Çağrı Mrkz. Kişisel Bilgi Güvenliği

     Bilindiği üzere Kuruluşların günümüzde en büyük zorluklarından ve zorunluluklarından birisi iş için kullandıkları bilgi ve verilerin gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanmasıdır. Ancak bu bilgilerin güvenliğide bir o kadar önemlidir .Kuruluşlar, günden güne rekabetin her alanda arttığı pazarda rakiplerinden bir adım daha önde olmak için iş yapış şekillerini belirleyen süreçlerini bilgi güvenliği bakış açısında oluşturmalıdır. Yasal ve düzenleyici gereksinimlere, en iyi uygulamalar göz önüne alınarak uyumluluğu sağlamayı, yanlızca ülke içinde değil, dünyada en büyükler arasında yer alabilmenin temel şartı olarak görmelidirler. Bu çalışmada Çağrı Merkezleri ele alınmış, Bilgi Güvenliği Yönetim Sisteminin Fiziksel, İdari ve Teknik olmak üzere üç ana başlıkta toplayabilir ve yine bu üç ana başlıkda işleyebiiriz. 

     Ancak bir çoğunuzun zannettiği gibi çağrı merkezleri sizlerin zannetiği gibi bir telefon santrali bir bilgisayardan olusan bir sistem değil daha kompilike daha kapsamlı ve de daha profosyenel bir sistem olrak karşımıza cıkmaktadır.Çağrı Merkezi kısaca müşterinin telefon, e-mail, web, faks, IVR (Sesli Yanıt Sistemi) ve benzeri yöntemlerle yaptığı çağrısının bir merkez tarafından ele alınmasıdır. 
            Çağrı merkezleri için Incoming Call Management Institute (ICMI) tarafından yapılan tanım ise şöyledir; "çağrı merkezi müşteriye ve şirkete değer yaratmak amacı ile şirketin kaynaklarının ve farklı iletişim kanallarının etkili bir şekilde entegre edildiği, insanlardan, süreçlerden, teknolojilerden ve stratejilerden oluşan koordineli bir sistemdir." 
            Pekala tüm bukadar öenmli sayılan ve bugün bütün büyük şirketler tarafından kullanılan çağrı merkezleri gerçekten güvenli mi veya yeterince güvenlik önlemi alınabiliyor mu hepimiz için önemli olan bu bilgiler günümüzde sosyal mühendisler tarafından oldukça sorgulanan ve açıkları her fırsatta değerlendirilen önemli bir nokta olarak karşımıza cıkmaktadır.

GÜVENLİK BAKIŞ AÇISI

            Çağrı Merkezleri, hizmet verdikleri iş alanlarına göre farklı kanuni gerekliliklere ve güvenlik standartlarına ihitiyaç duyarlar. Güvenlik politikalarını, standartlarını, prosedürlerini, talimatlarını vb. diğer dökümanlarını iş gereksinimlerinin getirdiği güvenlik ihtiyaçlarına göre düzenlemelidirler. Örnek olarak bankacılık sektöründe iş yapan çağrı merkezleri ISO 27002, PCI (Payment Card Industry standard), COBIT (Control Objectives for Information and related Technology), ITIL (Information Technology Infrastructure Library) vb. çerçevelerine göre uygun işlem yapmalıdır.(Wignal,2006:3s.)
            Güvenlik ihtiyaçları, iş yapılan sektörlere ve iş ihtiyaçlarına göre çerçevelendirilmelidir. Burada tek bir ve/veya çeşitli çerçevelerin sentezinden oluşan yapılar model olarak seçilebilir. Örnek olarak ISO 27002, ITIL ve PCI’dan oluşan bir karma yapı kullanılabileceği gibi bunlardan tek tek de faydalanılabilir.(Broderick,2006:27s) Önemli olan nokta, hizmet verilen sektörün güvenlik ihtiyaçlarına gereken cevabı vermek, şirket içi ve/veya dışı sahtekarlıkları engellemek, kısacası sektörün getirdiği zayıflıkları en aza indirgemektir. 

