مقالات

مخاطره ­های امنیتی در زیرساخت‌های مراکز تماس ارایه دهنده خدمات به مشتریان

دستورالعملی برای مدیران امنیتی

همزمان با ایجاد فرآیندهایی متناسب برای پیاده‌سازی و استفاده از ابتکارهای فناوری در سازمان‌ها و به خصوص در شرکت‌های ارتباطات مخابراتی، مدیریت مخاطره ­ها یکی از عوامل مهم و اساسی است که در تصمیم‌گیری‌های مربوط به کنترل خطر می ­بایست به آن توجه جدی شود. شرکت‌ها با کمک مراکز تماس، خدماتی را به مشترکین ارایه می‌کنند، آنها تحت نظر قوانین دولتی بوده و مخاطره ­های فناوری اطلاعات، زیرساخت آنها را تهدید می‌کند. این مقاله برای مدیران امنیتی، دستورالعملی را ارایه می‌دهد تا بتوانند راه‌حل‌های مناسبی را به منظور کاهش مخاطره ­ها در زیرساخت­ های فناوری اطلاعات خود به کار گیرند.

 

گسترش ارتباطات سازمانی در سراسر جهان، منجر به توسعه راهکارها و عملیات فنی و همچنین خدمات‌رسانی به مشتریان از طریق کانال‌های ارتباطی مختلف شده است. اولین بخش آزاردهنده‌ای که مدیران با آن مواجه هستند خودکارسازی بخش یا کل رویه خدمت‌رسانی است. بعضی از خدمات، لازم است که با استفاده از فناوری پاسخ صوتی تعاملی[۱] ارایه شوند. از سوی دیگر، سایر روش‌ها توجه مشتریان را به عامل انسانی «آن سوی خط تلفن» معطوف می‌کنند.

با استفاده ترکیبی از عوامل انسانی در کنار سامانه­ های اطلاعاتی، مرکز تماس در معرض مخاطرات حوزه فناوری اطلاعات، از خطاهای انسانی سهوی یا عمدی گرفته تا اشتباه­ های رایج نرم افزاری قرار دارد که در نهایت، منجر به نارضایتی کاربران و خدشه وارد شدن به اعتبار شرکت‌های ارتباطات مخابراتی می‌شود.

این مقاله، به اختصار برخی از مخاطره­ های امنیت اطلاعات را در مراکز تماس معرفی کرده و راهنماهای مفیدی را نیز برای مدیران امنیتی این مراکز ارایه می‌کند.

 

شاخص­ های امنیت اطلاعات در زیرساخت‌های یک مرکز تماس

۱- شاخص‌های امنیت اطلاعات

مدیران امنیت اطلاعات می‌بایست محرمانگی، دسترس‌پذیری، یکپارچگی، انکارناپذیری و قابلیت اطمینان را در سازمان ­های مطبوع خویش، تضمین کرده و سازوکارهای ایجاد شده توسط آنها به وسیله هیچ یک از استفاده کنندگان خدمات اطلاعاتی در سیستم‌های سازمان قابل رد شدن نباشد. یک زیرساخت مرکز تماس (به اختصار مرکز تماس) مخاطره ­های مختص به خود را دارد که به دنبال از بین بردن شاخص ­های امنیتی گفته شده هستند.

از جمله این مخاطره ­ها که سعی در نقض امنیت اطلاعات دارند می­ توان به موارد زیر اشاره کرد:

  • مخاطره­ هایی که توسط نیروهای انسانی (کارکنان) ایجاد می‌شوند: استفاده از سامانه‌های اطلاعاتی در پلتفرم‌های مرکز تماس، مخاطره­ های انسانی را نیز در پی دارد. چنین مخاطره­ هایی اغلب توسط خطاهای سهوی یا عمدی انسانی و به صورت خرابکاری، کلاهبرداری و اشتباه­ های خواسته یا ناخواسته انجام می­ شوند.
  • مخاطره ­هایی که به واسطه نرم افزارها و سخت افزارها ایجاد می‌شوند: تماس‌های تلفنی از دست رفته، شاخص‌های کلیدی عملکرد[۲] اشتباه، نقطه شکست خرابی سخت افزاری، از بین رفتن پایگاه داده اطلاعات کاربران و خطرهای محیطی از جمله این عوامل هستند.

