Fraude bij klantcontact: voorkomen is beter dan genezen

Transcriptie

1 Fraude bij klantcontact: voorkomen is beter dan genezen April 2014

2 Fraude bij klantcontact: voorkomen is beter dan genezen Klantcontact is mensenwerk; mensenwerk leidt tot frauderisico s. Teleperformance heeft als marktleider een innovatief en beproefd framework ontwikkeld voor fraudepreventie en -bestrijding. Het Fraud Risk Assessment van Teleperformance is geen papieren tijger, maar een praktisch toepasbaar instrument waarmee Teleperformance de kwaliteit en veiligheid van het klantcontactproces voor haar opdrachtgevers verhoogt. Voor consumenten is online zaken doen volledig ingeburgerd. We oriënteren, vergelijken, bestellen en betalen en doen dat allemaal onbezorgd op onze laptops, tablets en smartphones. Bij al die transacties gaan er allerlei data over en weer. Als consument verwacht je dat alle processen veilig verlopen en dat privacygevoelige informatie in goede handen is. Wanneer het klantcontact rondom e-commerce wordt geoutsourced, gaan (klant)data op reis: ze komen in handen van medewerkers van een andere organisatie. Ook als uitbesteder van klantcontact verwacht je dat het klantcontact veilig, betrouwbaar en integer verloopt. Als uitbesteder wil je geen (imago)schade oplopen als gevolg van gaten in de informatiebeveiliging. Risico s nemen toe E-commerce, het internet of things, mobiele diensten en cloudcomputing maken onze wereld meer en meer connected. Klantcontact wordt complexer en consumenten willen steeds meer one stop service. Dat vraagt om empowered agents, waarbij je empowerment kunt borgen met goed beleid op vlak van security. Het imago van online retailers wordt in verregaande mate bepaald door de mate waarin je een betrouwbare partner bent. Consumenten en hun belangenorganisaties dwingen dit af met certificering en keurmerken, waarmee je kunt aantonen dat je maatregelen hebt getroffen om risico s te beperken. Gelukkig komt informatiebeveiliging steeds hoger op de agenda van de boardroom te staan.

3 De impact van fraude wordt onderschat Vrijwel alle bedrijven hebben dan ook beleid voor informatiebeveiliging ontwikkeld. Ze letten op richtlijnen, regels en (wettelijke) voorschriften; ze implementeren standaarden zoals ISO 27001; en ze halen gecertificeerde auditors en security-analisten in huis. Daarbij gaat de meeste aandacht uit naar cybercrime van buitenaf, maar dat is echter slechts een deel van het probleem. De grootste bedreigingen op het vlak van veiligheid komen van binnenuit, al is dat voor veel bedrijven nog een lastig thema. De grootste veiligheidsrisico s liggen op het vlak van misbruik of diefstal van data, frauduleuze transacties en bestellingen en een ongecontroleerd gebruik van externe systemen zoals internet, aldus de onderzoekers van Shopping2020: Onze verwachting is dat in het jaar 2020 het winkelproces niet dramatisch zal veranderen, maar dat voornamelijk verschuiving plaats zal vinden ten aanzien van het landschap van online shopping (zowel technologisch, qua globaliteit en schaalgrootte). Door deze verschuiving zal afhankelijkheid van ketenpartners en de mogelijke schaalgrootte van onveiligheid en fraude toenemen. Technologische innovaties kunnen hierbij zowel faciliterend als bedreigend zijn. Vrijwel alle bedrijven besteden aandacht aan beveiligingsprocedures, maar vaak kennen ze op het vlak van fraudepreventie geen audit- en monitoringcultuur. Ook beschikken ze zelden over specifieke programma s en systemen die de frauderisico s structureel in kaart brengen en beperken. Het gevolg is dat bedrijven de business impact van frauderisico s sterk onderschatten. Bouwstenen van informatiebeveiliging Een goed framework voor informatiebeveiliging is opgebouwd uit verschillende niveaus. Informatiebeveiliging begint bij het voldoen aan algemene wet- en regelgeving voor informatiebeveiliging. Op het tweede niveau gaat het om maatregelen die voortvloeien uit lokale wetgeving en maatregelen die bij specifieke lines of business horen denk aan nationale en Europese privacywetgeving. Het derde niveau omvat maatregelen op het gebied van fysieke beveiliging: denk aan clean desk policy, toegangsrechten, camerabewaking, maar ook aan training. Op het vierde niveau vind je maatregelen gericht op risicobeheersing gericht op de continuïteit van bedrijfsprocessen denk aan ITredundancy of uitwijkmogelijkheden. Bedrijven die een stap verder gaan, besteden ook aandacht aan het beheersen van frauderisico s. Ze passen systemen en processen toe op het gebied van preventie en detectie van fraude, zodat processen zonder schade of verliezen blijven verlopen. Het hoogst haalbare niveau van veiligheidsbeleid is dat het securitybeleid volwassen en transparant is voor zowel de dienstverlener als de opdrachtgever.

