到前台来,不要再躲在背后。
总结一下背后的心理逻辑,其实就是鉴于数据安全事故难以定损,难以追踪,那还不如在内部大事化小,小事化了,毕竟家丑不可外扬。
但到了 BPO 场景,就完全不一样了,无论是甲方自行发现,还是外界情报反馈,既然不是一家人了,那必须锱铢必较,不隐藏任何风险,风险无处藏,责任也就不可避了,这就是压力的来源。
七、 外企怎么管理自己的 BPO 供应商
去回顾一下上面 GPT 给出的 BPO 供应商管理方案建议吧,有多少企业切实地去监督和定期审计供应商的,请举个手。
既然没人举手,我就发言了。在电商行业,国外的品牌要到国内来卖货,首选的模式就是外包,学名叫做“代运营”。
国外企业对于国内企业的信息安全要求极高,除了合同协议约束,他们也会亲自上阵,每年至少来一次从头到尾的审计。自己花钱请外包代运营业务,再自己重金驻场审计检查。光是一次审计的花销,都可能在百万人民币级别,这是真审!
八、 BPO 供应商能够接受安装甲方有边界感的 VPN
VPN 是个不拿群众一针一线的好同志,它默默地在甲方和乙方之间,拉起一条代表友谊的线路,它不会去采集供应商电脑里的文档数据,也不会去监视供应商有没有安排两个甲方的活给同一个员工,更不会去采集供应商员工的个人信息。它边界感十足,它温柔纯良,它落落大方,惹人喜爱。
九、VPN 这么可爱,但却只解决了一半数据安全问题
本质上对于数据的保护来讲 VPN 防的是外贼,而不是内鬼。大白话来讲,我们可以说 VPN 其实是防神秘的黑客的,科幻电影里经常有的场景,技术牛人在电脑里打开一个小黑窗口,一通操作就入侵到公司网络,在企业内部横着走那种。
但是我们面对的现实是,对于大部分企业一般数据泄露的发生,大都归因到那些日常能够正常使用公司系统和数据的个人员工,俗话说家贼难防,这里不是针对谁啊,是针对所有人。
十、真的没有办法,夺回 BPO 数据安全的主权吗
有啊,先进企业都在用数影轻松解决 BPO 数据安全管理的难题。
