La inminente entrada en efecto para la Regulación General Europea de Protección de Datos (GDPR) es sólo el último eslabón de una larga cadena de preocupaciones sobre cumplimiento para las empresas, construida sobre los estándares establecidos de la protección a la información y asuntos de seguridad de la Industria de Tarjetas de Pago (PCI). El asegurar la información sensible de los clientes está recibiendo más atención de lo que ha recibido en mucho tiempo, o quizás nunca la tuvo.
La idea común de la protección de información establece cómo esta información debe de ser almacenada y protegida, aún cuando la verdadera protección y seguridad empieza en los límites de una organización. Por ejemplo, cuando los contact center toman los datos de pago de los clientes o guardan información personal delicada, ¿cómo asegurará la empresa que esos clientes – y la empresa por sí misma – estén protegidos?
Conociendo los riesgos
En este primer punto de contacto, la información enfrenta numerosos riesgos: ambos, intencionales o accidentales. Por ejemplo, un trabajador de un call center podría, ya sea debido a un deficiente entrenamiento o un simple error humano, almacenar más información de pago con una tarjeta del que está permitido por el cumplimiento PCI – o inclusive almacenar la información en una infraestructura no tan segura. De forma similar, la GDPR establece limitaciones específicas sobre cuándo y cómo, las empresas, pueden guardar información, así como por cuánto tiempo puede ser guardada y cómo debería ser protegida. Por encima de todo esto, las empresas necesitan estar listas para compartir información con sus clientes, o con otras empresas, si el cliente lo solicita; una solicitud que por lo regular llega primero al contact center.
El riesgo no solo está limitado a factores dentro de la organización. Atacantes pueden ver el contact center como el enlace más débil en la seguridad de la empresa – donde la combinación de una vasta potencialidad de errores humanos junto con la necesidad de hacer accesible la información, podría proporcionar una ruta fácil dentro de cualquier organización. Con penalizaciones PCI creciendo exponencialmente – dependiendo de la cantidad de información puesta en riesgo y el tiempo en identificar y rectificar cualquier problema – y penalizaciones GDPR fácilmente cambiando a millones de euros – las consecuencias financieras pueden ser catastróficas para las empresas. Añada a este riesgo el daño que supondría a la reputación de la empresa. Está claro que las empresas necesitan asegurarse de que estén protegiendo a los clientes, y su información, justo en los límites de la organización.
Tomando el control
Las empresas pueden hacer bastante para proteger a los usuarios, y a ellas mismas, al asegurarse que estén utilizando las comunicaciones correctamente. Cualquier contact center deberá contar con mejores prácticas y protocolos, que los trabajadores deberán seguir para asegurarse de que la información esté protegida. Si la empresa unifica sus comunicaciones, asegurándose de vigilar sobre cada canal de entrada al contact center, desde mensajería y voz, hasta los formularios que utilizan los trabajadores para registrar la información, se puede reducir masivamente el riesgo de un error humano o cualquier intento malicioso de olvidar guardar información.
No solo una solución bien diseñada de Comunicaciones Unificadas (UC) puede almacenar todas las comunicaciones, para que la organización pueda probar, incluyendo a sus trabajadores, no estén fallando -o rápidamente identificar cualquier actividad maliciosa- también puede asegurarse de que la información sensible, como los son los detalles de una tarjeta de crédito, sólo sea guardada en la ubicación correcta, en el formato correcto; significando mucho menos riesgo para los trabajadores que comparten demasiada información. De forma similar, los trabajadores pueden ser restringidos para comunicarse sólo con clientes, y otro más, sobre ciertos canales en cierto tiempo – de nuevo, reduciendo las posibilidades de accidentalmente compartir información.
Protegiendo los puntos débiles
Utilizando UC para reducir los riesgos de actividad humana ayudará a lidiar con estos puntos de debilidad. Sin embargo, las organizaciones, todavía necesitan estar a salvo de ataques externos. El primer objetivo de cualquier ataque contra un contact center serán siempre los trabajadores por sí mismos; si pueden ser convencidos de proporcionar cualquier información sensible, el ataque será más fuerte en este lugar. El control de las comunicaciones recorrerá un largo camino para poder defender contra esto, pero los trabajadores no son el único punto débil. Particularmente, debido a que las líneas telefónicas antiguas (RDSI, cobre, etc) ya han sido reemplazadas, en la mayoría de los países, con conexiones IP a través de troncales SIP, la conexión entre cualquier red e internet es un objetivo tentador para los atacantes, y una amenaza correspondiente al cumplimiento de protección de la información. Cualquier estrategia de protección de información debe reconocer esta conexión como un punto de mayor riesgo potencial. Después de todo, inclusive si el ataque no afecta los detalles de información del cliente, puede tener otras implicaciones – por ejemplo, el secuestro de teléfonos VoIP para convertirlos en una red de robots de llamadas.
El control es, de nuevo, una parte importante para proteger la conexión de los atacantes. El acceso a la conexión IP no debería ser accesible para todos: es más fácil proteger a un número conocido de dispositivos conocidos, ya sean teléfonos VoIP o estaciones de trabajo, que a una red en constante expansión o contracción. El control también puede reducir el impacto de un ataque exitoso. Si los dispositivos sólo permiten, en su mayoría, tareas específicas y comunicación en una sola vía, el riesgo de que estos sean utilizados para robar información es reducido de forma significativa. Obviamente existen, por supuesto, más formas técnicas para proteger la información – por ejemplo, encriptar la información y las comunicaciones y monitorear cualquier comportamiento sospechoso que pueda ser la primera señal de una amenaza. Las organizaciones entonces deben preguntarse cuánta seguridad tiene su Troncal SIP y si es posible poner más capas encima – por ejemplo, ¿la troncal SIP reconoce, detecta y rechaza las herramientas conocidas de ataques?
El Cumplimiento – ¿imposición u oportunidad?
El buen cumplimiento está diseñado para fomentar que las mejores prácticas protejan a los consumidores y clientes, y ayude a las empresas a trabajar mejor. Ante el PCI, la GDRP y más regulaciones de protección de información aún por venir, las empresas que soporten la relación con los clientes a través de una estrategia basada en UC, bajo control y seguridad, verán muy pronto los beneficios.