Fiziksel Olarak Güvenlik

            Fiziksel güvenliğin sağlanamadığı bir ortamda bilgi güvenliği yönetim sisteminin uygulanması mümkün değildir.  Bu nedenle çevresel güvenliği sağlaması anlamında bentler, bariyerler, çitler, duvarlar, tel örgüler vb. engeller, binanın doğru yerlerine konumlandırılmalıdır. Hiç bir engel geçilmez değildir. Engeller gözetim altında tutulmalıdır. (ISO/IEC 27001:2005 ISMS,2005:17s.) (ISO/IEC 17799:2005 ISMS,2005:29s.)
            Çağrı Merkezleri, hizmet verdikleri sektörün ve/veya sektörlerin ihtiyaçlarına göre birden fazla müşteriye ve bununla birlikte birden fazla operasyon salonuna sahip olabilir. Bu anlamda operasyon salonlarının güvenliğini sağlamak için giriş/çıkış’lar kontrol altına alınmalı yetkilendirmeler iş ihtiyaçları doğrultusunda verilmelidir.
            Ziyaretçilerin uyması gereken kurallar, çalışanların fiziksel ortamları kullanmalarına yönelik kurallar,  yetkilendirmeler vb. gibi konular politika, prosedür, talimat düzeyinde tariflenmelidir.
            Özellikle vardiya saatleri geceyarısı olan ve arabasıyla gelmek isteyen personelin arabalarını çektikleri otoparkın güvenliğinin sağlanması da önemli bir konudur. Otoparkın ana bina içinde konumlandırılması, bu mümkün değilse olabildiğince yakın bir yerde konumlandırılması, ışıklandırmanın yeterli düzeyde olması, çevresel korumanın alınmış olması, kameralarla gözetlemenin yapıldığı ve güvenlik görevlilerin etki sahalarının içinde olacağı önlemlerin alınması, personel güvenliği için gereklidir.

İdari Olarak Güvenlik

            Çağrı merkezlerinde çalışan personelin genelde yaş ortalaması düşük ve ilk iş deneyimleri olduğu için çalışan sirkülasyonu fazladır. Sektörel yeniliklere ayak uydurmak adına sürekli değişen organizasyon yapılarında işten çıkışlar, işe girişler, yatay ve dikey rotasyonlar çok fazla olmaktadır. Bu durumun getirdiği en büyük zayıflıklardan biri ise yetkilerin ve erişim haklarının belirli periyotlarda gözden geçirilmemesidir. Yatay rotasyonda, çalışanın önceki görevi ile sonraki görevi arasındaki farkların gözden geçirilmesi, işe giren personelin yetkilerinin hangi kriterlere göre belirleneceği ve de işten ayrılan personelin yetkilerinin(özellikle uzaktan bağlantı) pasif hale getirilmesi önem arz etmektedir. İşlemlerde otomatizasyonun sağlanması, hataların minimal düzeye indirgenmesi adına Kimlik Yönetimi Uygulamaları benimsenmelidir.
            Bununla birlikte işe giren personele, şirketin Bilgi Güvenliği Yönetim Sistemi Politikasının anlatılması ve farkındalığının üst seviyeye çekilmesi önemli bir gerekliliktir. (ISO/IEC 27001:2005 ISMS,2005:9s.) (ISO/IEC 17799:2005 ISMS,2005:26s.) Organizasyonun Bilgi Güvenliğine verdiği önem, eğitim yoluyla belirli periyotlarda tüm personele verilmelidir. Bilgi Güvenliği, örgüt kültürü haline getirilmeli, organizasyonel hafızaya kazandırılmalıdır.
            Çağrı merkezleri, müşterilerle birebir temasın sağlandığı  bir platformdur. Müşteri memnuniyeti adına hemen hemen her türlü işlemin yapıldığı bu ortamlar, güvenlik anlamında büyük riskler taşımaktadır. Çağrı merkezlerinde hizmet veren Müşteri Temsilcileri, görev ve sorumlulukları gereği her türlü müşteri bilgisine ulaşabilir durumdadırlar. Bu bilgiler Çağrı Merkezleri’nin hizmet sahasına göre değişiklik gösterir ve genel olarak bakıldığında; Müşteri Ad-Soyad, T.C. Kimlik Numarası, Adres, Telefon, Anne Kızlık Soyadı, Banka Hesap Bilgileri, Kredi Kartı Numarası, Sağlık Bilgileri, Adli Bilgiler vb. bilgiler olarak düşünülebilir.
            Müşteri temsilcilerinin, müşterileri bilgilerinin olduğu ekranlara erişim yetkilerinin olmaları, bu bilgilerin tamamını görmeleri anlamına gelmemelidir. Bilgiler kritiklik derecelerine göre gölgelendirilmelidir. Örnek olarak: Müşteri Temsilcileri, kendilerini arayan müşterilerin gerçekten doğu kişi mi olduğununun teyidini, bu verilerin bir kısmı ile sağlamaktadırlar. Gerek bu işlem, gerekse diğer  işlemlerde, ilgili veri setinin tamamı yerine bir kısmının(Anne kızlık soyadının, doğum tarihinin vb. bilgilerin sadece belirli karakterlerinin) gözükmesi hem kişisel bilgilerin koruma altına alınmasını hem de kişiye gereğinden fazla yetkinin verilmesini önleyecektir. Bu anlamda Müşteri Temsilcilerinin seçiminde ve işe alımında referans kontrolleri ve temel güvenlik soruşturmalarının yapılması ve kişinin yetkinliğinin pozisyona göre doğru tanımlanması büyük önem taşımaktadır. Bununla birlikte verilecek hizmetin türüne ve niteliğine göre bilgi detayları sınırlandırılmalıdır.

