对许多公司来说,呼叫中心就是公司业务的命根子。所以要求它们在为员工和客户提供的物理安全与数字安全措施之间求得平衡
呼叫中心不“安全”
2005年12月12日凌晨,24岁的Pratibha Srikanth Murthy在前往班加罗尔呼叫中心上班途中不幸遇害身亡。但是2008年1月印度法庭并没有起诉审判涉嫌攻击Murthy的出租车司机Shiv Kumar,而是把矛头对准了Murthy当年所在公司的最高上司——Som Mittal。当年,他在Murthy服务的公司——惠普全球软件公司(Hewlett-Packard GlobalSoft)任总经理。
印度法律要求公司为女性雇员在夜间上下班途中提供安全的交通方式,为此Mittal受到了指控。Mittal现担任印度全国软件和服务公司协会(NASSCOM)会长,它是印度规模庞大的外包和呼叫中心行业的主要行业性组织。具有讽刺意味的是,这家协会曾经拟订了确保行业内员工享有安全交通方式的指导原则,这些原则甚至包括要求派保安陪同女性员工上下班; 女性雇员不该第一个被接送或者最后一个下车等内容。
印度最高法院在今年2月驳回了Mittal对此案的上诉,根据商店与公司法(Shops & Establishments Act),一旦Mittal被判定有罪,他只会面临1000卢比(约合25美元)的罚款,但会留下案底,而他曾经供职的惠普全球软件公司也可能因此被牵连。
NASSCOM表示对此案不予评论。而惠普印度分公司称,在开庭前不想就此案发表评论。但是显然即使这起谋杀案已过去了三年,印度呼叫中心行业仍会与这起案子牵连在一起,而且这种牵连关系似乎还会持续几个年头。
鉴于呼叫中心和保护数据安全有着紧密的联系,Srikanth Murthy案件正在警示世人: 确保处理数据的工作人员安全,对于数据安全同样意义重大。
Patrick Chagnon供职的公司SSC设在美国康涅狄格州谢尔顿,它是一家安全咨询公司,作为公司情报与调查部门的经理,Chagnon认为像Murthy这样的事件会令雇主企业名声受损,因此带来的风险非常大。“自己的员工被人持枪攻击或者抢劫、甚至受到伤害绝对不是什么好事,客户也许会问,‘你连自己的员工都没法保护,怎么能够保护我们以及我们的数据呢?’”
事实也证明了这一点,近期有大量新闻报道披露,不但有充足的证据表明,呼叫中心运营商确实未能确保数据安然无恙,而且他们的员工遭受攻击的概率也要高出普通人。
David Brown是总部设在伊利诺斯州斯科基的福赛思解决方案集团(Forsythe Solutions Group)负责安全咨询服务的首席顾问。他说: “类似攻击事件发生频率非常高,这就像是那些夜间的自动柜员机,或者是购物中心的停车场,容易引发一些暴力伤害事件。呼叫中心的员工之所以容易遭到攻击,就是因为呼叫中心通常是24小时不间断运作,而且常常位于工业区或者人口稀少的办公园区。”
总部设在英国伦敦的安全联盟(Security Alliance)是由专业信息安全厂商组成的联盟,该组织的执行董事John Beale则认为,呼叫中心落实到位的物理安全措施和保安人员往往忽视保护员工的安全,而是在侧重于保护数据的安全。
实际上,除了员工安全保护差强人意外,数据保护不力、系统保护也不力等一连串令人担忧的呼叫中心安全漏洞更是时有发生。
安全培训认证公司SCIPP International的创办人Winn Schwartau是一名信息安全专家。他表示,呼叫中心安全的三个不同方面亟需审查: 第一个是针对不再是公司雇员的人,及时取消进入大楼以及访问公司网络的权限; 第二个是更有效地控制数据中心的工作人员对信用卡和银行账户详细资料等客户财务数据的访问; 第三个当然是这些工作人员的物理安全和保护。
拒绝违规访问
Schwartau认为如果对呼叫中心的系统运作开展渗透测试以及审计工作,就会发现为数众多的员工虽然已经离开了公司,但他们仍拥有访问公司计算机网络和系统的权限。甚至在一些呼叫中心甚至有人早在两三年前就离开了公司,却仍拥有访问权限,这样的情况太司空见惯。
