呼叫中心如何保護員工和客戶(hù)安全?
《CIO》Malcolm Wheatley 沈建苗 編譯 2008/11/05
對許多公司來(lái)說(shuō),呼叫中心就是公司業(yè)務(wù)的命根子。所以要求它們在為員工和客戶(hù)提供的物理安全與數字安全措施之間求得平衡。
呼叫中心不“安全”
2005年12月12日凌晨,24歲的Pratibha Srikanth Murthy在前往班加羅爾呼叫中心上班途中不幸遇害身亡。但是2008年1月印度法庭并沒(méi)有起訴審判涉嫌攻擊Murthy的出租車(chē)司機Shiv Kumar,而是把矛頭對準了Murthy當年所在公司的最高上司——Som Mittal。當年,他在Murthy服務(wù)的公司——惠普全球軟件公司(Hewlett-Packard GlobalSoft)任總經(jīng)理。
印度法律要求公司為女性雇員在夜間上下班途中提供安全的交通方式,為此Mittal受到了指控。Mittal現擔任印度全國軟件和服務(wù)公司協(xié)會(huì )(NASSCOM)會(huì )長(cháng),它是印度規模龐大的外包和呼叫中心行業(yè)的主要行業(yè)性組織。具有諷刺意味的是,這家協(xié)會(huì )曾經(jīng)擬訂了確保行業(yè)內員工享有安全交通方式的指導原則,這些原則甚至包括要求派保安陪同女性員工上下班; 女性雇員不該第一個(gè)被接送或者最后一個(gè)下車(chē)等內容。
印度最高法院在今年2月駁回了Mittal對此案的上訴,根據商店與公司法(Shops & Establishments Act),一旦Mittal被判定有罪,他只會(huì )面臨1000盧比(約合25美元)的罰款,但會(huì )留下案底,而他曾經(jīng)供職的惠普全球軟件公司也可能因此被牽連。
NASSCOM表示對此案不予評論。而惠普印度分公司稱(chēng),在開(kāi)庭前不想就此案發(fā)表評論。但是顯然即使這起謀殺案已過(guò)去了三年,印度呼叫中心行業(yè)仍會(huì )與這起案子牽連在一起,而且這種牽連關(guān)系似乎還會(huì )持續幾個(gè)年頭。
鑒于呼叫中心和保護數據安全有著(zhù)緊密的聯(lián)系,Srikanth Murthy案件正在警示世人: 確保處理數據的工作人員安全,對于數據安全同樣意義重大。
Patrick Chagnon供職的公司SSC設在美國康涅狄格州謝爾頓,它是一家安全咨詢(xún)公司,作為公司情報與調查部門(mén)的經(jīng)理,Chagnon認為像Murthy這樣的事件會(huì )令雇主企業(yè)名聲受損,因此帶來(lái)的風(fēng)險非常大。“自己的員工被人持槍攻擊或者搶劫、甚至受到傷害絕對不是什么好事,客戶(hù)也許會(huì )問(wèn),‘你連自己的員工都沒(méi)法保護,怎么能夠保護我們以及我們的數據呢?’”