 

۲- برطرف کردن مخاطره­ های امنیت اطلاعات

هر کدام از این مخاطره ­ها نیازمند یک طرح برای مدیریت آن مخاطره است. این طرح‌ها که در اصطلاح به آنها سناریوهای مخاطره نیز گفته می ­شود ابتدا با ارزیابی هر کدام از مخاطره­ ها شروع شده و باید یکی از چهار مورد ۱- حذف، ۲- کاهش، ۳- پذیرش و ۴- انتقال که در مدیریت مخاطره­ ها مد نظر قرار می­ گیرند را در خود جای دهند.

بعضی از مواردی که در طرح برطرف­ سازی مخاطره ­های امنیت اطلاعات در مراکز تماس می­ بایست به آنها توجه کرد، شامل موارد زیر است:

  • مخاطره­ های ناشی از مداخله انسان: نقطه کانونی مخاطره­ های فناوری اطلاعات از هر نوعی که باشد، همان فردی است که از آن سامانه اطلاعاتی یا تجهیز فناورانه استفاده می‌کند. دلیل اصلی این مخاطره هم جدای از جرایم سایبری یا کلاهبرداری­ هایی که آگاهانه انجام می‌شوند، بی‌توجهی نسبت به مسئولیت‌ها و حوزه عملکردی کارکنان است.

راه‌حلی که برای برطرف کردن چنین مخاطره­ هایی پیشنهاد می ­شود، در بیشتر موارد شامل آموزش و آگاه‌سازی کارمندان به منظور کاهش مخاطره­ های ایجاد شده توسط آنها است. راهکار دوم که شامل پذیرش این مخاطره ­ها است، نشان می‌دهد هر کارمند بر اساس مسئولیت شغلی که دارد، از پیامدهای استفاده نابه­ جا از زیرساخت­ های مرکز تماس و خرابی‌های به بار آمده پس از آن، در صورت وقوع یک نقض یا نقص امنیت اطلاعات آگاهی کافی دارد. هر دوی این راه‌حل‌ها حوزه‌های عملکرد منابع انسانی، قانون و سیستم‌ها را مشخص می‌کنند. همچنین به منظور مشارکت بهتر و جلب نظر کارکنان در خصوص پیاده­ سازی کنترل­ های امنیتی می ­توان از آنها نظرخواهی کرده و با مشارکت­ شان در تدوین رویه­ های امنیتی و اطلاع از نگرانی­ ها و نقطه نظرات­ شان، سطح مخاطره نقض قوانین توسط کارمندان را تا حدود زیادی کاهش داد. کارکنان باید برای انجام وظایف امنیتی اختصاص داده شده به آنها علاوه بر داشتن دانش و مهارت کافی، از مسئولیت­ ها و اختیارات لازم نیز برخوردار باشند.

  • مخاطره ­های ناشی از سخت افزار یا نرم افزار: زیرساخت‌های مرکز تماس، تا حدودی پیچیده هستند. آنها به طور معمول دارای ترمینال‌های کاربر، سرورهای داده، سرورهای برنامه و سرورهای ترکیبی برای دریافت تماس‌های ورودی هستند. مخاطره ­های رایجی که در زیرساخت ­های مراکز تماس ممکن است به وقوع بپیوندند، عبارتند از: از کار افتادن نرم افزار (خطاهایی که در هنگام تماس ­های دریافتی اتفاق می­افتند)، خرابی سخت افزار، از کار افتادن ناشی از نداشتن سیستم تعمیر و نگهداری مناسب (با برون‌سپاری یا بدون آن)، مشکلات محیطی در اتاق سرور (دما، رطوبت، دود و هشدارهای امنیتی/ ایمنی)، نداشتن طرح تداوم کسب‌ و کار و سازوکاری برای بازیابی پس از وقوع فاجعه، خطا در انتشار شاخص ­های کلیدی عمکرد برای انطباق با قوانین و مقررات و سایر موارد این چنینی.

