呼叫中心资讯安全管理

客户世界 | 2015年7月12日 | 2009年 | 评论已关闭 | 1352

客户世界|江以仁|2009-06-17

近来不断的有消息指出在呼叫中心行业中，在客户的信息安全保护上出了很多事情，不断有客户情报泄漏和名单泄漏的事故发生，这导致客户对企业的信用、信任度下降，可能导致高额的侵权赔偿要求的案件层出不穷。这不但是对企业所代表的服务形象与能力的损伤，更进一步的会对服务性的产业损伤，当然也会逐渐扩大影响层面，尤其对服务的BPO产业或是以客户服务为主要核心的产业正大力推广中的业务至为不利。我想“为顾客利益而保护顾客信息”是BPO产业生存或是客户服务产业的根本生存之道。除了泄露信息的严重后果之外，对客户信息的使用已经到了滥用数据的境界，客户逐渐会有反感与不信任的态度，一但有着被骚扰的感觉那是另一种对此行业的戕害。

我想在“服务型经济”或是“体验型经济”时代的发展之下，企业的核心业务与客户数据信息的机密性、完整性与可用性，是企业成功与求生存的关键因素，与对本身业务发展的保障基础，尤其是现在已经是信息普及化的时代，企业通过且利用IT和网络科技的布建，在讯息情报上的共享有着飞跃的发展，信息传递的速度与渗透程度又快又密，与此同时内部泄漏的威胁机会也相应的增加了。而开放式的网络既成为企业对外沟通的渠道、也是与客户交换业务数据及信息的主要管道。利用网络沟通固然方便，但却使机密的商业数据与客户数据很容易透过开放的网络泄露出去。

所以，对科技管道的泄密方式管理是企业体应有的防治目标，其实细想起来，这些安全管理信息的是人，而盗取信息或泄露信息的同样也是人。不管用怎样的系统来保护信息安全，这最关键的还是人。当然有人说在员工录用前的筛选手段来降低风险，或许是选取高学历的员工就可以避免这个风险；抑或是说选用职业道德意识较高的正式职员也成为一种手段。但真的吗？

公司里大部分员工都认为办公室的计算机属于他们所有？

常常在一个呼叫中心的作业环境我们可以观察到几个现象：有些高阶的管理人士不太注重这些细节的，总觉得已经有了安全门禁管制以后就觉得在中心里就是安全的，甚至有些重要的报表、重要的评比报告，甚至一些重要的客户活动纪录与施行细则是毫无遮蔽的躺在办公桌上，有些主管更怕忘记了有些密码也把它记录在明显的地方，办公室房门是永远不关上的。那我就不明白了，那些专用的办公室是为何设置的呢？不就是为了隔开或是隐避这些无谓的困搅吗？

呼叫中心的运营应该具备高度自动化与流程化的科技支撑，甚至于接近无纸化的作业流程，按理说这些纸质的文件应该是会少，但我们还是发现仍然有大量的文件打印与影印的现象经常的发生，是为了作业需求倒是好，如仅是为了方便就是不可以了。从人本管理出发，我们一直追求着新的科技的作业环境来让员工作业更便利。与传统的作业模式区隔，我们花了钱买了设备、软件与应用平台，但员工仍依自己的想法来进行作业，这些纸质作业依据却成为安全的另一大隐忧，甚至会随意的弃置或根本没有销毁机制与管控机制。我们常说个笑话：有公司的数据最多的应该是搞清洁的员工，要是这些员工是对手的人那就糟了。

我认为以目前的工作环境来说，公司里大部分员工都认为办公室的计算机属于他们所有，可以想干什么就干什么。对于接触的客户信息也是觉得随处可及且理所当然，对关键客户数据或是敏感财务信息，员工并无意识到那是公司的核心知识产权，似乎影响范围与连带责任与这些人员无关，那主观的恶意就更不必说了！

在运营前我们应该准备做什么可以降低安全风险呢？

在信息安全的议题上我们可以分两个方面来说：第一是外在的环境因素，也就是在法规政策上的补强，我想对于企业的核心业务与客户数据讯息，相关的保护法律规范必须全面的出台，以杜绝犯罪意图，这是基于对产业（企业）的保护也是对消费者的保护，也是迈向现代文明国家的象征，所以此法不单指量身裁衣般的适用于客服产业的保护所有消费者外，更是在于电子数据使用的普及化与应用化深入基层，并与世界接轨。几乎未来人类生活的法律保障也必须涵盖着这部份法律而以规范之。当然我们知道这是件复杂的工程也非短时间可能完成的了，但是必须一步步的往前迈进。

相关法令的规范也是对于从业人员职业道德的相关规范，这就需要在员工入职的教育中加上此课程，用以明白的告知从业人员的职业道德所涵盖的范围，这就是第二方面的称之为内部因素，这个因素是可控的。这个因素对于客服管理人员或是领导可能已经意识到，但做的远远不够。我认为，应该是将此与全公司的安全机制构建一种策略，从信息安全理论出发，在文化理念的建立体系下全面构建完善的信息安全策略，从入职前的训练、到文化标语设置、到流程的安全，这已经成为了各个企业面临的迫在眉睫的问题。虽然外在因素的整体的动向不无亡羊补牢的缺憾，但借此机会来构建立完善的安全体制（内部因素）还是有必要的。