4 Aan de slag met fraudebestrijding Teleperformance heeft als wereldwijd marktleider in de facilitaire klantcontactsector een beproefd framework ontwikkeld om in alle bedrijfsprocessen proactief aandacht te besteden aan fraudebestrijding. Dit zogenaamde Fraud Risk Assessment van Teleperformance maakt onderdeel uit van het totale security beleid van Teleperformance. Het securitybeleid van Teleperformance is ontwikkeld op basis van alle best practices op het gebied van informatiebeveiliging in de klantcontactsector. Het security framework grijpt aan op mensen, processen en systemen: een global security team en local teams in de verschillende landen; verschillende standards, procedures en meer dan 500 controls; en monitoring en training (zie kader bouwstenen van informatiebeveiliging ). Met dit security programma heeft Teleperformance wereldwijde erkenning gekregen van Secure Computing Magazine (2012: best security team) en van Frost & Sullivan (2008, 2012: best security practice). De toepassing van het Fraude Risk Assessment bij een van de klanten van Teleperformance is bovendien genomineerd in de categorie Innovatie voor de Nationale Contact Center Awards van Het information security system van Teleperformance Het information management security system van Teleperformance bestaat uit 18 policy standards, 120 procedures en meer dan 500 controls, die variëren in gewicht en waarvan sommige opdrachtgever-specifiek zijn. De policy standards worden op het niveau van de Teleperformance Group samengesteld onder leiding van de compliance manager. Iedere maand is er een global meeting waarbij onder meer de input van alle landen verzameld wordt. De policies zijn dus steeds het resultaat van wereldwijd verzamelde best practices. De standards zijn gedetailleerde stappenplannen en procesvoorschriften. Controls zijn de punten waarop werkwijzen, processen en systemen periodiek gecheckt worden door middel van audits. De geldigheid van iedere control verloopt na een jaar of een kwartaal. Voor het verstrijken van de geldigheid moet op iedere Teleperformance locatie via een audit opnieuw bewijs worden verzameld dat een control voldoet. Denk aan een control op het gebied van visible security, die omschrijft dat Teleperformance voor alle sites zaken moet controleren zoals fysieke toegangscontrole (door middel van elektronische badges), toegangsrechten (de vloer wordt alleen gebruikt voor een specifieke opdrachtgever) en het in het pand onherkenbaar zijn van de opdrachtgever (geen naambordjes aanwezig). Andere controls hebben bijvoorbeeld betrekking op het regelmatig reviewen van de firewall regels waarbij moet worden aangetoond dat dat systemen gepatcht zijn op basis van vulnerability scans.

