مرکز پشتیبانی سازمان‌ها را چگونه امن کنیم؟

مجرمان سایبری در حملاتی که به تازگی بر ضد سازمان‌های دولتی اجرا کرده اند از ابزارهای شخص ثالث برای نفوذ به سیستم‌ها استفاده نموده اند. بخش پشتیبانی سازمان‌ها هم علاوه بر مواجه شدن با تهدیدات امنیتی معمول از جمله حملات محروم‌سازی از سرویس توزیع شده (DDoS)، شاهد افزایش حملاتی است که داده‌های شخصی مشتریان را هدف خود قرار می دهند.

اگر شما از یک راهکار مرکز تماس مبتنی بر ابر استفاده می‌کنید که اطلاعات آن در یک مرکز داده نگهداری می‌شود، ممکن است این تهدیدات بر ضد شما شدت بیشتری یابند. این موضوع به خصوص در صورت برون‌سپاری فرایندهای کارهای مرکز پشتیبانی و همچنین حوزه مسئولیت و نقاط دسترسی افزایش نیز خواهد یافت.

یکی از بزرگترین اشتباهاتی که یک سازمان ممکن است مرتکب شود، عدم پیاده‌سازی راهکارهای حفاظتی مناسب برای مرکز پشتیبانی خود است. بخش پشتیبانی، داده‌های حساسی در اختیار دارد که باید همچون یک پایگاه داده یا سیستم CRM/ERP از آن حفاظت شود. از این رو سازمان‌ها باید رویکرد دفاع عمقی را در پیش گرفته و برای مرکز پشتیبانی یا محیط CCaaS[1]، اصول امنیتی را اجرا و پیاده سازی کنند.

پیاده‌سازی کنترل‌های فیزیکی

مراکز داده مدرن معمولاً دارای گواهینامه ISO/IEC 27001[2] هستند. از این رو به اجزای امنیت فیزیکی خاصی نیاز دارند. در صورت وجود نداشتن چنین اجزای امنیتی، اقدام های زیر باید پیاده‌سازی شوند:

• یک سیاست دقیق برای تأمین امنیت فیزیکی در سطح سازمان باید وجود داشته باشد و تمام کارمندان داخلی و پیمانکار، با اهمیت رعایت آن به خوبی آشنا بوده و از آن پیروی کنند.
• دوربین‌های امنیتی باید در همه مکان‌های مهم سازمان به منظور جلوگیری از ایجاد نقاط کور یا کاهش آنها نصب شوند. ویدیو‌های ضبط شده نیز می بایست به صورت طولانی مدت نگهداری شوند.
• برای همه بخش‌ها یک نقطه واحد ورودی در نظر گرفته شود. به منظور دسترسی به سرورها نیز محدودیت‌های فیزیکی لازم اعمال شود.
• سیستم‌های کنترل دسترسی فیزیکی با درگاه‌های امنیتی قوی که هر کارمند فقط پس از احراز هویت امکان عبور از آنها را داشته باشد، نصب و نظارت شوند.
• رویکردها و سیاست‌های مستندسازی شده مشخصی در خصوص گم شدن یا سرقت کارت های پرسنلی یا کلیدهای دسترسی کارمندان وجود داشته باشد.
• در صورت استفاده از یک راهکار CCaaS در سازمان، ارایه‌دهنده آن مسئول اجرای کنترل‌های امنیتی و آماده‌سازی مستندات لازم درباره کنترل‌های فیزیکی موجود است.

کنترل‌های فنی مناسب

منابع یا سیستم‌های شبکه در مرکز پشتیبانی باید توسط فایروال، سیستم‌های تشخیص و جلوگیری از نفوذ، ابزارهای مدیریت دسترسی و سایر کنترل‌های فنی امن‌سازی شوند. از جمله کنترل‌های پیشرفته‌ای که بایستی پیاده‌سازی شوند می‌توان به موارد زیر اشاره کرد:

• احراز هویت چندمرحله‌ای تطبیق‌پذیر
• سیاست اعتماد صفر برای دسترسی به شبکه
• خدمات امنیت فیزیکی به عنوان یک سرویس
• مدیریت سراسری نقاط انتهایی.

