مخاطره های امنیتی در زیرساختهای مراکز تماس ارایه دهنده خدمات به مشتریان
دستورالعملی برای مدیران امنیتی
شرکتها با کمک مراکز تماس، خدماتی را به مشترکین ارایه میکنند، آنها تحت نظر قوانین دولتی بوده و مخاطره های فناوری اطلاعات، زیرساخت آنها را تهدید میکند. این مقاله برای مدیران امنیتی، دستورالعملی را ارایه میدهد تا بتوانند راهحلهای مناسبی را به منظور کاهش مخاطره ها در زیرساخت های فناوری اطلاعات خود به کار گیرند.
گسترش ارتباطات سازمانی در سراسر جهان، منجر به توسعه راهکارها و عملیات فنی و همچنین خدماترسانی به مشتریان از طریق کانالهای ارتباطی مختلف شده است. اولین بخش آزاردهندهای که مدیران با آن مواجه هستند خودکارسازی بخش یا کل رویه خدمترسانی است. بعضی از خدمات، لازم است که با استفاده از فناوری پاسخ صوتی تعاملی[1] ارایه شوند. از سوی دیگر، سایر روشها توجه مشتریان را به عامل انسانی «آن سوی خط تلفن» معطوف میکنند.
با استفاده ترکیبی از عو امل انسانی در کنار سامانه های اطلاعاتی، مرکز تماس در معرض مخاطرات حوزه فناوری اطلاعات، از خطاهای انسانی سهوی یا عمدی گرفته تا اشتباه های رایج نرم افزاری قرار دارد که در نهایت، منجر به نارضایتی کاربران و خدشه وارد شدن به اعتبار شرکتهای ارتباطات مخابراتی میشود.
این مقاله، به اختصار برخی از مخاطره های امنیت اطلاعات را در مراکز تماس معرفی کرده و راهنماهای مفیدی را نیز برای مدیران امنیتی این مراکز ارایه میکند.
شاخص های امنیت اطلاعات در زیرساختهای یک مرکز تماس
1- شاخصهای امنیت اطلاعات
مدیران امنیت اطلاعات میبایست محرمانگی، دسترسپذیری، یکپارچگی، انکارناپذیری و قابلیت اطمینان را در سازمان های مطبوع خویش، تضمین کرده و سازوکارهای ایجاد شده توسط آنها به وسیله هیچ یک از استفاده کنندگان خدمات اطلاعاتی در سیستمهای سازمان قابل رد شدن نباشد. یک زیرساخت مرکز تماس (به اختصار مرکز تماس) مخاطره های مختص به خود را دارد که به دنبال از بین بردن شاخص های امنیتی گفته شده هستند.
از جمله این مخاطره ها که سعی در نقض امنیت اطلاعات دارند می توان به موارد زیر اشاره کرد:
- مخاطره هایی که توسط نیروهای انسانی (کارکنان) ایجاد میشوند: استفاده از سامانههای اطلاعاتی در پلتفرمهای مرکز تماس، مخاطره های انسانی را نیز در پی دارد. چنین مخاطره هایی اغلب توسط خطاهای سهوی یا عمدی انسانی و به صورت خرابکاری، کلاهبرداری و اشتباه های خواسته یا ناخواسته انجام می شوند.
- مخاطره هایی که به واسطه نرم افزارها و سخت افزارها ایجاد میشوند: تماسهای تلفنی از دست رفته، شاخصهای کلیدی عملکرد[2] اشتباه، نقطه شکست خرابی سخت افزاری، از بین رفتن پایگاه داده اطلاعات کاربران و خطرهای محیطی از جمله این عوامل هستند.
2- برطرف کردن مخاطره های امنیت اطلاعات
هر کدام از این مخاطره ها نیازمند یک طرح برای مدیریت آن مخاطره است. این طرحها که در اصطلاح به آنها سناریوهای مخاطره نیز گفته می شود ابتدا با ارزیابی هر کدام از مخاطره ها شروع شده و باید یکی از چهار مورد 1- حذف، 2- کاهش، 3- پذیرش و 4- انتقال که در مدیریت مخاطره ها مد نظر قرار می گیرند را در خود جای دهند.
