Примечание редакции Портала PRC.TODAY: В этой статье мы обсуждаем решения для автоматизации бэк-офиса в Китае. Это включает в себя способы управления ключевыми соображениями, такими как доступ к надёжной поддержке и надёжным информационным ресурсам на местах, знание ИТ-программного обеспечения и вариантов обслуживания, уникальных для Китая, соблюдение законодательства, а также проблемы кибербезопасности и безопасности данных.
(China Briefing) – Здесь, мы обсудим решения по обеспечению кибербезопасности и комплаенса для иностранных фирм, создающих бэк-офисные операции в Китае, а также способы усиления ИТ-поддержки на местах.
Проблемы в поддержании безопасности и соблюдения требований
Помимо технических препятствий, существует ещё один сложный вопрос, с которым сталкиваются предприятия с иностранными инвестициями в процессе автоматизации бэк-офиса – безопасность и соблюдение, что является не чисто ИТ-проблемой или юридической проблемой, а скорее смесью того и другого. Здесь мы остановимся на некоторых наиболее распространенных проблемах, связанных с безопасностью и соблюдением требований.
Утечка данных
Утечка данных, как правило, происходит, когда пользовательские устройства не контролируются компанией. Например, в нынешней ситуации COVID-19, когда многие сотрудники работают удаленно на персональных ноутбуках, существует более высокий риск утечки данных, учитывая, что домашние устройства обычно не имеют адекватной защиты по сравнению с оборудованием компании на рабочем месте. Ситуация может ухудшиться, если у компании не будет платформы UC, особенно если бизнес-данные и документы начнут перетекать через различные социальные медиа-платформы, принятые сотрудниками в отсутствие безопасной корпоративной альтернативы.
Защита учётной записи
Как говорится, «самый простой способ захватить крепость – изнутри». Несмотря на наличие безопасного помещения и установки, а также соответствующих мер безопасности, одним из наиболее уязвимых пунктов является защита индивидуальных учётных записей сотрудников. Спуфинг или вредоносное ПО очень успешно используют отсутствие сложных ИТ-знаний генерального штаба в организации. Скомпрометированные учётные записи часто приводят к нарушению и обходу многочисленных средств контроля безопасности, таких как защита сети и контроль доступа к информационным активам.
Соответствие
В последние годы Китай продолжает развивать свой режим кибербезопасности, разрабатывая, пересматривая и издавая соответствующие законы и нормативные акты, в результате чего растёт число всё более сложных и изменяющихся требований к ИТ-планированию и соблюдению требований. Здесь мы перечислим некоторые общие требования соответствия, которые иностранные компании должны учитывать при планировании автоматизации своего бэк-офиса в Китае:
Регистрация ICP и лицензия ICP
Подача заявки Провайдером интернет-контента (ICP) является обязательным требованием для любого веб-сайта или системы, которая должна быть общедоступной через Интернет в Китае, будь то для внутреннего или внешнего использования.
Промсвязьбанк
В дополнение к подаче ICP, которая контролируется Министерством промышленности и информационных технологий (MIIT), Министерство общественной безопасности (ICP) может потребовать от компании пройти процесс подачи заявки в местное бюро общественной безопасности. Обычно это должно быть сделано в течение 30 дней после подачи ICP. Без своевременной подачи заявки PSB может попросить провайдера закрыть доступ к системе или веб-сайту, в дополнение к наложению штрафа на компанию и/или технический персонал, который контролирует систему.
Локализация данных
В соответствии с Законом «О кибербезопасности» оператор системы критической информационной инфраструктуры (CII) должен хранить личную информацию и важные данные, собранные и сгенерированные в ходе её функционирования, которые относятся к деятельности компании или персонала в Китае – на территории Китая. В случае необходимости трансграничной передачи вышеуказанных данных требуется предварительное одобрение. Это создаёт серьёзную проблему для компаний, которые используют существующую ИТ-систему своего штаба.