Teknik Olarak Güvenlik

            Müşteri Temsilcilerinin kullandıkları donanımlar ve yazılımlar üzerinde risk anlizleri yapılarak, risk ve tehditleri indirgemeye yönelik kontroller sağlanmalıdır. Çalışanların PC’lerinde ihtiyaca göre yetkilendirmeler yapılmalıdır. Gizlilik içeriği yüksek olan bilgilerin şirket dışına çıkartılmaması için bilgisayar donanımlarında kısıtlamalara gidilmeli, verilen hizmetin kritikliğine göre çağrı merkezi salonlarına ekran görüntülerinin, ses kayıtlarının, ortam düzenlerinin dışarıya sızdırılmaması için cep telefonları, kamera, fotoğraf makinası vb. medya cihazlarının sokulması engellenmelidir. 
            Risklerin azaltılmasına yönelik alınacak BT kontrollerinden bazıları ise sanal makinaların(virtual machines) ve ThinClient(Dummy Terminal) ların kullanılmasıdır. Ayrıca internet ve diğer sistemlere erişim haklarının pozisyonlara göre düzenlenmesini sağlayacak, dosya indirme ve protokol bazlı kısıtlar getirebilecek uygulamaların kullanılması da fayda sağlayacaktır.(Solms,2006:411s) 
            Çağrı merkezlerinde kullanılan donanım ve yazılımlarda bahsettiğimiz bazı kontrollerin alınması, çalışanlar tarafından kasıtlı olarak yapılacak girişimleri %100 engellemeyecektir. Sistemlere yetkisiz olarak yapılacak erişimlerin, çalışanlara verilen sistemler üzerindeki yetkilerin kötüye kullanımına yönelik girişimlerin ve tüm bu girişimler sonucu sağlanacak maddi menfaatlerin tespit edilmesine yönelik bir iç kontrol mekanizmasının kurulması fayda sağlayacaktır.
            Çağrı Merkezlerinin en kritik sistemleri olarak düşünülebilecek Santral ve IVR sistemlerinin güvenliği, hem çağrı kesintisinin olmaması açısından hem de şirket üretimi ve müşteri güvenliği açısından çok fazla önem arz etmektedir. Günümüzde çağrı merkezlerinin kendilerini coğrafi olarak yedeklemek ve çağrıları internet üzerinden aktarmak için kullandıkları VoIP(Voice over IP) teknolojisi, bazı açıkları da beraberinde getirmiştir. Bu ve benzeri açıkların engellenmesi, santral sistemlerinin güvenliğinin sağlanması için doğru konfigürasyonların yapılması ve sistemlerin yamalarının yapılması, alınması gereken kontroller olarak göze çarpmaktadır.
            Kurum içinde güvenlik zayıfıklarının, ihmallerinin ve ihlallerinin bildirileceği, kayıt altına alınacağı vaka yönetim uygulamalarının kullanılması; genellikle vardiya usulü çalışma prensibine sahip olan çağrı merkezleri çalışanlarının günün her saatinde ulaşabilecekleri bu yapıların kurgulanması, güvenlik olaylarının yönetilebilmesinde ve de bu olayların bir daha olmaması için kök nedenin belirlenmesi, akabinde ortadan kaldırılması konusunda etkin bir metod olacaktır. (ISO/IEC 27001:2005 ISMS,2005:26s.) (ISO/IEC 17799:2005 ISMS,2005:90s.)
            Çağrı merkezleri, genellikle 7/24 esasına göre çalışırlar. Bu koşulları yerine getirmek, işlerin durmaması ve aksamaması anlamına gelmektedir. Bunun için operasyonların yedeklenmesi(coğrafi olarak, operasyonların çeşitli lokasyonlara dağıtılması şeklinde vb), acil ve felaket durumları için eylem planlarının oluşturulması, yazılı hale getirilmesi ve düzenli aralıklarla test edilmesi gerekmektedir. (ISO/IEC 27001:2005 ISMS,2005:27s.) (ISO/IEC 17799:2005 ISMS,2005:95s.)