گزینه‌های احتمالی که برای کاهش یا انتقال این مخاطره ­ها در نظر گرفته می­ شوند، عبارت هستند از:

  • کاهش مخاطره از کار افتادن نرم افزار با برنامه‌های کنترلی مناسب، نظارت بر فعالیت‌ها و بازرسی­ های داخلی و شخص سوم.
  • کاهش مخاطره از کار افتادن سخت افزار با قرار دادن دستگاه­ های جایگزین و برنامه‌های احتمالی یا برون‌سپاری اقدام ­های نگهداری، از طریق تنظیم قراردادهای بیمه کیفیت با شخص سوم که همان انتقال مخاطره است.
  • کاهش مخاطره خرابی‌های محیطی با راه‌اندازی یک سیستم امنیت فیزیکی مستحکم و فرآیند کنترل دسترسی برای تجهیزاتی همچون DCP (پردازش مرکز داده) که منطبق بر استاندارد ISO/IEC 27001: 2013 است.
  • کاهش مخاطره با طراحی و پیاده ­سازی طرح ­های تداوم کسب و کار و بازیابی از فاجعه، به همراه فرآیندهای پشتیبان­ گیری و بازیابی داده، منطبق با استانداردهای بین‌المللی مانند استاندارد ISO 22301.

 

دستورالعمل‌های امنیت اطلاعات

۱- برنامه‌های آموزش و آگاه‌سازی

تمرکز اصلی تهدیدهای امنیت اطلاعات در حوزه منابع انسانی، بر روی کارمندانی است که با نارضایتی و بی‌توجهی خود می‌توانند خسارت­ های شدیدی را به بار آورده و اطلاعات حیاتی به منظور استمرار کسب و کار را به خطر بیندازند. راهکارهای غیرفنی زمانی مؤثر خواهند بود که کاربران در خصوص وظایفی که نسبت به امنیت اطلاعات دارند، آموزش اثربخش دیده و نیاز به یکپارچه‌سازی این مفاهیم را با کارهای روزمره‌شان درک کنند. حمله مهندسی اجتماعی که سعی در فریب کاربران به منظور دستیابی به اطلاعات محرمانه مرکز تماس دارد، همچنان به عنوان تهدیدی جدی برای این مراکز به شمار می ­رود که نیازمند بالابردن سطح آگاهی تمامی کارکنان است.

افرادی که در مرکز تماس مشغول به کار هستند باید از راهکارهای مدیریت اطلاعات حیاتی آن مرکز آگاهی داشته باشند. ارایه بخشی از داده‌ها و نه تمام آنها به کاربر نیز به عنوان یکی از شاخص‌های تداوم فعالیت­ های کسب و کاری شناخته می‌شود. از سوی دیگر، کارکنان ممکن است با اطلاعات شخصی مشتریانی که از خدمات مرکز تماس استفاده می‌کنند هم سر و کار داشته باشند که در نتیجه نیازمند بالاترین سطح مراقبت هستند.

طرح‌های آگاه‌سازی و آموزش کارکنان باید در راستای اهداف امنیت اطلاعات مرکز تماس و هم ­راستا با خط­ مشی­ های امنیتی آن بوده و حوزه‌های مختلفی از منابع انسانی، فناوری اطلاعات، امنیت و رویدادهای پیش‌بینی نشده را در بر گیرد. افزایش آگاهی کارمندان در خصوص مخاطره­ های ناشی از حوادث امنیتی، ایجاد خطا یا اشتباه در سامانه­ ها و تجهیزات پردازش اطلاعات مرکز تماس و همچنین قوانین و اصول کلی حفاظت از اطلاعات، از دیگر مواردی است که می­ بایست مورد توجه قرار گیرد. لازم به ذکر است که در این اصول کلی حفاظتی، تمامی حوزه ­های مرتبط از جمله سندها، تجهیزات رایانه ­ای، ساختمان، دسترسی به سیستم ­ها و نرم افزارها، تلفن، فکس، رفتار در جلسه ­ها و بیرون از محیط سازمانی و غیره بایستی مد نظر قرار گیرند.

طرح­ های آموزشی و آگاهی بخشی علاوه بر کارکنان فعلی باید کارمندان جدیدالاستخدام را نیز شامل شوند. شکاف ­های مربوط به دانش، مهارت و توانایی ­های امنیتی کارکنان مرکز تماس را می­ توان به کمک آموزش پوشش داد.