Schwartau表示,不是说许多公司没有认识到需要取消那些不该有的访问权限,而是说他们缺乏以一致的方式取消权限的手段。“取消访问权限很可能是人力资源部门制订的政策,但是控制网络的不是人力资源部门,结果是人力资源部门只是核对了权限一览表,而没有切实执行的手段。”
福赛思解决方案集团的Brown表示,对于访问权限的有效解决办法就是用“极其明确的”流程来取代执行起来乏力的机制。“这种流程要充分考虑到有可能出现的各种场景。比如有人按规定退休与有人被公司以正当理由开除,它们就应该是两种全然不同的情况。”
Brown以被公司以“正当理由”开除的这种情况为例解释到:“正当理由包括操纵数据或者窃取数据,必须遵循的程序应当包括: 除了法务部人员、执法部门联络员、媒体关系人员甚至危机管理人员外,还应该让安保人员在场(目的是防止被开除的人仍旧强行访问系统),要求哪些人在场取决于被发现的不法活动的后果可能有多严重。明确规定这些程序很重要,因为肯定需要用到它们。这样的事情发生的频率越来越频繁了,人们越来越认识到数据中心具有的价值——越认识到这种价值,面临的风险就越大。”
Schwartau补充说,更大的风险来自那些使用单次登录系统来进行登录的公司。虽然单次登录机制具有提高工作效率的优点,但是一旦密码被窃取或者被滥用,就增加了数据丢失(或受损)的风险。“有了单次登录机制,一个密码就可以访问多个系统。如果某人离开了使用单次登录技术的一家公司,取消其权限非常重要。”
确保呼叫中心安全可靠
说到确保呼叫中心数据安全,Greg Boles认为有必要做好基本工作,先从调查新员工入手。Boles是风险管理咨询公司Aon Consulting派驻加利福尼亚州威胁管理和安全服务部门的负责人。
Boles说: “雇主们通常会进行表面调查,但常常不够深入全面,随后又不采取后续措施。雇主应当开展非常深入全面的背景调查,然后按规定不断进行背景调查和毒品检验,并把它作为一项工作条件。要是某个员工出现财务紧张、家庭暴力、违反限制令,或者对毒品有依赖性,那么他有可能存在滥用职位的动机。”
一旦发现如果某个人有窃取信息的动机,公司的下一道防线就是尽量加大窃取数据的难度。Boles表示,要对允许带入数据中心的设备进行限制,这实际上禁止使用以数字方式装入数据的任何设备,比如光盘、USB驱动器和闪存。这样做,对防范不太明显的获取机密信息的方式比较有效。
Boles同时还认为,技术虽然会带来风险,但是也助于缓解风险。“比方说,瘦客户机和虚拟机就可以让呼叫中心运营商对工作人员的桌面系统能够处理哪些任务实行最大限度的控制,而且更重要的是可以控制规定哪些任务不能处理,这样就可以禁止有人在未经允许的情况下下载数据。”
Howard Schmidt曾经在微软和e-Bay担任首席信息安全官,如今是非营利组织ISC的一员。他认为通过技术来控制员工的行为只能是后备机制。“基本工作必须放在首位。”
除了员工审查和设备限制等控制措施外,列入Schmidt自己“基本工作”清单的还有“数据修订”。“在工作人员的屏幕上只显示数据字段的一部分,比如从不显示完整的信用卡号码和出生日期。工作人员很少需要这样的信息,所以有必要限制数据完整性。在大多数情况下,工作人员只需要信用卡的后四位数字,或者出生的年份和月份。”Schmidt说。
Schmidt提倡的这种“修订”机制也是全球数据安全标准(PCI DSS)的推荐措施之一,并且得到VISA、万事达和运通等信用卡组织的竭力提倡。
支付卡行业安全标准委员会(Security Standards Council)的总干事Bob Russo表示,像这样一项面向整个行业的数字数据安全标准,可能比一种甚至更多种不同的解决方案更加安全可靠。
PCI DSS在2004年12月发布了相关数字数据安全标准的1.0版本,2006年9月推出了1.1更新版本。Russo表示,处理信用卡支付的任何呼叫中心都应当遵守这项标准。“如果一家呼叫中心存储、处理或传输信用卡数据,那么它基本上就要满足遵守这项标准的要求。虽然遵守这项标准是强制性的,但只有‘一级’呼叫中心(每年处理的信用卡交易超过600万笔的呼叫中心)通过审计来证明它遵守了该标准。”
杜绝危险的停车场
除了数据安全,呼叫中心外面的安全状况又怎样呢?