بعضی از مواردی که در طرح برطرف سازی مخاطره های امنیت اطلاعات در مراکز تماس می بایست به آنها توجه کرد، شامل موارد زیر است:
- مخاطره های ناشی از مداخله انسان: نقطه کانونی مخاطره های فناوری اطلاعات از هر نوعی که باشد، همان فردی است که از آن سامانه اطلاعاتی یا تجهیز فناورانه استفاده میکند. دلیل اصلی این مخاطره هم جدای از جرایم سایبری یا کلاهبرداری هایی که آگاهانه انجام میشوند، بیتوجهی نسبت به مسئولیتها و حوزه عملکردی کارکنان است.
راهحلی که برای برطرف کردن چنین مخاطره هایی پیشنهاد می شود، در بیشتر موارد شامل آموزش و آگاهسازی کارمندان به منظور کاهش مخاطره های ایجاد شده توسط آنها است. راهکار دوم که شامل پذیرش این مخاطره ها است، نشان میدهد هر کارمند بر اساس مسئولیت شغلی که دارد، از پیامدهای استفاده نابه جا از زیرساخت های مرکز تماس و خرابیهای به بار آمده پس از آن، در صورت وقوع یک نقض یا نقص امنیت اطلاعات آگاهی کافی دارد. هر دوی این راهحلها حوزههای عملکرد منابع انسانی، قانون و سیستمها را مشخص میکنند.
همچنین به منظور مشارکت بهتر و جلب نظر کارکنان در خصوص پیاده سازی کنترل های امنیتی می توان از آنها نظرخواهی کرده و با مشارکت شان در تدوین رویه های امنیتی و اطلاع از نگرانی ها و نقطه نظرات شان، سطح مخاطره نقض قوانین توسط کارمندان را تا حدود زیادی کاهش داد. کارکنان باید برای انجام وظایف امنیتی اختصاص داده شده به آنها علاوه بر داشتن دانش و مهارت کافی، از مسئولیت ها و اختیارات لازم نیز برخوردار باشند.
- مخاطره های ناشی از سخت افزار یا نرم افزار: زیرساختهای مرکز تماس، تا حدودی پیچیده هستند. آنها به طور معمول دارای ترمینالهای کاربر، سرورهای داده، سرورهای برنامه و سرورهای ترکیبی برای دریافت تماسهای ورودی هستند. مخاطره های رایجی که در زیرساخت های مراکز تماس ممکن است به وقوع بپیوندند، عبارتند از: از کار افتادن نرم افزار (خطاهایی که در هنگام تماس های دریافتی اتفاق میافتند)، خرابی سخت افزار، از کار افتادن ناشی از نداشتن سیستم تعمیر و نگهداری مناسب (با برونسپاری یا بدون آن)، مشکلات محیطی در اتاق سرور (دما، رطوبت، دود و هشدارهای امنیتی/ ایمنی)، نداشتن طرح تداوم کسب و کار و سازوکاری برای بازیابی پس از وقوع فاجعه، خطا در انتشار شاخص های کلیدی عمکرد برای انطباق با قوانین و مقررات و سایر موارد این چنینی.
گزینههای احتمالی که برای کاهش یا انتقال این مخاطره ها در نظر گرفته می شوند، عبارت هستند از:
- کاهش مخاطره از کار افتادن نرم افزار با برنامههای کنترلی مناسب، نظارت بر فعالیتها و بازرسی های داخلی و شخص سوم.
- کاهش مخاطره از کار افتادن سخت افزار با قرار دادن دستگاه های جایگزین و برنامههای احتمالی یا برونسپاری اقدام های نگهداری، از طریق تنظیم قراردادهای بیمه کیفیت با شخص سوم که همان انتقال مخاطره است.
- کاهش مخاطره خرابیهای محیطی با راهاندازی یک سیستم امنیت فیزیکی مستحکم و فرآیند کنترل دسترسی برای تجهیزاتی همچون DCP (پردازش مرکز داده) که منطبق بر استاندارد ISO/IEC 27001: 2013 است.
- کاهش مخاطره با طراحی و پیاده سازی طرح های تداوم کسب و کار و بازیابی از فاجعه، به همراه فرآیندهای پشتیبان گیری و بازیابی داده، منطبق با استانداردهای بینالمللی مانند استاندارد ISO 22301.