MLPS 2.0
Многоуровневая схема защиты (MLPS) – это набор национальных стандартов, впервые введённых в 2007 году, затем принятых в Закон «О кибербезопасности» (CSL) в 2017 году и обновлённых в рамках того, что сейчас называется MLPS 2.0. MPLS 2.0 оказывает большее давление на компании, чтобы поддерживать соответствие требованиям, с пятью уровнями регулируемой защиты безопасности. Предполагается, что компании должны проверять свои собственные системы, чтобы понять, к какому из этих уровней они относятся и какие соответствующие меры контроля безопасности они должны соблюдать. Для уровня 2 или выше, например, оценка контроля безопасности на месте должна быть выполнена назначенной правительством фирмой «аудита безопасности».
Конфиденциальность
В последние годы Китай также уделяет всё большее внимание защите личной информации. В 2019 году было начато несколько кампаний по борьбе с незаконным сбором личной информации в Китае, которые породили целый ряд стандартов, предусматривающих подробные требования к соблюдению конфиденциальности. Однако, в отличие от Европейского Общего регламента защиты данных (GDPR) или Калифорнийского Закона «О конфиденциальности» потребителей (CCPA), в Китае ещё нет единого универсального закона о конфиденциальности, поэтому компании должны ссылаться на множество нормативных актов и инструкций различных органов власти. Закон Китая «О защите личной информации» только что был включен в законодательный план Национального народного конгресса 2020 года. До тех пор, пока это не изменится, для компаний, работающих в Китае, будет оставаться серьёзной проблемой соблюдение в этом отношении, потому что они должны ссылаться на многочисленные правила и инструкции от различных органов власти на данный момент, при управлении их целями соответствия.
Решения
Для решения вышеперечисленных задач важно объединить усилия как технических, так и юридических специалистов в области ИТ в рамках процессов комплаенса. Чистая юридическая консультация часто не имеет практического вклада от подлинного опыта в области ИТ и может быть очень трудно применима к реальному миру.
С другой стороны, чисто ИТ-консультационные услуги, как правило, сосредоточены только на аспектах информационно-коммуникационных технологий (ИКТ) и могут иметь низкую осведомленность или чувствительность к требованиям соблюдения законодательства. Работа как с техническими, так и с юридическими специалистами является наиболее подходящим вариантом.
Учитывая этот приоритет, следующие подходы могут помочь снизить потенциальный риск кибербезопасности и несоблюдения требований:
Стратегия нулевого доверия
В соответствии с традиционной стратегией безопасности периметр безопасности может быть определён с пользователями внутри периметра, обозначенными как находящиеся в зоне «доверия». Любой пользователь, находящийся за пределами периметра, определяется как находящийся в зоне «недоверия». Люди или устройства в зоне доверия имеют более слабый контроль безопасности, в то время как любой доступ из зоны недоверия контролируется более строго. Однако на практике, как правило, атаки из зоны доверия становятся всё более и более распространенными, с большими сопутствующими рисками.
Альтернативой этой методологии является стратегия нулевого доверия, которая означает никогда не доверять никому и никакому устройству по умолчанию. Этот подход становится всё более популярным для решения сложных задач безопасности. Каждая точка доступа с любого устройства и любой человек в любом месте должны быть оценены с несколькими факторами – прежде чем контроль доступа будет предоставлен или отклонён. Обычно это достигается с помощью системы контроля безопасности на основе искусственного интеллекта (ИИ).
Централизованная платформа с DLP и защитой информации
Чтобы решить проблему кибербезопасности и комплаенса, наше первое предложение состоит в том, чтобы внедрить единую централизованную платформу, охватывающую все бизнес-потребности, в которой все связанные с бизнесом данные могут храниться и управляться под контролем компании. Кроме того, все данные, сохраненные на устройствах (данные в состоянии покоя), должны быть зашифрованы, например, включив шифрование BitLocker на ноутбуках, на случай, если устройства будут потеряны. Все передаваемые данные должны обмениваться с помощью защищенных протоколов, таких как HTTPS/TLS-соединение. Управление доступом на основе ролей (RBAC) и другие методы управления доступом должны применяться для любых используемых данных. Кроме того, компания должна рассмотреть возможность развертывания мер по предотвращению потери данных (DLP) для предотвращения случайной или преднамеренной передачи конфиденциальных бизнес-данных из организации. Для очень важных данных дополнительные меры защиты информации, такие как защита информации Azure, должны быть рассмотрены и применены на уровне документа, чтобы расширить контроль безопасности за пределами организации, где бы ни находился документ.