SONUÇ

            Farklı sektörlerde faaliyet gösteren Çağrı Merkezleri, çok kıritik bilgileri ellerinde bulundurmaktadırlar. Öncelikle müşteriye değen her noktada büyük önem taşıyan Müşteri Temsilcilerinin güvenliği sağlanmalı, eldeki müşteri bilgilerine ihtiyaca göre ve gerektiği kadar erişim sağlatacak güvenlik metodolojileri geliştirmelidir. Müşteriler tarafından Çağrı Merkezi her arandığında ulaşılabilmesi için erişilebilirliğin(availability), müşteri ile ilgili işlemlerin doğru bir şekilde yapılması ve arayan kişiyle ilgili bilgilerin doğru olması için bütünlüğün(integrity) ve de müşterilerle ilgili kişisel bilgilerin yetkisiz kişiler tarafından ulaşılamaması için gizliliğin(confidentiality) sağlanması gerekmektedir.

Saygılar.       

DÃ¼zenleyen megabros - 07-04-2010 Saat 14:52

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Çağrı Mrkz. Kişisel Bilgi Güvenliği GÃ¶nderim ZamanÄ±: 07-04-2010 Saat 14:52
	Bilindiği üzere Kuruluşların günümüzde en büyük zorluklarından ve zorunluluklarından birisi iş için kullandıkları bilgi ve verilerin gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanmasıdır. Ancak bu bilgilerin güvenliğide bir o kadar önemlidir .Kuruluşlar, günden güne rekabetin her alanda arttığı pazarda rakiplerinden bir adım daha önde olmak için iş yapış şekillerini belirleyen süreçlerini bilgi güvenliği bakış açısında oluşturmalıdır. Yasal ve düzenleyici gereksinimlere, en iyi uygulamalar göz önüne alınarak uyumluluğu sağlamayı, yanlızca ülke içinde değil, dünyada en büyükler arasında yer alabilmenin temel şartı olarak görmelidirler. Bu çalışmada Çağrı Merkezleri ele alınmış, Bilgi Güvenliği Yönetim Sisteminin Fiziksel, İdari ve Teknik olmak üzere üç ana başlıkta toplayabilir ve yine bu üç ana başlıkda işleyebiiriz. Ancak bir çoğunuzun zannettiği gibi çağrı merkezleri sizlerin zannetiği gibi bir telefon santrali bir bilgisayardan olusan bir sistem değil daha kompilike daha kapsamlı ve de daha profosyenel bir sistem olrak karşımıza cıkmaktadır.Çağrı Merkezi kısaca müşterinin telefon, e-mail, web, faks, IVR (Sesli Yanıt Sistemi) ve benzeri yöntemlerle yaptığı çağrısının bir merkez tarafından ele alınmasıdır. Çağrı merkezleri için Incoming Call Management Institute (ICMI) tarafından yapılan tanım ise şöyledir; "çağrı merkezi müşteriye ve şirkete değer yaratmak amacı ile şirketin kaynaklarının ve farklı iletişim kanallarının etkili bir şekilde entegre edildiği, insanlardan, süreçlerden, teknolojilerden ve stratejilerden oluşan koordineli bir sistemdir." Pekala tüm bukadar öenmli sayılan ve bugün bütün büyük şirketler tarafından kullanılan çağrı merkezleri gerçekten güvenli mi veya yeterince güvenlik önlemi alınabiliyor mu hepimiz için önemli olan bu bilgiler günümüzde sosyal mühendisler tarafından oldukça sorgulanan ve açıkları her fırsatta değerlendirilen önemli bir nokta olarak karşımıza cıkmaktadır. GÜVENLİK BAKIŞ AÇISI Çağrı Merkezleri, hizmet verdikleri iş alanlarına göre farklı kanuni gerekliliklere ve güvenlik standartlarına ihitiyaç duyarlar. Güvenlik politikalarını, standartlarını, prosedürlerini, talimatlarını vb. diğer dökümanlarını iş gereksinimlerinin getirdiği güvenlik ihtiyaçlarına göre düzenlemelidirler. Örnek olarak bankacılık sektöründe iş yapan çağrı merkezleri ISO 27002, PCI (Payment Card Industry standard), COBIT (Control Objectives for Information and related Technology), ITIL (Information Technology Infrastructure Library) vb. çerçevelerine göre uygun işlem yapmalıdır.