 

۲- ملاحظه­ های امنیتی پیش از، در حین و پس از شکل‌گیری ارتباطات درون سازمانی، مابین مدیریت و نیروی کار

در استاندارد ISO/IEC 27001:2013 که به عنوان سیستم مدیریت امنیت اطلاعات (ISMS) نیز شناخته می­ شود، روابط کاری به سه مرحله تقسیم می‌شوند (پیش، حین و پس) که در هر یک از این مرحله­ ها، به کارگیری کنترل‌های امنیتی متناسب با آن مرحله بسیار ضروری است.

پیش از فرآیند استخدام توصیه می‌شود مدیر امنیت اطلاعات، نقش‌ها و مسئولیت‌های امنیتی مرتبط با هر شغل را مستند کند، سابقه کاری فرد منتخب را بررسی کرده (سابقه قضایی و کیفری) و آنها را وادار کند درک و فهم کافی از شرایط و قوانین استخدامی­ شان را به دست آورند. همچنین می­ بایست رویه ­ای برای دادن اطلاعات اولیه به کارکنان در خصوص وظایف و مسئولیت­ های­شان در خصوص الزام­ های امنیتی مرکز تماس، قبل از هرگونه انتساب یا رابطه استخدامی وجود داشته باشد. مدیر امنیت اطلاعات باید اطمینان داشته باشد که مسئولیت­ های امنیتی اختصاص داده شده به کارکنان، از کفایت و اثربخشی لازم برخوردار است. در خصوص کارکنانی که بر امور حساس در مرکز تماس تأثیرگذار هستند، لازم است در فعالیت ­های مربوط به بررسی سابقه کاری قبلی آنها، تأییدیه اضافه ­تری از مراجع ذیصلاح حراستی نیز گرفته شود.

در هنگام صحه­ گذاری سوابق تمامی داوطلبان استخدام، اعم از پیمانکاران و کاربران شخص سومی که در مرکز تماس اشتغال خواهند داشت می­ بایست بررسی­ های صورت گرفته مطابق با قوانین، آیین­ نامه­ ها و اصول اخلاقی مرتبط که متناسب با الزام ­های کسب و کار، طبقه­ بندی اطلاعاتی که در دسترس قرار می­ گیرند و همچنین مخاطره­ های مشاهده شده انجام شود.

در طول دوره آزمایشی استخدام و هنگام کار نیز مدیر امنیت اطلاعات باید حوزه عملکرد سمت ­های شغلی کلیدی را به طور مداوم، مورد بررسی قرار داده و فعالیت­ های کارمندان را پایش کند. این نظارت­ ها شامل بررسی کارکنان از لحاظ اعتباری در بازه­ های زمانی مشخص هم می­ شود. هر کدام از کارکنان لازم است در برنامه‌های آموزشی مربوطه شرکت کرده و قوانین انضباطی مرتبط با خطاهای انجام شده در مسئولیت‌های امنیت اطلاعات یا تخلف از رویه­ ها می‌بایست به اطلاع تمام کارمندان برسد.

در نهایت، در پایان کار و خاتمه فرآیند استخدام هم مدیر امنیت اطلاعات باید از لغو تمام مجوزهای دسترسی کارکنان به دارایی‌های اطلاعاتی و بازگرداندن دارایی‌هایی که در اختیار کارمندان قرار گرفته است، مطمئن شود. مسئولیت­ ها و وظایف امنیت اطلاعات که پس از خاتمه اشتغال یا تغییر شغل کارکنان در مرکز تماس همچنان دارای اعتبار هستند بایستی به روشنی، تعریف و تخصیص داده شده و به اطلاع همه کارکنان، پیمانکاران و کاربران شخص سوم برسد.

 

۳- جداسازی وظایف

مؤسسه ISACA، نیاز به درک جداسازی وظایف کارکنان را به عنوان یکی از ابزارهای انکارناپذیر جرم یادآور می‌شود. مدیر امنیت اطلاعات باید ساختار سازمانی مرکز تماس را به گونه‌ای بچیند که هم ­پوشانی بین وظایف رخ ندهد و هر یک از کارکنان نیز به خوبی از وظایف و حیطه مسئولیت­ های کاری خود آگاه باشند. همچنین وی می‌تواند به طور منظم ساختار سازمانی را به منظور اصلاح میزان اثرگذاری فعالیت­ های کاربران بر یکدیگر ارزیابی کند.