کنترل‌های مدیریتی مناسب

در هر سازمان باید کنترل‌ها و سیاست‌های مناسبی برای نحوه مدیریت اطلاعات حساس وجود داشته باشد. همچنین دستورالعمل‌هایی نیز می بایست در خصوص نحوه برچسب گذاری اطلاعات حساس از جمله تعیین اطلاعات محرمانه در مرکز پشتیبانی یا نرم‌افزار CCaaS تعریف شده باشد.

حفاظت مناسب از نقاط انتهایی

همه نقاط انتهایی باید به نحو مناسبی حفاظت شوند. دستیابی به این هدف مستلزم انجام اقدام هایی فراتر از نصب راهکارهای حفاظت در برابر بدافزارها، نرم افزار آنتی ویروس و راهکارهای تشخیص و واکنش در نقاط انتهایی است. بنابر آمار و نتایج تحقیقات مؤسسه SANS، راهکارهای تشخیص و واکنش در نقاط انتهایی فقط 26 درصد از روش های اولیه حمله را شناسایی می‌کنند.

از سوی دیگر با توجه به حجم بالای اعلان‌های صادر شده توسط ابزارهای تشخیص و واکنش در نقاط انتهایی، معمولاً حدود 55 درصد از کارشناسان امنیت سایبری هشدارهایی را که نیاز به بررسی دارند نادیده می‌گیرند. با استفاده از ابزارهای تشخیص و واکنش توسعه یافته می توان از لایه‌های مختلف حفاظت نموده و نظارت کامل‌تری بر وضعیت فعلی داشت.

پیروی از استاندارد امنیت داده صنعت کارت های پرداخت (PCI DSS[3])

هیچ مرکز پشتیبانی قادر نیست انطباق کاملی با استاندارد PCI DSS داشته باشد چون حوزه این استاندارد بسیار فراتر از یک مرکز پشتیبانی می باشد. هدف از اجرای این استاندارد ایجاد اطمینان از آن است که هیچ‌گونه اطلاعات مالی مهم و حساسی در دسترس افراد غیرمجاز یا خرابکار قرار نمی‌گیرد. ایجاد محدودیت در دسترسی و ذخیره امن رکوردهای مرکز پشتیبانی، به حفاظت از داده‌ها و پیشگیری از دغدغه‌های مربوط به استاندارد امنیتی PCI DSS کمک می‌کند.

یک روش برای دستیابی به این هدف، ایجاد رابط کاربری مناسب است. در این صورت پشتیبان باید تماس گیرنده‌ها را به سمت رابط کاربری، هدایت کرده و داده‌های پرداخت از طریق آن دریافت و پردازش شوند. پس از تکمیل تراکنش نیز دوباره تماس با پشتیبان برقرار شود. اگر امکان انجام این کار توسط راهکارهای برون‌سپاری شده وجود داشته باشد، بهتر است از این روش استفاده کنید تا هیچ وقت داده‌های مالی مشتریان را ذخیره نکرده و این داده‌ها فقط با درگاه پرداخت به اشتراک گذاشته شوند.

این روش نسبت به دریافت اطلاعات مالی مشتری و درگیر شدن با اطلاعات حساس بهتر است و مانع از ایجاد مخاطراتی مثل نوشته شدن اطلاعات حساس توسط کارمندان و دسترسی آنها به گزارش‌های حاوی اطلاعات مالی حساس می‌شود.

مدیریت داده‌ها

داده‌هایی که ذخیره و منتقل می‌شوند همیشه باید رمزنگاری شوند. چنین کاری یک لایه امنیتی بسیار مهم محسوب می‌شود. به این ترتیب امکان مشاهده داده‌های حساس، بدون در اختیار داشتن کلیدهای رمزنگاری وجود نداشته و تعهد سازمان به حفاظت از امنیت داده‌های مشتریان بیشتر نشان داده می‌شود.