Одним из примеров такой платформы является платформа Microsoft365, которая объединяет электронную почту, файлы, сообщения, встречи и инструменты повышения производительности для удовлетворения всех бизнес-требований, в то время как все данные сохраняются в пределах одной платформы с централизованным управлением.
Защита IAM
Защита идентификации и управления доступом (IAM) предлагается использовать для обеспечения более сильной защиты учётных записей пользователей, учитывая, что наиболее распространёнными и эффективными способами атак на учётные записи пользователей являются спуфинг, трояны и вредоносные программы. Один простой способ достичь этого – реализовать многофакторную аутентификацию (MFA) для учётных записей пользователей, которая может предотвратить незаконный доступ к системам, даже если учётная запись и пароль пользователей скомпрометированы. Будет ещё лучше, если решение IAM будет основано на ИИ, например на безопасности Azure AD, которая может обеспечить дополнительный контроль условного доступа.
Наконец, компаниям также предлагается регулярно проводить обучение своих сотрудников для повышения осведомлённости о безопасности, поскольку пользователи являются последней важной линией защиты от угроз безопасности. Внутренняя проверка проникновения спуфинга может быть очень полезна для выявления наиболее уязвимых пользователей, за которой последует соответствующее обучение этих пользователей по темам осведомлённости о безопасности.
Отсутствие ИТ-ресурсов на местах для поддержки
Проблема, которая существует и затрагивает всю систему бэк-офиса, заключается в том, что китайским дочерним офисам иностранных компаний часто не хватает ИТ-ресурсов на местах для обеспечения адекватной, квалифицированной и своевременной технической поддержки. При отсутствии местной поддержки ряд ранее упомянутых проблем, ориентированных на производительность, естественно, затронет операции фронт-офиса и персонал в течение более длительного времени и более выраженными способами.
Для стартапов и малых и средних предприятий (МСП) это естественно, потому что им трудно содержать квалифицированный ИТ-персонал, способный решать и контролировать вопросы, связанные с ИТ, из-за бюджетных ограничений. Даже более крупные компании испытывают нехватку ИТ-ресурсов на местах в своих китайских дочерних компаниях, особенно на начальном этапе инвестиций и из-за проблем, таких как COVID-19.
В результате очень часто филиалы клиентов в Китае сильно зависят от удалённого управления ИТ-командой штаб-квартиры. Это часто охватывает все аспекты ИТ-отрасли – от простейших вопросов поддержки ИТ-службы до сложной ИТ-инфраструктуры или проектов миграции и многого другого. Для офисов, в значительной степени полагающихся на ИТ-поддержку штаб-квартиры, как правило, возникает множество проблем, которые часто плохо смягчаются просто из-за масштаба и проблем, характерных только для Китая. Тем не менее даже филиалы, которые имеют некоторый ИТ-персонал на местах в Китае, могут столкнуться с трудностями при решении целого ряда ИТ-вопросов, способные возникнуть при поддержке операций бэк-офиса и автоматизации. Большинство компаний просто не имеют бюджета, чтобы управлять большой и сложной местной ИТ-командой.
Этот статус-кво многие компании терпели в течение многих лет в Китае. Отсутствие надёжной местной технической команды может быть особенно сложным, если компания планирует построить свои собственные бэк-офисные системы.
Проблемы поддержки, вытекающие из неэффективной коммуникации
Коммуникация между ИТ-командой штаб-квартиры и местными офисами часто приводит к значительным языковым барьерам, различиям в часовых поясах и культурным различиям, которые совместно влияют на качество и эффективность коммуникации между ИТ-командой штаб-квартиры и местным персоналом.
Например, большинству компаний в Китае не хватает специализированного персонала технической поддержки, способного общаться на двух языках, при этом говорить и действовать с техническими способностями на уровне своих коллег в штаб-квартире. Это может создать много проблем для персонала компании, чтобы общаться на техническом уровне о своей собственной сети и системной среде для устранения неполадок и получения информации о новых рассматриваемых решениях.