 

۴- طرح بازیابی از خرابی‌های سخت افزاری

با وجود ابزارهایی همچون IVR، مراکز تماس معمولاً سخت افزار خاصی برای یکپارچه کردن تماس‌های تلفنی داشته و ممکن است از کارت‌های پاسخگویی خودکار (سازوکار پاسخگویی صوتی در جست‌وجوهای صدا) نیز استفاده کنند. در این موارد، سرورهای­شان نرم افزارها را مدیریت می‌کنند تا داده‌های مربوط به رسیدگی‌ها، داده‌های کاربران، خدمات ارایه شده و شاخص‌های مدیریتی انطباق اهداف را ثبت کنند.

چنین کاری، نیازمند بهره‌گیری از طرح‌های متنوعی در حوزه بازیابی از خرابی است که به مواردی همچون پردازنده‌ها، یکپارچه ‌کننده تماس‌ها، هارد درایوها، حافظه‌های قابل خواندن و نوشتن[۳]، منبع تغذیه و غیره بپردازد. زمانی که از مداخله شخص سوم برای نگهداری و تعویض بخشی از تجهیزات استفاده می‌کنیم این موضوع کمی پیچیده‌تر هم می‌شود. قراردادهای برون‌سپاری می‌بایست به خوبی بازبینی شوند و بخش‌ها و تجهیزاتی که امکان تعویض آنها وجود دارد، به درستی مشخص شوند. گاهی وقت­ ها، استفاده از رایانه­ های بدون استفاده مشابه درست نیست (به عنوان مثال، جایگزینی یک رایانه با سیستمی دیگر).

 

۵- طرح­ های تداوم کسب و کار و بازیابی از فاجعه

طرح‌های بازیابی از فاجعه و تداوم کسب و کار برای از سرگیری تمامی فعالیت­ های مهم فناوری اطلاعات مرکز تماس ارایه می‌شوند. راهکار دیگری که برای مراکز تماس وجود دارد، ادامه ارایه خدمات در صورت به وجود آمدن مشکل در شرکت‌های ارتباطات مخابراتی است. راهکارهایی همچون «سیستم بازیابی از فاجعه سایت داغ[۴]» در هنگام وقوع فاجعه، فروشندگان دیگر را نیز در ارایه خدمات دخالت می­ دهد. در این سبک از راهبردهای کسب و کار، این موضوع بسیار رایج است که برای رسیدن به هدف­ های اقتصادی و استمرار کسب و کار، مراکز تماس را در شهرهای مختلف راه‌اندازی کنند.

 

۶- ارتباط با مراجع معتبر و انجمن­ های تخصصی

به منظور آگاهی از آخرین تهدیدهای امنیتی مربوط به مراکز تماس و همچنین دسترسی به توصیه های ارایه شده برای پیشگیری از وقوع خطاهای احتمالی تهدید کننده این مراکز و همچنین کاهش پیامدهای مخرب حملات می بایست ارتباط با مراجع معتبر و انجمن های تخصصی حفظ شود.

 

۷- امنیت پیمانکاران و تأمین کنندگان خدمات

پیمانکاران بیرونی، اعم از تأمین کنندگان خدمات یا پیمانکاران منابع انسانی که به هر نحوی با مرکز تماس در ارتباط هستند می ­بایست از یک مرکز احراز صلاحیت رسمی و مورد تأیید، گواهی­نامه صلاحیت داشته باشند.

 

۸- تفاهم ­نامه ­های عدم افشای اطلاعات

به منظور برقراری امنیت اطلاعات و حفظ محرمانگی در مرکز تماس باید تفاهم­ نامه­ های عدم افشای اطلاعات (NDA) که منعکس کننده نیازها و الزام های امنیتی مرکز است با تمامی کارکنان و همچنین پیمانکاران منعقد شود. این تفاهم ­نامه­ ها، پیوست قرارداد همکاری طرفین بوده و به عنوان بخشی از تعهد قراردادی­ شان به شمار می­ رود.