(Wignal,2006:3s.) Güvenlik ihtiyaçları, iş yapılan sektörlere ve iş ihtiyaçlarına göre çerçevelendirilmelidir. Burada tek bir ve/veya çeşitli çerçevelerin sentezinden oluşan yapılar model olarak seçilebilir. Örnek olarak ISO 27002, ITIL ve PCI’dan oluşan bir karma yapı kullanılabileceği gibi bunlardan tek tek de faydalanılabilir.(Broderick,2006:27s) Önemli olan nokta, hizmet verilen sektörün güvenlik ihtiyaçlarına gereken cevabı vermek, şirket içi ve/veya dışı sahtekarlıkları engellemek, kısacası sektörün getirdiği zayıflıkları en aza indirgemektir. Fiziksel Olarak Güvenlik Fiziksel güvenliğin sağlanamadığı bir ortamda bilgi güvenliği yönetim sisteminin uygulanması mümkün değildir. Bu nedenle çevresel güvenliği sağlaması anlamında bentler, bariyerler, çitler, duvarlar, tel örgüler vb. engeller, binanın doğru yerlerine konumlandırılmalıdır. Hiç bir engel geçilmez değildir. Engeller gözetim altında tutulmalıdır. (ISO/IEC 27001:2005 ISMS,2005:17s.) (ISO/IEC 17799:2005 ISMS,2005:29s.) Çağrı Merkezleri, hizmet verdikleri sektörün ve/veya sektörlerin ihtiyaçlarına göre birden fazla müşteriye ve bununla birlikte birden fazla operasyon salonuna sahip olabilir. Bu anlamda operasyon salonlarının güvenliğini sağlamak için giriş/çıkış’lar kontrol altına alınmalı yetkilendirmeler iş ihtiyaçları doğrultusunda verilmelidir. Ziyaretçilerin uyması gereken kurallar, çalışanların fiziksel ortamları kullanmalarına yönelik kurallar, yetkilendirmeler vb. gibi konular politika, prosedür, talimat düzeyinde tariflenmelidir. Özellikle vardiya saatleri geceyarısı olan ve arabasıyla gelmek isteyen personelin arabalarını çektikleri otoparkın güvenliğinin sağlanması da önemli bir konudur. Otoparkın ana bina içinde konumlandırılması, bu mümkün değilse olabildiğince yakın bir yerde konumlandırılması, ışıklandırmanın yeterli düzeyde olması, çevresel korumanın alınmış olması, kameralarla gözetlemenin yapıldığı ve güvenlik görevlilerin etki sahalarının içinde olacağı önlemlerin alınması, personel güvenliği için gereklidir. İdari Olarak Güvenlik Çağrı merkezlerinde çalışan personelin genelde yaş ortalaması düşük ve ilk iş deneyimleri olduğu için çalışan sirkülasyonu fazladır. Sektörel yeniliklere ayak uydurmak adına sürekli değişen organizasyon yapılarında işten çıkışlar, işe girişler, yatay ve dikey rotasyonlar çok fazla olmaktadır. Bu durumun getirdiği en büyük zayıflıklardan biri ise yetkilerin ve erişim haklarının belirli periyotlarda gözden geçirilmemesidir. Yatay rotasyonda, çalışanın önceki görevi ile sonraki görevi arasındaki farkların gözden geçirilmesi, işe giren personelin yetkilerinin hangi kriterlere göre belirleneceği ve de işten ayrılan personelin yetkilerinin(özellikle uzaktan bağlantı) pasif hale getirilmesi önem arz etmektedir. İşlemlerde otomatizasyonun