事實(shí)也證明了這一點(diǎn),近期有大量新聞報道披露,不但有充足的證據表明,呼叫中心運營(yíng)商確實(shí)未能確保數據安然無(wú)恙,而且他們的員工遭受攻擊的概率也要高出普通人。
David Brown是總部設在伊利諾斯州斯科基的福賽思解決方案集團(Forsythe Solutions Group)負責安全咨詢(xún)服務(wù)的首席顧問(wèn)。他說(shuō): “類(lèi)似攻擊事件發(fā)生頻率非常高,這就像是那些夜間的自動(dòng)柜員機,或者是購物中心的停車(chē)場(chǎng),容易引發(fā)一些暴力傷害事件。呼叫中心的員工之所以容易遭到攻擊,就是因為呼叫中心通常是24小時(shí)不間斷運作,而且常常位于工業(yè)區或者人口稀少的辦公園區。”
總部設在英國倫敦的安全聯(lián)盟(Security Alliance)是由專(zhuān)業(yè)信息安全廠(chǎng)商組成的聯(lián)盟,該組織的執行董事John Beale則認為,呼叫中心落實(shí)到位的物理安全措施和保安人員往往忽視保護員工的安全,而是在側重于保護數據的安全。
實(shí)際上,除了員工安全保護差強人意外,數據保護不力、系統保護也不力等一連串令人擔憂(yōu)的呼叫中心安全漏洞更是時(shí)有發(fā)生。
安全培訓認證公司SCIPP International的創(chuàng )辦人Winn Schwartau是一名信息安全專(zhuān)家。他表示,呼叫中心安全的三個(gè)不同方面亟需審查: 第一個(gè)是針對不再是公司雇員的人,及時(shí)取消進(jìn)入大樓以及訪(fǎng)問(wèn)公司網(wǎng)絡(luò )的權限; 第二個(gè)是更有效地控制數據中心的工作人員對信用卡和銀行賬戶(hù)詳細資料等客戶(hù)財務(wù)數據的訪(fǎng)問(wèn); 第三個(gè)當然是這些工作人員的物理安全和保護。
拒絕違規訪(fǎng)問(wèn)
Schwartau認為如果對呼叫中心的系統運作開(kāi)展滲透測試以及審計工作,就會(huì )發(fā)現為數眾多的員工雖然已經(jīng)離開(kāi)了公司,但他們仍擁有訪(fǎng)問(wèn)公司計算機網(wǎng)絡(luò )和系統的權限。甚至在一些呼叫中心甚至有人早在兩三年前就離開(kāi)了公司,卻仍擁有訪(fǎng)問(wèn)權限,這樣的情況太司空見(jiàn)慣。
Schwartau表示,不是說(shuō)許多公司沒(méi)有認識到需要取消那些不該有的訪(fǎng)問(wèn)權限,而是說(shuō)他們缺乏以一致的方式取消權限的手段。“取消訪(fǎng)問(wèn)權限很可能是人力資源部門(mén)制訂的政策,但是控制網(wǎng)絡(luò )的不是人力資源部門(mén),結果是人力資源部門(mén)只是核對了權限一覽表,而沒(méi)有切實(shí)執行的手段。”
福賽思解決方案集團的Brown表示,對于訪(fǎng)問(wèn)權限的有效解決辦法就是用“極其明確的”流程來(lái)取代執行起來(lái)乏力的機制。“這種流程要充分考慮到有可能出現的各種場(chǎng)景。比如有人按規定退休與有人被公司以正當理由開(kāi)除,它們就應該是兩種全然不同的情況。”
Brown以被公司以“正當理由”開(kāi)除的這種情況為例解釋到:“正當理由包括操縱數據或者竊取數據,必須遵循的程序應當包括: 除了法務(wù)部人員、執法部門(mén)聯(lián)絡(luò )員、媒體關(guān)系人員甚至危機管理人員外,還應該讓安保人員在場(chǎng)(目的是防止被開(kāi)除的人仍舊強行訪(fǎng)問(wèn)系統),要求哪些人在場(chǎng)取決于被發(fā)現的不法活動(dòng)的后果可能有多嚴重。明確規定這些程序很重要,因為肯定需要用到它們。這樣的事情發(fā)生的頻率越來(lái)越頻繁了,人們越來(lái)越認識到數據中心具有的價(jià)值——越認識到這種價(jià)值,面臨的風(fēng)險就越大。”