در تفاهم ­نامه عدم افشای اطلاعات (رازداری) که قبل از شروع هر گونه رابطه کاری بسته می­ شود لازم است یک بند که به روشنی بیان کننده تعهد و پایبندی کارکنان به رعایت الزام­ های امنیتی مرکز تماس و مسئولیت­ های­شان در خصوص امنیت اطلاعات است، در نظر گرفته شود.

 

۹- خط­ مشی­ ها و رویه ­های امنیتی

سیاست­ نامه­ ها و روش ­های اجرایی امنیت اطلاعات، یکی از اصول اولیه در برقراری امنیت سازمانی در مراکز تماس به شمار می ­روند. این خط­ مشی­ ها و رویه­ ها می ­بایست در راستای دستیابی به اهداف امنیت اطلاعات مرکز تماس بوده و بر اساس الزام ­های امنیت اطلاعات و نیازمندی­ های امنیتی آن تدوین شوند. این مستندها می ­بایست به اطلاع تمام کارکنان و پیمانکارانی که به هر نحوی با مرکز تماس در ارتباط هستند، برسد. مدیر امنیت اطلاعات باید از دسترسی همه کارکنان به خط­ مشی ­ها و روش ­های اجرایی امنیتی مرکز تماس (به عنوان مثال، از طریق اینترانت یا پرتال سازمانی) و همچنین رعایت آنها اطمینان حاصل کند. تمامی کارکنان و در صورت لزوم، پیمانکاران و کاربران شخص سوم تا آنجا که به کارکرد شغلی­ شان مربوط است بایستی به صورت مناسب، در خصوص این مستندهای امنیتی آموزش ببینند.

خط ­مشی­ ها و رویه­ های امنیتی باید بر اساس مخاطره ­ها و تهدیدهای امنیتی فعلی و آتی مرکز تماس، تدوین شده و متناسب با تغییرات در فرآیندهای کسب و کاری و فناوری­ ها، به طور مداوم به­ روزرسانی شده و سنجش اثربخشی آنها نیز در بازه­ های زمانی مشخص مورد پایش قرار گیرد تا همواره از کارایی و تناسب لازم برخوردار باشند.

 

۱۰- کنترل­ های فنی امنیت اطلاعات

علاوه بر الزام ­های امنیتی که در خط ­مشی­ ها و رویه­ های امنیتی مرکز تماس گفته می­ شوند، توجه به بعضی از کنترل­ های فنی امنیتی و رعایت آنها توسط کارکنان، همچون موارد زیر ضروری است:

– لزوم انتخاب رمزهای عبور پیچیده و تغییر دوره­ای آنها: ایجاد قوانینی برای انتخاب رمزهای عبور مناسب برای حساب­ های کاربری رایانه، سامانه و نرم افزارها که به اندازه کافی پیچیده بوده و از طول کافی (حداقل ۸ کاراکتر برای کارمندان) نیز برخوردار باشند. منظور از رمز عبور پیچیده، رمزی است که در آن از اعداد، حروف بزرگ و کوچک و نشانه ­ها استفاده شده است. همچنین لزوم تغییر آن در بازه ­های زمانی مشخص و ایجاد تدابیری برای عدم به اشتراک­ گذاری آنها توسط کارمندان.

– نحوه کار با مستندات دارای طبقه­ بندی: ایجاد سازوکار حفاظتی لازم برای کار با سندها و مدارک دارای طبقه ­بندی و محرمانه، همچنین لزوم برچسب­ گذاری سندها به منظور تشخیص و شناسایی آنها.

– اقدام ­های لازم در هنگام ترک میز کار: تدوین سیاست­ های امنیتی لازم در هنگام ترک میز کاری و لزوم رعایت مواردی همچون جا نگذاشتن اسناد طبقه ­بندی شده بر روی آن و همچنین قفل کردن صفحه نمایش رایانه به منظور جلوگیری از دسترسی افراد غیرمجاز به آن.

– استفاده از رسانه­ های ذخیره­ سازی قابل حمل: ایجاد قوانینی برای ورود و استفاده از رسانه­ های ذخیره­ سازی قابل حمل به منظور جلوگیری از امکان آلودگی سیستم ­ها و پیشگیری از خروج اطلاعات سازمانی از مرکز تماس.