دستورالعملهای امنیت اطلاعات
1- برنامههای آموزش و آگاهسازی
تمرکز اصلی تهدیدهای امنیت اطلاعات در حوزه منابع انسانی، بر روی کارمندانی است که با نارضایتی و بیتوجهی خود میتوانند خسارت های شدیدی را به بار آورده و اطلاعات حیاتی به منظور استمرار کسب و کار را به خطر بیندازند. راهکارهای غیرفنی زمانی مؤثر خواهند بود که کاربران در خصوص وظایفی که نسبت به امنیت اطلاعات دارند، آموزش اثربخش دیده و نیاز به یکپارچهسازی این مفاهیم را با کارهای روزمرهشان درک کنند. حمله مهندسی اجتماعی که سعی در فریب کاربران به منظور دستیابی به اطلاعات محرمانه مرکز تماس دارد، همچنان به عنوان تهدیدی جدی برای این مراکز به شمار می رود که نیازمند بالابردن سطح آگاهی تمامی کارکنان است.
افرادی که در مرکز تماس مشغول به کار هستند باید از راهکارهای مدیریت اطلاعات حیاتی آن مرکز آگاهی داشته باشند. ارایه بخشی از دادهها و نه تمام آنها به کاربر نیز به عنوان یکی از شاخصهای تداوم فعالیت های کسب و کاری شناخته میشود. از سوی دیگر، کارکنان ممکن است با اطلاعات شخصی مشتریانی که از خدمات مرکز تماس استفاده میکنند هم سر و کار داشته باشند که در نتیجه نیازمند بالاترین سطح مراقبت هستند.
طرحهای آگاهسازی و آموزش کارکنان باید در راستای اهداف امنیت اطلاعات مرکز تماس و هم راستا با خط مشی های امنیتی آن بوده و حوزههای مختلفی از منابع انسانی، فناوری اطلاعات، امنیت و رویدادهای پیشبینی نشده را در بر گیرد. افزایش آگاهی کارمندان در خصوص مخاطره های ناشی از حوادث امنیتی، ایجاد خطا یا اشتباه در سامانه ها و تجهیزات پردازش اطلاعات مرکز تماس و همچنین قوانین و اصول کلی حفاظت از اطلاعات، از دیگر مواردی است که می بایست مورد توجه قرار گیرد. لازم به ذکر است که در این اصول کلی حفاظتی، تمامی حوزه های مرتبط از جمله سندها، تجهیزات رایانه ای، ساختمان، دسترسی به سیستم ها و نرم افزارها، تلفن، فکس، رفتار در جلسه ها و بیرون از محیط سازمانی و غیره بایستی مد نظر قرار گیرند.
طرح های آموزشی و آگاهی بخشی علاوه بر کارکنان فعلی باید کارمندان جدیدالاستخدام را نیز شامل شوند. شکاف های مربوط به دانش، مهارت و توانایی های امنیتی کارکنان مرکز تماس را می توان به کمک آموزش پوشش داد.
2- ملاحظه های امنیتی پیش از، در حین و پس از شکلگیری ارتباطات درون سازمانی، مابین مدیریت و نیروی کار
در استاندارد ISO/IEC 27001:2013 که به عنوان سیستم مدیریت امنیت اطلاعات (ISMS) نیز شناخته می شود، روابط کاری به سه مرحله تقسیم میشوند (پیش، حین و پس) که در هر یک از این مرحله ها، به کارگیری کنترلهای امنیتی متناسب با آن مرحله بسیار ضروری است.
پیش از فرآیند استخدام توصیه میشود مدیر امنیت اطلاعات، نقشها و مسئولیتهای امنیتی مرتبط با هر شغل را مستند کند، سابقه کاری فرد منتخب را بررسی کرده (سابقه قضایی و کیفری) و آنها را وادار کند درک و فهم کافی از شرایط و قوانین استخدامی شان را به دست آورند. همچنین می بایست رویه ای برای دادن اطلاعات اولیه به کارکنان در خصوص وظایف و مسئولیت هایشان در خصوص الزام های امنیتی مرکز تماس، قبل از هرگونه انتساب یا رابطه استخدامی وجود داشته باشد. مدیر امنیت اطلاعات باید اطمینان داشته باشد که مسئولیت های امنیتی اختصاص داده شده به کارکنان، از کفایت و اثربخشی لازم برخوردار است. در خصوص کارکنانی که بر امور حساس در مرکز تماس تأثیرگذار هستند، لازم است در فعالیت های مربوط به بررسی سابقه کاری قبلی آنها، تأییدیه اضافه تری از مراجع ذیصلاح حراستی نیز گرفته شود.
در هنگام صحه گذاری سوابق تمامی داوطلبان استخدام، اعم از پیمانکاران و کاربران شخص سومی که در مرکز تماس اشتغال خواهند داشت می بایست بررسی های صورت گرفته مطابق با قوانین، آیین نامه ها و اصول اخلاقی مرتبط که متناسب با الزام های کسب و کار، طبقه بندی اطلاعاتی که در دسترس قرار می گیرند و همچنین مخاطره های مشاهده شده انجام شود.