Schwartau補充說(shuō),更大的風(fēng)險來(lái)自那些使用單次登錄系統來(lái)進(jìn)行登錄的公司。雖然單次登錄機制具有提高工作效率的優(yōu)點(diǎn),但是一旦密碼被竊取或者被濫用,就增加了數據丟失(或受損)的風(fēng)險。“有了單次登錄機制,一個(gè)密碼就可以訪(fǎng)問(wèn)多個(gè)系統。如果某人離開(kāi)了使用單次登錄技術(shù)的一家公司,取消其權限非常重要。”
確保呼叫中心安全可靠
說(shuō)到確保呼叫中心數據安全,Greg Boles認為有必要做好基本工作,先從調查新員工入手。Boles是風(fēng)險管理咨詢(xún)公司Aon Consulting派駐加利福尼亞州威脅管理和安全服務(wù)部門(mén)的負責人。
Boles說(shuō): “雇主們通常會(huì )進(jìn)行表面調查,但常常不夠深入全面,隨后又不采取后續措施。雇主應當開(kāi)展非常深入全面的背景調查,然后按規定不斷進(jìn)行背景調查和毒品檢驗,并把它作為一項工作條件。要是某個(gè)員工出現財務(wù)緊張、家庭暴力、違反限制令,或者對毒品有依賴(lài)性,那么他有可能存在濫用職位的動(dòng)機。”
一旦發(fā)現如果某個(gè)人有竊取信息的動(dòng)機,公司的下一道防線(xiàn)就是盡量加大竊取數據的難度。Boles表示,要對允許帶入數據中心的設備進(jìn)行限制,這實(shí)際上禁止使用以數字方式裝入數據的任何設備,比如光盤(pán)、USB驅動(dòng)器和閃存。這樣做,對防范不太明顯的獲取機密信息的方式比較有效。
Boles同時(shí)還認為,技術(shù)雖然會(huì )帶來(lái)風(fēng)險,但是也助于緩解風(fēng)險。“比方說(shuō),瘦客戶(hù)機和虛擬機就可以讓呼叫中心運營(yíng)商對工作人員的桌面系統能夠處理哪些任務(wù)實(shí)行最大限度的控制,而且更重要的是可以控制規定哪些任務(wù)不能處理,這樣就可以禁止有人在未經(jīng)允許的情況下下載數據。”
Howard Schmidt曾經(jīng)在微軟和e-Bay擔任首席信息安全官,如今是非營(yíng)利組織ISC的一員。他認為通過(guò)技術(shù)來(lái)控制員工的行為只能是后備機制。“基本工作必須放在首位。”
除了員工審查和設備限制等控制措施外,列入Schmidt自己“基本工作”清單的還有“數據修訂”。“在工作人員的屏幕上只顯示數據字段的一部分,比如從不顯示完整的信用卡號碼和出生日期。工作人員很少需要這樣的信息,所以有必要限制數據完整性。在大多數情況下,工作人員只需要信用卡的后四位數字,或者出生的年份和月份。”Schmidt說(shuō)。
Schmidt提倡的這種“修訂”機制也是全球數據安全標準(PCI DSS)的推薦措施之一,并且得到VISA、萬(wàn)事達和運通等信用卡組織的竭力提倡。
支付卡行業(yè)安全標準委員會(huì )(Security Standards Council)的總干事Bob Russo表示,像這樣一項面向整個(gè)行業(yè)的數字數據安全標準,可能比一種甚至更多種不同的解決方案更加安全可靠。
PCI DSS在2004年12月發(fā)布了相關(guān)數字數據安全標準的1.0版本,2006年9月推出了1.1更新版本。Russo表示,處理信用卡支付的任何呼叫中心都應當遵守這項標準。“如果一家呼叫中心存儲、處理或傳輸信用卡數據,那么它基本上就要滿(mǎn)足遵守這項標準的要求。雖然遵守這項標準是強制性的,但只有‘一級’呼叫中心(每年處理的信用卡交易超過(guò)600萬(wàn)筆的呼叫中心)通過(guò)審計來(lái)證明它遵守了該標準。”
杜絕危險的停車(chē)場(chǎng)
除了數據安全,呼叫中心外面的安全狀況又怎樣呢?