SSC公司的Chagnon表示,对于呼叫中心外部的安全,提高自我防范显得很重要。他说: “鼓励员工与同事结伴而行,那样不会出现员工在凌晨2点一人走出办公室去开车的情况。让员工们结伴离开大楼,停车时彼此的车子尽量靠近些。”
Chagono同时表示,呼叫中心雇主的防范措施也很重要。“确保停车场各个方向视线清晰、没有阻挡、灯光通明,理想情况下,要对停车场实行全天监控。专家的建议就是,把安全范围扩大到停车场边缘。”
福赛思解决方案集团的Brown也认为,良好的夜晚照明至关重要,监控摄像头也很有帮助,灯柱上最好安装紧急呼叫按钮。一旦有人摁下紧急按钮,或者摄像头拍到了危险情况,安全人员要能够在第一时间赶到。
除此之外,诸如所有员工上下班是否都有适当的安全交通方式,还有哪些公司在呼叫中心的所在地区办公,这些公司是否会对呼叫中心安全问题带来积极或者负面影响这样的问题,都应该被划入考虑范围内。
健全数据安全标准
无论是关于安全的停车场还是访问权限取消,诸如此类的建议措施并无新意。一些安全标准包括了不少与信息保护有关的内容,除了上述的PCI DSS标准外,还包括ISO 27001及其相应的最佳实践规范ISO 27002。Unisys公司的董事兼首席安全官Gerhard Knecht表示:“呼叫中心缺少的是进行监控及遵从法规,而不是了解该怎么办。”
Knecht现在负责的所有呼叫中心(大约有14个,分布在波哥大、布达佩斯、悉尼、圣保罗和盐湖城等城市)都通过了ISO 27001的认证,他强调这仅仅是达到了最低标准。“实际上,我们争取符合更高的标准。”
Knecht希望每个呼叫中心必须完成每个季度一次的成熟度报告审计,审计对象包括91个不同问题,每个问题都有四个“响应场景”,而每个响应场景对应于特定的成熟度级别。比方说,就访问权限取消而言,成熟度报告要求呼叫中心不但在有人离开公司后取消访问权限,还要在离开部门后立即取消权限。
Knecht 说: “86%的问题来自ISO 27002; 5%来自《萨班斯-奥克斯利法案》的要求。对于每个问题,每个呼叫中心都要基于响应场景,指定适用于哪个级别的安全成熟度,然后证明有没有必要进行评估。”
值得关注的是,Unisys公司的客户很少主动询问同样的问题。但是即使如此,Knecht还是经常把成熟度衡量标准发给他的客户,鼓励他们进行审计。“《萨班斯-奥克斯利法案》等监管制度相当明确——公司可以把业务活动外包出去,但确保与该业务活动有关的安全的责任不能外包出去。”
在Knecht看来,对于数据安全,呼叫中心所能做的毕竟有限,很大程度上还是要依赖于外包客户自身加强安全审计