در طول دوره آزمایشی استخدام و هنگام کار نیز مدیر امنیت اطلاعات باید حوزه عملکرد سمت های شغلی کلیدی را به طور مداوم، مورد بررسی قرار داده و فعالیت های کارمندان را پایش کند. این نظارت ها شامل بررسی کارکنان از لحاظ اعتباری در بازه های زمانی مشخص هم می شود. هر کدام از کارکنان لازم است در برنامههای آموزشی مربوطه شرکت کرده و قوانین انضباطی مرتبط با خطاهای انجام شده در مسئولیتهای امنیت اطلاعات یا تخلف از رویه ها میبایست به اطلاع تمام کارمندان برسد.
در نهایت، در پایان کار و خاتمه فرآیند استخدام هم مدیر امنیت اطلاعات باید از لغو تمام مجوزهای دسترسی کارکنان به داراییهای اطلاعاتی و بازگرداندن داراییهایی که در اختیار کارمندان قرار گرفته است، مطمئن شود. مسئولیت ها و وظایف امنیت اطلاعات که پس از خاتمه اشتغال یا تغییر شغل کارکنان در مرکز تماس همچنان دارای اعتبار هستند بایستی به روشنی، تعریف و تخصیص داده شده و به اطلاع همه کارکنان، پیمانکاران و کاربران شخص سوم برسد.
3- جداسازی وظایف
مؤسسه ISACA، نیاز به درک جداسازی وظایف کارکنان را به عنوان یکی از ابزارهای انکارناپذیر جرم یادآور میشود. مدیر امنیت اطلاعات باید ساختار سازمانی مرکز تماس را به گونهای بچیند که هم پوشانی بین وظایف رخ ندهد و هر یک از کارکنان نیز به خوبی از وظایف و حیطه مسئولیت های کاری خود آگاه باشند. همچنین وی میتواند به طور منظم ساختار سازمانی را به منظور اصلاح میزان اثرگذاری فعالیت های کاربران بر یکدیگر ارزیابی کند.
4- طرح بازیابی از خرابیهای سخت افزاری
با وجود ابزارهایی همچون IVR، مراکز تماس معمولاً سخت افزار خاصی برای یکپارچه کردن تماسهای تلفنی داشته و ممکن است از کارتهای پاسخگویی خودکار (سازوکار پاسخگویی صوتی در جستوجوهای صدا) نیز استفاده کنند. در این موارد، سرورهایشان نرم افزارها را مدیریت میکنند تا دادههای مربوط به رسیدگیها، دادههای کاربران، خدمات ارایه شده و شاخصهای مدیریتی انطباق اهداف را ثبت کنند.
چنین کاری، نیازمند بهرهگیری از طرحهای متنوعی در حوزه بازیابی از خرابی است که به مواردی همچون پردازندهها، یکپارچه کننده تماسها، هارد درایوها، حافظههای قابل خواندن و نوشتن[3]، منبع تغذیه و غیره بپردازد. زمانی که از مداخله شخص سوم برای نگهداری و تعویض بخشی از تجهیزات استفاده میکنیم این موضوع کمی پیچیدهتر هم میشود. قراردادهای برونسپاری میبایست به خوبی بازبینی شوند و بخشها و تجهیزاتی که امکان تعویض آنها وجود دارد، به درستی مشخص شوند. گاهی وقت ها، استفاده از رایانه های بدون استفاده مشابه درست نیست (به عنوان مثال، جایگزینی یک رایانه با سیستمی دیگر).
5- طرح های تداوم کسب و کار و بازیابی از فاجعه
طرحهای بازیابی از فاجعه و تداوم کسب و کار برای از سرگیری تمامی فعالیت های مهم فناوری اطلاعات مرکز تماس ارایه میشوند. راهکار دیگری که برای مراکز تماس وجود دارد، ادامه ارایه خدمات در صورت به وجود آمدن مشکل در شرکتهای ارتباطات مخابراتی است. راهکارهایی همچون «سیستم بازیابی از فاجعه سایت داغ[4]» در هنگام وقوع فاجعه، فروشندگان دیگر را نیز در ارایه خدمات دخالت می دهد. در این سبک از راهبردهای کسب و کار، این موضوع بسیار رایج است که برای رسیدن به هدف های اقتصادی و استمرار کسب و کار، مراکز تماس را در شهرهای مختلف راهاندازی کنند.