5 Het Teleperformance Fraud Risk Assessment Het doel van het Fraud Risk Assessment is dat mogelijke frauderisico s worden geïdentificeerd en vervolgens beperkt kunnen worden door het nemen van gerichte maatregelen. Het Fraud Risk Assessment bestaat daarom uit verschillende stappen: Prepare, Collect, Process, Improve en Result. Hoe wordt het Fraud Risk Assessment uitgevoerd? 1. Prepare Teleperformance past de Teleperformance security standaards toe bij het ontwerp en de implementatie van nieuwe klantcontactprocessen van klantorganisaties (uitbesteders). 2. Collect Het securityteam van Teleperformance Benelux vergelijkt de processen van de klantorganisatie met de Teleperformance standaarden. Er wordt meegeluisterd met gesprekken tussen agents en klanten; agents, business unit managers, contactcentermanagers en supervisors worden geïnterviewd; feitelijke processen en werkwijzen worden vergeleken met gemaakte afspraken en opgestelde documenten; er wordt een groot aantal steekproefcontroles uitgevoerd op verschillende zaken: beschikken alle medewerkers over de vereiste verklaring omtrent gedrag (VOG)? Is de fysieke toegangscontrole goed geregeld? Zijn de werkstations gehardened? 3. Process De resultaten van deze grondige analyse worden administratief vastgelegd en leiden tot een overzicht van risico s. De impact van deze risico s wordt door een team van security experts

6 bepaald, waarbij zij alle risico s aan de hand van drie criteria wegen: - de populariteit van een risico: hoe bekend is het frauderisico bij de direct betrokkenen? - de exploitability van een risico: hoe gemakkelijk is het om fraude te plegen? - de business impact van een risico: de totale mogelijke schade; niet alleen directe financiële schade, maar ook reputatieschade. De drie wegingsfactoren samen leiden tot een impact level score voor ieder risico. 4. Improve Een eerste audit van Teleperformance leidt vrijwel altijd tot findings. Findings worden steeds teruggekoppeld en leiden op verschillende niveaus tot scores in het security systeem. Daardoor is per site, per land en per aandachtsgebied zichtbaar hoe er op compliancy gescoord wordt, waar problemen of aandachtspunten zitten, wie daarvoor aanspreekbaar zijn en wat er wanneer moet gebeuren. Bij complexe findings wordt uiteraard naar diepere (grond)oorzaken gezocht door middel van een root cause analyse die besproken worden met het team van de klant. Findings vormen uiteraard de basis voor acties (ingrepen in processen of systemen) of adviezen. 5. Result Findings uit een audit kunnen leiden tot nieuwe klant- of projectspecifieke controls die aan het security management systeem worden toegevoegd. Zo wordt de daadwerkelijke follow-up voor de toekomst geborgd en raakt de veiligheid van de klantprocessen volledig in het Teleperformance securitybeleid ingebed. Nieuwe controls worden afhankelijk van hun gewicht jaarlijks of per kwartaal geaudit, waarbij de auditoren voor iedere control het bewijs moeten aanleveren dat er passende maatregelen zijn genomen om het risico te beheersen. Sommige risico s worden, onderbouwd met redenen, geaccepteerd. Onderdeel van het hoogste volwassenheidsniveau van informatiebeveiliging (zie kader) is dat daar zowel bij klant als dienstverlener overeenstemming over bestaat.

7 Fraudepreventie en -bestrijding is geen sinecure Met IT en fysieke beveiliging kan veel bereikt worden denk aan toegangscontrole, autorisaties en cleandesk policies maar de volgende stap in fraudepreventie heeft te maken met de medewerker. Veel bedrijven kiezen er voor om procedures zo te ontwerpen dat de agent niet te veel beslissingsbevoegdheden heeft. Dat gaat vaak ten koste van de mogelijkheden om optimale service te verlenen. Veiligheid en one stop service hoeven elkaar niet uit te sluiten. Wel vergt het moed om op het het vlak van veiligheid en fraude: - de juiste analyses te durven maken - conclusies te durven trekken over mensen middelen en systemen - vervolgens passende maatregelen te nemen. Security realiseer je met z n allen. Binnen Teleperformance worden alle medewerkers in trainingen en via posters actief aangemoedigd om (los van de auditors) zelf findings te rapporteren. Dat kan binnen Telepeformance op een veilige manier dus met respect voor de melder..

8 Voor meer informatie kan je contact opnemen met of