SSC公司的Chagnon表示,對于呼叫中心外部的安全,提高自我防范顯得很重要。他說(shuō): “鼓勵員工與同事結伴而行,那樣不會(huì )出現員工在凌晨2點(diǎn)一人走出辦公室去開(kāi)車(chē)的情況。讓員工們結伴離開(kāi)大樓,停車(chē)時(shí)彼此的車(chē)子盡量靠近些。”
Chagono同時(shí)表示,呼叫中心雇主的防范措施也很重要。“確保停車(chē)場(chǎng)各個(gè)方向視線(xiàn)清晰、沒(méi)有阻擋、燈光通明,理想情況下,要對停車(chē)場(chǎng)實(shí)行全天監控。專(zhuān)家的建議就是,把安全范圍擴大到停車(chē)場(chǎng)邊緣。”
福賽思解決方案集團的Brown也認為,良好的夜晚照明至關(guān)重要,監控攝像頭也很有幫助,燈柱上最好安裝緊急呼叫按鈕。一旦有人摁下緊急按鈕,或者攝像頭拍到了危險情況,安全人員要能夠在第一時(shí)間趕到。
除此之外,諸如所有員工上下班是否都有適當的安全交通方式,還有哪些公司在呼叫中心的所在地區辦公,這些公司是否會(huì )對呼叫中心安全問(wèn)題帶來(lái)積極或者負面影響這樣的問(wèn)題,都應該被劃入考慮范圍內。
健全數據安全標準
無(wú)論是關(guān)于安全的停車(chē)場(chǎng)還是訪(fǎng)問(wèn)權限取消,諸如此類(lèi)的建議措施并無(wú)新意。一些安全標準包括了不少與信息保護有關(guān)的內容,除了上述的PCI DSS標準外,還包括ISO 27001及其相應的最佳實(shí)踐規范ISO 27002。Unisys公司的董事兼首席安全官Gerhard Knecht表示:“呼叫中心缺少的是進(jìn)行監控及遵從法規,而不是了解該怎么辦。”
Knecht現在負責的所有呼叫中心(大約有14個(gè),分布在波哥大、布達佩斯、悉尼、圣保羅和鹽湖城等城市)都通過(guò)了ISO 27001的認證,他強調這僅僅是達到了最低標準。“實(shí)際上,我們爭取符合更高的標準。”
Knecht希望每個(gè)呼叫中心必須完成每個(gè)季度一次的成熟度報告審計,審計對象包括91個(gè)不同問(wèn)題,每個(gè)問(wèn)題都有四個(gè)“響應場(chǎng)景”,而每個(gè)響應場(chǎng)景對應于特定的成熟度級別。比方說(shuō),就訪(fǎng)問(wèn)權限取消而言,成熟度報告要求呼叫中心不但在有人離開(kāi)公司后取消訪(fǎng)問(wèn)權限,還要在離開(kāi)部門(mén)后立即取消權限。
Knecht 說(shuō): “86%的問(wèn)題來(lái)自ISO 27002; 5%來(lái)自《薩班斯-奧克斯利法案》的要求。對于每個(gè)問(wèn)題,每個(gè)呼叫中心都要基于響應場(chǎng)景,指定適用于哪個(gè)級別的安全成熟度,然后證明有沒(méi)有必要進(jìn)行評估。”
值得關(guān)注的是,Unisys公司的客戶(hù)很少主動(dòng)詢(xún)問(wèn)同樣的問(wèn)題。但是即使如此,Knecht還是經(jīng)常把成熟度衡量標準發(fā)給他的客戶(hù),鼓勵他們進(jìn)行審計。“《薩班斯-奧克斯利法案》等監管制度相當明確——公司可以把業(yè)務(wù)活動(dòng)外包出去,但確保與該業(yè)務(wù)活動(dòng)有關(guān)的安全的責任不能外包出去。”
在Knecht看來(lái),對于數據安全,呼叫中心所能做的畢竟有限,很大程度上還是要依賴(lài)于外包客戶(hù)自身加強安全審計。
計算機世界網(wǎng)(www.ccw.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
盐津县|
青田县|
荣成市|
叶城县|
新泰市|
五大连池市|
永春县|
福贡县|
四平市|
本溪|
茶陵县|
阳高县|
叙永县|
左权县|
栾川县|
海兴县|
盐源县|
舞阳县|
雷州市|
十堰市|
临清市|
施甸县|
阿荣旗|
西宁市|
台东市|
望奎县|
盘山县|
句容市|
沽源县|
林州市|
巴楚县|
新晃|
福安市|
锡林浩特市|
临清市|
都兰县|
和静县|
崇阳县|
泗洪县|
武穴市|
安福县|
http://444
http://444
http://444
http://444
http://444
http://444