6- ارتباط با مراجع معتبر و انجمن های تخصصی
به منظور آگاهی از آخرین تهدیدهای امنیتی مربوط به مراکز تماس و همچنین دسترسی به توصیه های ارایه شده برای پیشگیری از وقوع خطاهای احتمالی تهدید کننده این مراکز و همچنین کاهش پیامدهای مخرب حملات می بایست ارتباط با مراجع معتبر و انجمن های تخصصی حفظ شود.
7- امنیت پیمانکاران و تأمین کنندگان خدمات
پیمانکاران بیرونی، اعم از تأمین کنندگان خدمات یا پیمانکاران منابع انسانی که به هر نحوی با مرکز تماس در ارتباط هستند می بایست از یک مرکز احراز صلاحیت رسمی و مورد تأیید، گواهینامه صلاحیت داشته باشند.
8- تفاهم نامه های عدم افشای اطلاعات
به منظور برقراری امنیت اطلاعات و حفظ محرمانگی در مرکز تماس باید تفاهم نامه های عدم افشای اطلاعات (NDA) که منعکس کننده نیازها و الزام های امنیتی مرکز است با تمامی کارکنان و همچنین پیمانکاران منعقد شود. این تفاهم نامه ها، پیوست قرارداد همکاری طرفین بوده و به عنوان بخشی از تعهد قراردادی شان به شمار می رود.
در تفاهم نامه عدم افشای اطلاعات (رازداری) که قبل از شروع هر گونه رابطه کاری بسته می شود لازم است یک بند که به روشنی بیان کننده تعهد و پایبندی کارکنان به رعایت الزام های امنیتی مرکز تماس و مسئولیت هایشان در خصوص امنیت اطلاعات است، در نظر گرفته شود.
9- خط مشی ها و رویه های امنیتی
سیاست نامه ها و روش های اجرایی امنیت اطلاعات، یکی از اصول اولیه در برقراری امنیت سازمانی در مراکز تماس به شمار می روند. این خط مشی ها و رویه ها می بایست در راستای دستیابی به اهداف امنیت اطلاعات مرکز تماس بوده و بر اساس الزام های امنیت اطلاعات و نیازمندی های امنیتی آن تدوین شوند.
این مستندها می بایست به اطلاع تمام کارکنان و پیمانکارانی که به هر نحوی با مرکز تماس در ارتباط هستند، برسد. مدیر امنیت اطلاعات باید از دسترسی همه کارکنان به خط مشی ها و روش های اجرایی امنیتی مرکز تماس (به عنوان مثال، از طریق اینترانت یا پرتال سازمانی) و همچنین رعایت آنها اطمینان حاصل کند. تمامی کارکنان و در صورت لزوم، پیمانکاران و کاربران شخص سوم تا آنجا که به کارکرد شغلی شان مربوط است بایستی به صورت مناسب، در خصوص این مستندهای امنیتی آموزش ببینند.
خط مشی ها و رویه های امنیتی باید بر اساس مخاطره ها و تهدیدهای امنیتی فعلی و آتی مرکز تماس، تدوین شده و متناسب با تغییرات در فرآیندهای کسب و کاری و فناوری ها، به طور مداوم به روزرسانی شده و سنجش اثربخشی آنها نیز در بازه های زمانی مشخص مورد پایش قرار گیرد تا همواره از کارایی و تناسب لازم برخوردار باشند.
10- کنترل های فنی امنیت اطلاعات
علاوه بر الزام های امنیتی که در خط مشی ها و رویه های امنیتی مرکز تماس گفته می شوند، توجه به بعضی از کنترل های فنی امنیتی و رعایت آنها توسط کارکنان، همچون موارد زیر ضروری است:
– لزوم انتخاب رمزهای عبور پیچیده و تغییر دورهای آنها: ایجاد قوانینی برای انتخاب رمزهای عبور مناسب برای حساب های کاربری رایانه، سامانه و نرم افزارها که به اندازه کافی پیچیده بوده و از طول کافی (حداقل 8 کاراکتر برای کارمندان) نیز برخوردار باشند. منظور از رمز عبور پیچیده، رمزی است که در آن از اعداد، حروف بزرگ و کوچک و نشانه ها استفاده شده است. همچنین لزوم تغییر آن در بازه های زمانی مشخص و ایجاد تدابیری برای عدم به اشتراک گذاری آنها توسط کارمندان.
