Medidas estratégicas de Seguridad de la Información en áreas de Atención al cliente
Share
Por: Juan Pablo Aliaga Sancho – CISA, Jefe de Auditoria de Sistemas – Corporación GPF.
Las áreas de atención y servicio al cliente representan puntos de captación de información que el público confía a las empresas a través de los múltiples canales de acceso como, por ejemplo, los Call Center. En esta interacción, pueden surgir riesgos relacionados con el manejo de esta información, los mismos que deben ser identificados para su posterior análisis y mitigación adecuada.
Además, de la información que voluntariamente puede entregar un cliente, existen otros factores de riesgo según la forma de trabajo de la empresa, sea por registro manual de tarjetas de crédito, registro manual de pagos, grabaciones de las conversaciones, compartición de información entre los empleados del call center, etc.
Considerados los medios de entrada de información y de su posterior registro o almacenamiento, las empresas deben tomar en cuenta, sobre todo en el cambiante mundo actual, los medios de protección de esa información, evitar registros manuales, habilitar el direccionamiento a canales digitales de pago, contar con medios de pago seguros, entre otras medidas físicas. Además, se debe poner especial atención en la seguridad de las grabaciones y su tratamiento, permitiendo el acceso únicamente al personal autorizado y el tratamiento se realice exclusivamente dentro de las instalaciones del centro de llamadas, dar foco a las revisiones de seguridades lógicas y de acceso.
Para visualizar el área de atención y servicio al cliente, teniendo en cuenta que se debe garantizar la confidencialidad de la información de los clientes, se deberán instalar cámaras de seguridad para registrar los eventos y contar con el soporte de acción de las personas que se mueven por el área y que interactúan con la información.
El perfilamiento de los datos y el direccionamiento de campañas para entregar un mejor servicio para la promoción de servicios requiere de herramientas y aplicaciones como CRM que toman información del almacenamiento interno y con base en sus análisis y fórmulas determina los clientes a contactar, y es ahí donde los riesgos se activan, los controles se deben implementar y las seguridades se deben revisar, de manera que, nuevamente, el activo más importante, la información del cliente se encuentre protegida de mal uso, mal manejo, fuga y modificación no autorizada.
Una vez revisados los factores físicos y lógicos relacionados a la información debemos traer a un posible actor en esta interacción y es el uso de proveedores de servicio, es decir, empresas que llevan el call center o la atención al cliente en nombre de la empresa principal. Esto significa que además de lo marcado para la conformación de un área de atención, se debe buscar blindar el contrato con el proveedor de servicio, donde además de las medidas marcadas previamente, se deberán mantener acuerdos de servicio, hitos de medición de información, procedimientos de cliente fantasma, resguardo adicional de la información y otros temas que, en conjunto con el área Legal, deberá ser posible materializarlo en un contrato con el proveedor.
¡Y claro, los convenios y acuerdos de confidencialidad!
Cerrando todo el círculo y ya con la mención de los factores mencionados, debemos recordar que todos estamos ahora expuestos al cumplimiento de la Ley Orgánica de Protección de Datos Personales. Esta situación nos abre todo un espectro de manejo de controles porque tanto si se lo lleva de forma interna como tercerizada, los contratos, los respaldos, los resguardos, todas las situaciones deberán ser ahora vistos con el matiz de la Ley, con las disposiciones de la Ley y en cierto sentido, con el plan de acción y marco de cumplimiento de la Ley porque más allá de todo lo expuesto, (y esto podrá ser motivo de otros debates y artículos), el call center será la primera fuente de información que use el cliente, el ciudadano y la persona usuaria, para hacer la pregunta básica de la Ley: “Tiene mi autorización expresa para el uso de mis datos”.
Para concluir, y sabiendo que estas palabras generarán nuevas dudas y debates, solo quiero mencionar que “la seguridad es una cuestión de actitud, y debemos estar atentos a marcar ese camino”.