– نحوه برخورد با تماس­ های مشکوک: آموزش کارمندان در خصوص تماس ­های تلفنی مشکوکی که درخواست اطلاعات سازمانی را دارند و نحوه پاسخگویی آنها به چنین تماس ­هایی.

– گزارش­ دهی حوادث امنیت اطلاعات: تدوین سازوکاری برای گزارش­ دهی سریع هر گونه مورد مشکوک و نقض ­ها یا نقص­ های امنیت اطلاعات از طریق مجاری مناسب.

– لزوم استفاده از ایمیل ­های سازمانی: اعمال سیاست­ هایی در خصوص استفاده از ایمیل سازمانی برای ارتباطات برون سازمانی و انتقال احتمالی اسناد و مدارک.

– قوانین به اشتراک­ گذاری اطلاعات: ایجاد سازوکارهای لازم برای اشتراک­ گذاری امن اطلاعات در داخل شبکه­ های سازمانی.

استفاده پسندیده از دارایی­ ها: ایجاد سازوکاری برای استفاده پسندیده و قابل قبول از تجهیزات و سامانه­ های در اختیار کارمندان.

– پشتیبان­ گیری از داده­ ها و اطلاعات: اعمال قوانین مناسب در خصوص پشتیبان­ گیری از داده ­ها و اطلاعات و روش­ های نگهداری ایمن و بازیابی آنها.

– امحای امن دارایی ­های اطلاعاتی: ایجاد سیاست امنیتی لازم برای امحای امن مدارک و رسانه­ های ذخیره ­سازی دارای اطلاعات.

مدیریت وصله ­های امنیتی: ایجاد قوانینی به منظور اعمال سریع و مدیریت وصله­ های امنیتی سامانه­ ها و نرم افزارهای مورد استفاده در مرکز تماس.

نرم افزارهای امنیتی و تشخیص تهدید: ایجاد قوانینی برای نصب و به کارگیری نرم افزارهای امنیتی همچون آنتی ­ویروس، ضدهرزنامه و غیره و همچنین به­ روزرسانی مداوم آنها.

– ارزیابی و مدیریت مخاطرات امنیت اطلاعات: شناسایی تمام دارایی­ های موجود در مرکز تماس، تهیه لیستی به ­روز از آنها و ارزش گذاری­ شان بر اساس المان­ های اصلی امنیت اطلاعات و همچنین ارزیابی، مدیریت و برطرف­ سازی مخاطرات امنیتی آنها.

– کنترل­ های رمزنگاری: ایجاد قوانین مناسب برای استفاده از رمزنگاری در تبادلات بیرونی و حفظ محرمانگی اطلاعات.

– امنیت فیزیکی و محیطی: ایجاد سازوکار لازم برای فراهم کردن امنیت فیزیکی و محیطی مرکز تماس و پیشگیری از خطرات مربوطه و کاهش مخاطره ­های ناشی از عوامل ناخواسته انسانی یا طبیعی.

– هشداردهی­ های امنیتی: ایجاد سازوکار لازم برای هشداردهی خطرات و آموزش کارکنان به منظور واکنش مناسب به هنگام شنیدن صدای هشدار سامانه ­های امنیتی.

– کار با تجهیزات اطفای حریق: تهیه راهنماهای لازم در خصوص کار با تجهیزات اطفای حریق و خاموش کننده ­های دستی آتش (کپسول ها).

-مواد مشتعل و خطرناک: ایجاد قوانینی برای جلوگیری از آوردن هرگونه مواد قابل اشتعال، منفجره و خطرناک به داخل مرکز تماس.

– دستورالعمل ­های مقابله با شورش و بحران: تهیه راهنماها و دستورالعمل­ های لازم برای مقابله با شورش، گروگان­ گیری و بحران­ های انسان­ محور در مرکز تماس.

 

 

  • [۱] Interactive Voice Response (IVR)
  • [۲] Key Performance Indicators (KPI)
  • [۳] RAM
  • [۴] Hot Site
نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

چهار × چهار =

دکمه بازگشت به بالا
بستن
بستن