我们知道，呼叫中心必需要靠标准化流程来规范，同样的也需要高科技技术的支撑，需要标准行为规范来约束。对于整体化的安全机制来说，客服或 BPO产业已然具备良好的安全机制实施环境背景，在导入标准化的同时也建构安全机制是有迫切的需求。所以在规划设计或运营之初就必须对环境作业规范、信息科技规范、流程作业规范与人员行为事先制定规范等等。

呼叫中心需要高职业道德意识的人？防君子还是小人？

据资料统计，有83%的信息泄漏比例是来自内部人员所为，其中大部分都是属于正式职员，甚至是由高层的经营人员、管理人员或是资料维护人员。客服人员泄漏的信息反而是有限度的。管理信息的是人，盗取信息的同样也是人，所以不管用怎样的系统来保护信息安全，在人的行为上就多了一些不可控因素。当然对所有从业人员基本上我们还是往正向思考方式来走，对人尊重多一些，也就是我之前一直在强调的呼叫中心各环节需要贯彻人本管理的思想。所以当然就有人就说，选用职业道德意识较高的正式职员是一种预防手段。
但我们如何能得知什么样的人是职业道德意识较高？是否这些员工也有“变节”的一天呢？从人本管理的出发点来讲，我们不能像防贼一样的对待员工，但人本管理也不是大开方便之门。在法治的社会里，工作也是像合约一般的签订劳动合同。在先前也许可以透过人才录用程序可以筛选，但却不能保证，那我们就要有强而有利的依据——“竞业条款或保密条款”的合约方式，清楚明白告知从业人员的所承担的法律责任与法律义务，我可以称为“工作法律”之规范要件。

另外，每个客服中心都有一本圣经（Operation Manual），对于呼叫中心作业模式的开展的相关工作都有着严谨且明确的规范，比如环境作业规范、信息科技规范、流程作业规范与人员行为规范等，均是对安全的系统化的管理策略。

谁都可进出呼叫中心？相关人员那么多怎么管啊？

环境作业规范是对于呼叫中心的所处的环境做规范与订定规则，不是相关于客服中心得人员是不必要进入呼叫中心场地的，当然安全的第一关就是门禁管制，可是我们发现几乎所有企业的人均可自由的进出呼叫中心的作业场地，当然还有我最不喜欢的参观访问团来“打搅”呼叫中心，自然就很不好管制。其实在环境空间的许可状况下，呼叫中心所涵盖的区域应进行分级管控或是以隔墙、隔断或是以空间将各种区块隔离出来，会议室或是公共的空间机密性较小可放在外围，中心区域可以在内围作为一级管制区域。我的观念就是不必要的人就管制，因为所有非核心业务会议或内部会议或是沟通可在外围举行不需要进入中心作业环境区域。机房则是位为核心管制区域，应该严格限制出入人的管理，自然而然的就形成安圈区域体系。

呼叫中心的出入管理的原则就是：“不准入与个人作业无关的物品”与“呼叫中心由内而外的携出管理”，有些呼叫中心彻底实施把个人物品保管在客服中心外部的橱柜的规定，甚至有的呼叫中心在内部无论职位高低，像百货商店防止店员偷东西一样，要求职员把笔记本、香烟、饮料等用品装在透明的塑料包上。从人性化管理角度出发，我认为无论实施何种方法，均要住尊重的人的权利，避免侵犯人权的事发生。
我之所以这样说就是不希望将监视器布建的满坑满谷的，除了进出口的监视以外不能将此应用于呼叫中心内部的监控，毕竟是上班的场所无此必要。

科技技术日新月异，防不胜防干脆别用太多的功能。

如前所说，科技的发展网络的发达是依据人的需求而产生，既然是需求就让科技来满足人所想要的方式吧！从过去完全倚赖电话到传真到邮件到在线服务，网路功能是越来越开放，甚至到视频的服务更是将科技发挥到极致了！电脑电话整合（CTI）与工作流（WFM）周边的系统的结合使得几乎在客服作业平台（Agent Desktop System）几乎可无缝的将客户所需的信息立即传递，无时间差、无错误的达成客户期望的服务，高效的服务是自动化流程作业使然。

当然在科技上我们得思考：“如何的让正确的人，在正确的时间，授权做正确的事”。当然就需要一些规范来管制，资讯科技规范要达成的目标就是：
1、防止机密资料泄漏，保障资讯安全。
2、详细记录操作；对重要文档做了违规操作后，系统会报警并阻止。
3、对档案系统的设定读写许可权，防止移动存储和网路共享方式传播出去。
4、限制使各种外部设备如USB、光盘机、软碟机、印表机、蓝芽、红外线等防止非法复制和传送资料。
5、管理员工通过邮件、FTP、P2P软体、即时通讯工具等传送文档。
6、未授权的非法外来电脑无法与企业内部网路共享或通讯。
7、对指定移动储存设备上存取的文档自动进行透明加解密，其它未经授权的用户端或外部的电脑无法读取该移动储存设备中的加密文档。
8、监控管理打印档案，并提供打印副本内容纪录,便于事后稽查。

