Çağrı Merkezlerinde Teknik Olarak Güvenlik

Çağrı Merkezlerinde Teknik Olarak Güvenlik

Müşteri Temsilcilerinin kullandıkları donanımlar ve yazılımlar üzerinde risk anlizleri yapılarak, risk ve tehditleri indirgemeye yönelik kontroller sağlanmalıdır. Çalışanların PC’lerinde ihtiyaca göre yetkilendirmeler yapılmalıdır. Gizlilik içeriği yüksek olan bilgilerin şirket dışına çıkartılmaması için bilgisayar donanımlarında kısıtlamalara gidilmeli, verilen hizmetin kritikliğine göre çağrı merkezi salonlarına ekran görüntülerinin, ses kayıtlarının, ortam düzenlerinin dışarıya sızdırılmaması için cep telefonları, kamera, fotoğraf makinası vb. medya cihazlarının sokulması engellenmelidir.

Risklerin azaltılmasına yönelik alınacak BT kontrollerinden bazıları ise sanal makinaların (virtual machines) ve ThinClient (Dummy Terminal) ların kullanılmasıdır. Ayrıca internet ve diğer sistemlere erişim haklarının pozisyonlara göre düzenlenmesini sağlayacak, dosya indirme ve protokol bazlı kısıtlar getirebilecek uygulamaların kullanılması da fayda sağlayacaktır.

Çağrı merkezlerinde kullanılan donanım ve yazılımlarda bahsettiğimiz bazı kontrollerin alınması, çalışanlar tarafından kasıtlı olarak yapılacak girişimleri %100 engellemeyecektir. Sistemlere yetkisiz olarak yapılacak erişimlerin, çalışanlara verilen sistemler üzerindeki yetkilerin kötüye kullanımına yönelik girişimlerin ve tüm bu girişimler sonucu sağlanacak maddi menfaatlerin tespit edilmesine yönelik bir iç kontrol mekanizmasının kurulması fayda sağlayacaktır.

Çağrı Merkezlerinin en kritik sistemleri olarak düşünülebilecek Santral ve IVR sistemlerinin güvenliği, hem çağrı kesintisinin olmaması açısından hem de şirket üretimi ve müşteri güvenliği açısından çok fazla önem arz etmektedir. Günümüzde çağrı merkezlerinin kendilerini coğrafi olarak yedeklemek ve çağrıları internet üzerinden aktarmak için kullandıkları VoIP (Voice over IP) teknolojisi, bazı açıkları da beraberinde getirmiştir. Bu ve benzeri açıkların engellenmesi, santral sistemlerinin güvenliğinin sağlanması için doğru konfigürasyonların yapılması ve sistemlerin yamalarının yapılması, alınması gereken kontroller olarak göze çarpmaktadır.

Kurum içinde güvenlik zayıfıklarının, ihmallerinin ve ihlallerinin bildirileceği, kayıt altına alınacağı vaka yönetim uygulamalarının kullanılması; genellikle vardiya usulü çalışma prensibine sahip olan çağrı merkezleri çalışanlarının günün her saatinde ulaşabilecekleri bu yapıların kurgulanması, güvenlik olaylarının yönetilebilmesinde ve de bu olayların bir daha olmaması için kök nedenin belirlenmesi, akabinde ortadan kaldırılması konusunda etkin bir metod olacaktır.

Çağrı merkezleri, genellikle 7/24 esasına göre çalışırlar. Bu koşulları yerine getirmek, işlerin durmaması ve aksamaması anlamına gelmektedir. Bunun için operasyonların yedeklenmesi (coğrafi olarak, operasyonların çeşitli lokasyonlara dağıtılması şeklinde vb) acil ve felaket durumları için eylem planlarının oluşturulması, yazılı hale getirilmesi ve düzenli aralıklarla test edilmesi gerekmektedir.

Bu yazı bilgiguvenligi.gov.tr sitesindeki Çağrı Merkezlerinde Teknik Olarak Güvenlik adlı makaleden alınmıştır.