La pandemia del COVID-19 es una realidad que nadie vio venir y que nos ha golpeado fuertemente.
A nivel general llevamos alrededor de dos meses de encierro no del todo voluntario, y si bien ha empezado una fase de reapertura en varios países, la triste realidad es que el COVID ha llegado para quedarse, y por ello es importante adaptarse a una nueva realidad que no necesariamente es de nuestro agrado.
A nivel laboral y de continuidad del negocio, COVID-19 ha supuesto un aprendizaje, pues, de golpe, hubo que acogerse al teletrabajo e improvisar muchas cosas que quizás se habían contemplado pero que no se habían implementado por falta de presupuesto o visión.
Uno de los primeros sectores que ha logrado migrar a la nube sus operaciones para garantizar la continuidad del negocio es el de call centers, el cual cerró el año 2019 con operaciones por más de 506 millones de dólares tan solo en América Latina, según datos de Frost & Sullivan.
En nuestra región, los call centers son una importante fuente de empleos y de inversión. Respecto a planes de contingencia y de continuidad del negocio, Raúl Mejía, director México y LATAM de GM Sectec, comenta que ya varios call centers han implementado soluciones de comunicaciones unificadas basadas en la nube, movilizando a sus agentes en modo “home office” para continuar operando y ofrecer acceso a sistemas esenciales, incluidos CRM (Customer Relationship Management) e IVR (Interactive Voice Response), entre otros.
Mejía hace hincapié en que estas acciones deberían estar enmarcadas en las políticas de seguridad de la empresa que den cumplimiento a las normas de seguridad para las transacciones con medios de pago, como PCI-DSS. De igual forma, es muy importante mantener actualizados los diagramas de flujo, de red e inventarios con el objetivo de validar que los usuarios que se están conectando vía remota al entorno de datos están definidos en el alcance y tengan implementados los controles de seguridad requeridos.
A continuación, GM Sectec repasa el checklist de recomendaciones que no puede faltar en los equipos de TI y de seguridad en este entorno:
En la infraestructura tecnológica para el teletrabajo:
- Requerir que todo el personal use sólo dispositivos de hardware aprobados por la compañía (móviles, teléfonos, computadoras portátiles, computadoras de escritorio, etc). Esto es especialmente relevante para el trabajo remoto y la empresa debe validar el control de los sistemas y la tecnología que respalden el procesamiento de los datos de las tarjetas de pago.
- No es recomendable utilizar computadoras portátiles o de escritorio personales de los empleados, por la falta de gestión y control del equipo.
- El lugar de trabajo remoto debe operar como una extensión segura de la red del call center. Para ello es necesario asegurar que su entorno (la red de acceso y el WiFi) sea seguro de acuerdo con los requisitos de PCI DSS, lo que incluye contar con firewalls personales instalados y operativos, contar con un software corporativo de anti-virus o anti-malware actualizado, tener instalados los últimos parches de seguridad aprobados, desinstalar o desactivar las aplicaciones y el software que no son necesarios para reducir la superficie de ataque de los equipos y manejar configuraciones que eviten a los usuarios deshabilitar los controles de seguridad.
- Las tarjetas de crédito o débito deberán recibirse a través de un IVR seguro y las sesiones de trabajo de los operadores deben iniciarse bajo autenticación de múltiples factores para la conexión remota.
- Implementar criptografía sólida para asegurar la transmisión de datos, como puede ser a través de conexiones VPN.
- Las estaciones de trabajo deben conectarse a través de un servidor Jump, y un ecosistema de aplicaciones regido por un host virtual. Las soluciones de escritorios virtuales, VDI como las Citrix son un paradigma habitual.
- Programe la desconexión automática de las sesiones de acceso remoto después de un período de inactividad, para evitar que las conexiones inactivas y abiertas sean flancos de ciberataques.
- Restrinja el acceso físico a los medios que contienen datos de la tarjeta de pago de los clientes, como grabaciones de pantalla. En caso de que los datos de la cuenta se escriban o impriman en papel, asegúrese de que estén almacenados de forma segura, para posteriormente destruirla de manera segura cuando ya no se necesite.
- Incremente el monitoreo del comportamiento del equipo remoto y defina criterios de identificación de acciones sospechosas.
En cuanto al comportamiento del componente humano
- Revise las políticas y los procedimientos de seguridad con todos los agentes internos y remotos para garantizar que los procesos y procedimientos de seguridad no se olviden ni se eludan. Prohíba la copia, el traslado y el almacenamiento no autorizados de los datos de las cuentas de los clientes en discos duros locales y medios electrónicos extraíbles.
- El personal remoto debe estar al tanto de su entorno físico, teniendo cuidado de evitar que personas no autorizadas puedan ver información confidencial.
- El personal involucrado debe ser plenamente consciente de los riesgos relacionados con el trabajo a distancia o en el hogar. Realice capacitaciones o campañas de concientización de seguridad continuas sobre las mejores prácticas de seguridad para uso correcto del correo electrónico y Web, así cómo elegir contraseñas seguras y cambiarlas con frecuencia.
- Si alguna parte del entorno telefónico se subcontrata a un proveedor de servicios externo, tanto el call center como el proveedor de servicios deben comprender claramente sus responsabilidades para proteger sus respectivos sistemas, procesos y personal, y documentar en consecuencia.
- En el caso de solicitar asistencia del equipo de TI, se debe verificar la identidad del usuario para descartar que sean llamadas falsas. Del mismo modo, los usuarios remotos deben saber cómo confirmar que una persona que llama por teléfono desde la TI corporativa es legítima antes de proporcionar cualquier información.
- Capacite a los teleoperadores sobre el impacto de campañas de ataque con malware, cadenas de correo electrónico Covid-19 y similares escenarios de riesgo para que el equipo remoto no caiga en estrategias de ingeniería social para vulnerar la protección de los datos de los clientes.
Hoy más que nunca, es de vital importancia que las entidades continúen manteniendo y monitoreando la efectividad de sus controles de seguridad durante este período. Esto incluye garantizar que todos los controles de seguridad necesarios estén en su lugar y funcionen de manera efectiva en todo momento.