规范的要求不是限制式管理，资讯科技安全规范的最终目的，还是希望在员工电脑使用行为上能提高生产力。因此，记录、分析并统计员工使用各类应用软体的情况，记录员工浏览的网站并进行浏览统计，纪录各种即时通讯工具的聊天内容以及传递出去的文档，当然还需要预警机制来做事前管控，也可根据工作需要限制使用。

详细记录员工在电脑上的各项操作，便于追踪和分析员工的使用行为，也可作为合理分配系统资源的依据，尤其网络资源的限制更需要对网络通讯进行统计，控制网络流量，合理分配网络带宽资源。当然也要针对着现代员工的工作型态做了解，控制网路通讯端口和地址，限制员工玩网路游戏、聊天、BT下载及外发资料。再则监控员工文件档案打印的情况，光盘烧录等资源使用情况，合理规划企业资源的使用与使用目的。

后勤单位的工作太忙支撑的人员太多，把资料拷回家做吧！

常见到资料被吸出的单位最多就是后勤单位或是支撑的单位，尤其是人员把资料拷贝给相关的业务单位，甚至是支持厂商。我想大多数客户的支持厂商都有着一大部分的商业机密，更不要说是电销作业的资料了。

在呼叫中心的作业流程规范下不但是规范着服务流程、支撑体系的流程、质检的流程与培训的流程……等等，对于行政作业或是项目进行与工作的规范与授权也有相关的规定。

作业流程的规范事实上就是对资讯本身的携出与携入进行规范与授权，限制着资讯在可受管制下进行作业。笔记本电脑的使用人依赖电脑作业的程度太高，我们几乎不可能限制员工不使用不携出这电脑工具，那我们不是放弃了工作的延伸——在家工作？当然不会！科技可以帮助我们达成：“如何的让正确的人，在正确的时间，授权做正确的事”。无论本机或网域控制下，无论是在公司网域下或是在家连线，都可限制员工本人或该电脑（笔记本）作业而无法移至其它的作业平台或非本人开启档案，当然离线也是在记录控管底下，一回公司网域底下就上传所有记录资料，做过的事当然清清楚楚一目了然。拜科技与需求所赐，这种科技现在就有。
资料的随意放置或弃置另人乍舌！

曾经看过报导在考察某大型电子销售代理店的业务处理方式中，发现经理和主管们把含有专业数据的个别呼叫结果的资料随意放在桌子上后下班。呼叫中心的从业人员至少应该明白资讯处理规则及其遵守状况的检查均已然形成为操作的标准，这些均可称之为“人员行为规范”。这种资料应保管在上锁的地方，这是我们这个行业的常识，不能说不懂只能说没有在平时开始养成良好的习惯。虽然说是琐碎的事情，但要在对呼叫中心的从业人员来说却是个长时间的奋战，有位前辈说的好：“成为习惯之前，即使懂得道理也是很难实践的，重要的是超越那个界限的意识改革与实践”。

企业应有意识的严格遵守对规范化运作的客服中心，“人员行为规范”也是品质认证的一环。因为现实中常常不遵守“理所当然的事情”，标准品质认证是使人们注意这些“理所当然的事情”，并逐渐使其成为习惯，也就取得了相当好的效果。

资讯安全需管理而非全面的限制

无论是企业的核心业务或是服务经验与客户信息我们都可视为“商业机密”或是企业的“知识财产”数据，一经泄漏无论是有意还是无意，最终是会对企业构成一定的损失。因此，企业需要经由管理方式来降低有可能泄密的管道，也需运用科技来辅助对员工行为规范以及使用计算机工具纪录、统计分析与预警。当然我们也必须有稽核体系与工具来平衡科技管理人员的设计与限制，合理的制定规则与实施的总结是稽核的人员必须详加审核以避免科技人员过度的滥权与浮滥的内控机制发生，当然稽核的体制必须有科技支撑，幸运的是这科技已经存在，不是空中楼阁。

环境作业规范、信息科技规范、流程作业规范与人员行为规范是资讯安全规划体系的四大支柱。无论是客服产业或是外包客服产业来说，资讯安全就是生存的命脉不可不重视。

“你的竞争优势从何而来?　在于创造出优于任何一家竞争者所能及的顾客经验。”这产业就是逐渐的累积“客户经验”来形成企业的“知识财”，靠这独特的经验产生区隔式的竞争优势。这个“知识财”在客服产业就是在客户的资料与商业数据中通过科技的服务与客户的互动所累积的，如果因为是各种的原因而被泄漏因而造成的重大损失是得不偿失的。

当然我们已不可能回到从前的低科技时代的操作环境，而新的竞争优势更依赖科技来实现。立足人本管理的角度，我认为资讯安全需管理而非全面的限制，只有靠文化建立、管理机制、规范制度与科技工具的手段来共同防止这种危害才是上策。

本文刊登于《客户世界》2009年05月刊，作者为远传技术副总裁，首席咨询顾问。