سازمان‌ها باید تا حد امکان از ذخیره یا انتقال اطلاعات حساس مشتریان شان خودداری کنند. اگر ذخیره این داده‌ها ضروری است، سعی کنید آنها را برای حداقل مدت زمان ممکن نگهداری کرده و سپس آنها را به طور دائم حذف یا به روشی امن آرشیو کنید. هر سازمانی باید بررسی و ارزیابی کند که آیا واقعاً نیاز به ذخیره این اطلاعات وجود دارد یا خیر؟

سازمان‌های بسیاری از سیستم مدیریت ارتباط با مشتری (CRM) استفاده می کنند. این سیستم، اطلاعات را به صورت بلادرنگ دریافت می نماید. همچنین اگر بنابر دلایل امنیتی، ضبط تماس‌ها ضروری است باید روشی را برای ذخیره این تماس‌ها جهت تفکیک داده‌های حساس پیدا کنید. آنگاه با استفاده از یک فرایند دستی یا خودکار، این داده‌ها را حذف یا به صورت امن آرشیو کنید.

سازمان‌ها بایستی این موضوع را هم بررسی کنند که آیا روشی امن‌تر (مثل ارسال این داده‌ها از طریق سیستمی امن یا دریافت حداقل اطلاعات ممکن از مشتری) برای دسترسی به این داده‌ها وجود دارد یا خیر؟

گاهی وقت ها فایروال‌ها بدترین دشمن بخش پشتیبانی هستند!

اینکه یک برنامه امنیتی خودکار یا یکی از کارشناسان امنیتی سرویس مهمی را غیرفعال کند تقریباً موضوع غیرمتداولی نیست. مطالعات نشان می‌دهد که حداقل 30 درصد از اعلان‌ها و هشدارهای امنیتی توسط فایروال‌ها انجام می‌شود.

واقعیت تلخ این است که معمولاً کارمندان مرکز پشتیبانی و کارشناسان امنیت IT از این حلقه خارج هستند. اگر یک سیستم تلفن گویا دارید که متصل به یک پایگاه داده بیرونی است یا اینکه یکی از پشتیبان‌های شما با استفاده از یک کلاینت تحت وب به مشتریان خوشامد می‌گوید، ممکن است کارمندان بخش امنیت از دسترسی‌های مورد نیاز برای انجام این کار بی خبر بوده و بدون اینکه خودشان متوجه باشند، در این سرویس‌ها اختلال ایجاد کنند.

روش توصیه شده بعدی این است که وقتی تغییری در پیکربندی‌ها یا سیاست‌های امنیتی یکی از ابزارهای امنیتی ایجاد می‌شود، این تغییرات را به صورت شفاف به بخش پشتیبانی اطلاع دهید تا درباره این تغییر و احتمال ایجاد وقفه توسط آن راحت‌تر به نتیجه گیری برسید.

نکته پایانی

پیاده‌سازی الزامات گفته شده باعث شکست ناپذیر شدن بخش پشتیبانی نمی‌شود اما می‌توان با در پیش گرفتن یک رویکرد دفاع در عمق، از سازمان در برابر حملات سایبری محافظت کرده و سریع‌تر تهدیدات را شناسایی کرده و برطرف نمایید. با توجه به حجم انبوه و تعداد بی شمار تهدیدات امنیتی در دنیای امروزی باید برای امن سازی بخش پشتیبانی از روش‌هایی فراتر از راهبردهای معمولی و همیشگی استفاده کرد.

[1]  Contact Center as a Service: ارایه خدمات مرکز پشتیبانی به عنوان سرویس.

[2] استاندارد ISO/IEC 27001 به سازمان‌ها این اطمینان را می‌دهد که اطلاعاتشان کاملاً محرمانه بوده و تا زمان لزوم در اختیار شخص دیگری قرار داده نخواهد شد.

[3]Payment Card Industry Data Security Standard: یک استاندارد امنیت اطلاعات برای شرکت هایی است که خدمات تراکنشی کارت‌های اعتباری را انجام می دهند.

منبع: helpnetsecurity