– نحوه کار با مستندات دارای طبقه بندی: ایجاد سازوکار حفاظتی لازم برای کار با سندها و مدارک دارای طبقه بندی و محرمانه، همچنین لزوم برچسب گذاری سندها به منظور تشخیص و شناسایی آنها.
– اقدام های لازم در هنگام ترک میز کار: تدوین سیاست های امنیتی لازم در هنگام ترک میز کاری و لزوم رعایت مواردی همچون جا نگذاشتن اسناد طبقه بندی شده بر روی آن و همچنین قفل کردن صفحه نمایش رایانه به منظور جلوگیری از دسترسی افراد غیرمجاز به آن.
– استفاده از رسانه های ذخیره سازی قابل حمل: ایجاد قوانینی برای ورود و استفاده از رسانه های ذخیره سازی قابل حمل به منظور جلوگیری از امکان آلودگی سیستم ها و پیشگیری از خروج اطلاعات سازمانی از مرکز تماس.
– نحوه برخورد با تماس های مشکوک: آموزش کارمندان در خصوص تماس های تلفنی مشکوکی که درخواست اطلاعات سازمانی را دارند و نحوه پاسخگویی آنها به چنین تماس هایی.
– گزارش دهی حوادث امنیت اطلاعات: تدوین سازوکاری برای گزارش دهی سریع هر گونه مورد مشکوک و نقض ها یا نقص های امنیت اطلاعات از طریق مجاری مناسب.
– لزوم استفاده از ایمیل های سازمانی: اعمال سیاست هایی در خصوص استفاده از ایمیل سازمانی برای ارتباطات برون سازمانی و انتقال احتمالی اسناد و مدارک.
– قوانین به اشتراک گذاری اطلاعات: ایجاد سازوکارهای لازم برای اشتراک گذاری امن اطلاعات در داخل شبکه های سازمانی.
استفاده پسندیده از دارایی ها: ایجاد سازوکاری برای استفاده پسندیده و قابل قبول از تجهیزات و سامانه های در اختیار کارمندان.
– پشتیبان گیری از داده ها و اطلاعات: اعمال قوانین مناسب در خصوص پشتیبان گیری از داده ها و اطلاعات و روش های نگهداری ایمن و بازیابی آنها.
– امحای امن دارایی های اطلاعاتی: ایجاد سیاست امنیتی لازم برای امحای امن مدارک و رسانه های ذخیره سازی دارای اطلاعات.
مدیریت وصله های امنیتی: ایجاد قوانینی به منظور اعمال سریع و مدیریت وصله های امنیتی سامانه ها و نرم افزارهای مورد استفاده در مرکز تماس.
نرم افزارهای امنیتی و تشخیص تهدید: ایجاد قوانینی برای نصب و به کارگیری نرم افزارهای امنیتی همچون آنتی ویروس، ضدهرزنامه و غیره و همچنین به روزرسانی مداوم آنها.
– ارزیابی و مدیریت مخاطرات امنیت اطلاعات: شناسایی تمام دارایی های موجود در مرکز تماس، تهیه لیستی به روز از آنها و ارزش گذاری شان بر اساس المان های اصلی امنیت اطلاعات و همچنین ارزیابی، مدیریت و برطرف سازی مخاطرات امنیتی آنها.
– کنترل های رمزنگاری: ایجاد قوانین مناسب برای استفاده از رمزنگاری در تبادلات بیرونی و حفظ محرمانگی اطلاعات.
– امنیت فیزیکی و محیطی: ایجاد سازوکار لازم برای فراهم کردن امنیت فیزیکی و محیطی مرکز تماس و پیشگیری از خطرات مربوطه و کاهش مخاطره های ناشی از عوامل ناخواسته انسانی یا طبیعی.
– هشداردهی های امنیتی: ایجاد سازوکار لازم برای هشداردهی خطرات و آموزش کارکنان به منظور واکنش مناسب به هنگام شنیدن صدای هشدار سامانه های امنیتی.
– کار با تجهیزات اطفای حریق: تهیه راهنماهای لازم در خصوص کار با تجهیزات اطفای حریق و خاموش کننده های دستی آتش (کپسول ها).
-مواد مشتعل و خطرناک: ایجاد قوانینی برای جلوگیری از آوردن هرگونه مواد قابل اشتعال، منفجره و خطرناک به داخل مرکز تماس.
– دستورالعمل های مقابله با شورش و بحران: تهیه راهنماها و دستورالعمل های لازم برای مقابله با شورش، گروگان گیری و بحران های انسان محور در مرکز تماس.