Обычно компании попадают в тупик, что заставляет штаб-квартиру доверять и принимать локальное решение, которое они могут не понять. Такие пробелы могут привести к расхождениям в самих инструментах и технологиях, принятых на местном уровне (теневые ИТ), или к тому, что не проверенные местные третьи стороны получат доступ к корпоративным системам, чтобы помочь устранить и исправить проблему. Но это может привести к ряду существенных проблем соответствия требованиям и безопасности в среднесрочной и долгосрочной перспективе.
Другой проблемой является поддержание непрерывности, соответствия требованиям и безопасности в локализованных решениях. Для достижения этой цели команда ИТ-поддержки должна поддерживать хорошее и актуальное понимание технических обновлений локальной системы и изменений в её политике. Без тщательного рассмотрения и наземного интерфейса для максимальной коммуникации и прозрачности это требование очень трудно выполнить.
Трудности в проактивном управлении
Проактивное управление и техническое обслуживание существующих ИТ-систем – это хорошо известный способ заранее предотвратить потенциальные ИТ-проблемы или смягчить потенциальный ущерб. Однако МСП в Китае часто имеют ограниченные ИТ-ресурсы на местах или, возможно, ограниченную удаленную поддержку со стороны своей ИТ-команды, что затрудняет проактивную управленческую работу. Это, в свою очередь, ведёт к увеличению количества и влияния проблем для некоторых фирм в корпоративной ИТ-среде Китая.
Вместо того чтобы заранее выявлять и предотвращать риски, ИТ-команда должна «тушить пожары» в ответ на проблемы, которые уже возникли и могут уже нарушать работу фронт-офиса и вспомогательного офиса. В результате время от времени могут возникать различные, но связанные с ними ИТ-проблемы, ещё больше ослабляющие общую надёжность и стабильность систем, от которых зависит бизнес.
На данный момент очень часто местные сотрудники и руководство в Китае становятся менее удовлетворенными ИТ-системами, предоставляемыми штаб-квартирой, и, как упоминалось ранее, они могут даже искать альтернативы, которые им легче поддерживать. Но, которые, в свою очередь, могут создать ещё больше проблем. Поэтому важно избегать попадания в ловушку этого цикла, если это вообще возможно.
Решения
Фирмы с большим ИТ-бюджетом, конечно, могут развивать свои собственные ИТ-ресурсы на местах, хотя это требует времени. Небольшие фирмы с меньшей вероятностью смогут оправдать преданный своему делу персонал поддержки, работающий полный рабочий день. Они могут использовать поставщика реактивной поддержки, но это часто упускает из виду прочную проактивную модель поддержки. Для таких фирм есть и другие варианты.
Службы поддержки планирования
Службы поддержки планирования, даже неполный рабочий день в фиксированные (один или два) дня в неделю, могут установить организационные привычки и процедуры обслуживания, которые необходимы с помощью еженедельных проактивных задач для обеспечения стабильности системы. Это может быть очень доступный вариант, который многие фирмы упускают из виду и даже могут быть доступны в пакете всего за один или два запланированных дня в месяц.
Для компаний среднего размера это также может быть способом сократить некоторые из существующих внутренних услуг, чтобы снизить эксплуатационные расходы на ИТ.
Облачные и SaaS-решения
Ключевая стратегия для небольших фирм заключается в том, чтобы уменьшить количество проблем, которые могут возникнуть, упростив её. В данном случае это означает использование SaaS или других облачных решений. SaaS или другие облачные системы обычно зависят только от Интернета, сети и персонального компьютера или мобильного устройства. Бремя проактивного управления ложится в основном на самих поставщиков программного обеспечения/услуг, а не на ваши корпоративные ИТ-команды. Компаниям нужно будет только обеспечить проактивное управление оставшимися частями системы и сети компании, которые поддерживаются внутри компании. В целом, такие услуги часто гораздо проще и экономически эффективнее поддерживать.
Сотрудничество с квалифицированным местным поставщиком услуг
Небольшие фирмы иногда принимают смешанное решение, что также является хорошей практикой – один или несколько местных двуязычных сотрудников с базовой ИТ-грамотностью в сочетании с одним или несколькими компетентными внешними ИТ-партнёрами. Благодаря такому сотрудничеству с квалифицированным местным поставщиком услуг местная команда компании и её штаб-квартира могут общаться на обоих языках, и надлежащая поддержка становится более возможной в случае необходимости. Тем не менее, компания должна быть оснащена достаточным количеством базовых знаний, чтобы сказать, является ли поставщик услуг квалифицированным на самом деле.
Ключевые моменты при планировании автоматизации бэк-офиса
Технические инструменты помогают автоматизировать бэк-офисные процессы для китайских компаний таким образом, чтобы они могли работать более эффективно, работать удаленно и беспрепятственно и работать со всё меньшими бюджетами. Эта тенденция может быть использована фирмами в своих явных интересах, но лучше всего это сделать, если компания также гарантирует, что выбранные ею решения, сетевая среда и модель поддержки готовы и хорошо функционируют.
Иностранные компании, как правило, сталкиваются с многочисленными проблемами или разочарованиями при разработке, эксплуатации и обслуживании ИТ-систем для своих китайских дочерних компаний. Такие проблемы включают в себя уникальную интернет-среду Китая, где решения в Китае, которые могут показаться похожими, уникальны по сравнению с зарубежными предложениями, а также контекст соответствия требованиям Китая. Что ещё более важно, эти проблемы трудно решить без адекватных консультаций и поддержки ИТ-специалистов Китая на местах. Большинство компаний нуждаются в ИТ-ресурсах с солидными знаниями и опытом, будь то специальная внутренняя команда или привлечение внешних поставщиков.
Конечно, компании могут сами набирать команду и управлять ею, но это сопряжено со значительными затратами, которые обычно выпадают из бюджета большинства малых и средних предприятий. В таких условиях сотрудничество с квалифицированным местным поставщиком ИТ-услуг может оказаться наиболее экономичным по времени и затратам вариантом для обеспечения здоровой ИТ-среды и поддержки большего количества цифровых, автоматизированных и стимулирующих инструментов.
Чтобы выбрать местного поставщика ИТ-услуг, который поможет облегчить цифровизацию и автоматизацию функций вашего бэк-офиса в Китае, приведённые ниже стандарты поставщиков считаются важными на основе нашего опыта:
- Возможность беспрепятственно сотрудничать как со штаб-квартирой, так и с китайскими дочерними компаниями компании эффективным и дружественным образом.
- Способен давать советы, основанные на подробных знаниях на местах, чтобы помочь в принятии решений в штаб-квартире.
- Поддерживает сертификаты и квалификацию, применимые к ИТ-аспектам автоматизации бэк-офиса в таких областях, как:
- Сертификация сотрудника по защите данных (DPO) в области соблюдения конфиденциальности;
- Сертифицированный специалист по безопасности информационных систем (CISSP) в области информационной безопасности;
- Сертификаты конкретных поставщиков в Китае, такие как Dynamics ERP, XERO, MSSP, Microsoft365 Security Administrator for IAM/DLP solutions, CCIE и т.д.
- Богатый опыт работы в функциональных областях бэк-офиса, с точки зрения услуг и консультаций, для решения совместных областей знаний:
- Бухгалтерский учёт и аудит;
- Управление рисками и внутренний контроль;
- Управление человеческим капиталом и управление персоналом и заработной платой;
- Законодательство и комплаенс в области ИТ.
Информационные технологии играют важнейшую роль в успешном внедрении технических решений в бизнес-среде, а также в обеспечении постоянной стабильности, непрерывности и эффективности систем. Там, где такие ресурсы отсутствуют внутри, внешняя ИТ-поддержка является наиболее эффективным и доступным вариантом.
Статья о ключевых ИТ-соображениях и решениях для автоматизации Вашего бэк-офиса в Китае, подготовлена Портал PRC.TODAY по материалам сотрудника агентства China Briefing – Томаса Чжана.
Если вам понравилась статья или появились вопросы, оставьте ваш комментарий или обсудите эту статью на форуме.
Швейцарские предприятия присматриваются к огромному рыночному потенциалу Китая