sağlanması, hataların minimal düzeye indirgenmesi adına Kimlik Yönetimi Uygulamaları benimsenmelidir. Bununla birlikte işe giren personele, şirketin Bilgi Güvenliği Yönetim Sistemi Politikasının anlatılması ve farkındalığının üst seviyeye çekilmesi önemli bir gerekliliktir. (ISO/IEC 27001:2005 ISMS,2005:9s.) (ISO/IEC 17799:2005 ISMS,2005:26s.) Organizasyonun Bilgi Güvenliğine verdiği önem, eğitim yoluyla belirli periyotlarda tüm personele verilmelidir. Bilgi Güvenliği, örgüt kültürü haline getirilmeli, organizasyonel hafızaya kazandırılmalıdır. Çağrı merkezleri, müşterilerle birebir temasın sağlandığı bir platformdur. Müşteri memnuniyeti adına hemen hemen her türlü işlemin yapıldığı bu ortamlar, güvenlik anlamında büyük riskler taşımaktadır. Çağrı merkezlerinde hizmet veren Müşteri Temsilcileri, görev ve sorumlulukları gereği her türlü müşteri bilgisine ulaşabilir durumdadırlar. Bu bilgiler Çağrı Merkezleri’nin hizmet sahasına göre değişiklik gösterir ve genel olarak bakıldığında; Müşteri Ad-Soyad, T.C. Kimlik Numarası, Adres, Telefon, Anne Kızlık Soyadı, Banka Hesap Bilgileri, Kredi Kartı Numarası, Sağlık Bilgileri, Adli Bilgiler vb. bilgiler olarak düşünülebilir. Müşteri temsilcilerinin, müşterileri bilgilerinin olduğu ekranlara erişim yetkilerinin olmaları, bu bilgilerin tamamını görmeleri anlamına gelmemelidir. Bilgiler kritiklik derecelerine göre gölgelendirilmelidir. Örnek olarak: Müşteri Temsilcileri, kendilerini arayan müşterilerin gerçekten doğu kişi mi olduğununun teyidini, bu verilerin bir kısmı ile sağlamaktadırlar. Gerek bu işlem, gerekse diğer işlemlerde, ilgili veri setinin tamamı yerine bir kısmının(Anne kızlık soyadının, doğum tarihinin vb. bilgilerin sadece belirli karakterlerinin) gözükmesi hem kişisel bilgilerin koruma altına alınmasını hem de kişiye gereğinden fazla yetkinin verilmesini önleyecektir. Bu anlamda Müşteri Temsilcilerinin seçiminde ve işe alımında referans kontrolleri ve temel güvenlik soruşturmalarının yapılması ve kişinin yetkinliğinin pozisyona göre doğru tanımlanması büyük önem taşımaktadır. Bununla birlikte verilecek hizmetin türüne ve niteliğine göre bilgi detayları sınırlandırılmalıdır. Teknik Olarak Güvenlik Müşteri Temsilcilerinin kullandıkları donanımlar ve yazılımlar üzerinde risk anlizleri yapılarak, risk ve tehditleri indirgemeye yönelik kontroller sağlanmalıdır. Çalışanların PC’lerinde ihtiyaca göre yetkilendirmeler yapılmalıdır. Gizlilik içeriği yüksek olan bilgilerin şirket dışına çıkartılmaması için bilgisayar donanımlarında kısıtlamalara gidilmeli, verilen hizmetin kritikliğine göre çağrı merkezi salonlarına ekran görüntülerinin, ses kayıtlarının, ortam düzenlerinin dışarıya sızdırılmaması için cep telefonları, kamera, fotoğraf makinası vb. medya cihazlarının sokulması engellenmelidir. Risklerin azaltılmasına yönelik alınacak BT kontrollerinden bazıları ise sanal makinaların(virtual machines) ve ThinClient(Dummy Terminal) ların kullanılmasıdır. Ayrıca internet ve diğer sistemlere erişim haklarının pozisyonlara göre düzenlenmesini sağlayacak, dosya indirme ve protokol bazlı kısıtlar getirebilecek uygulamaların kullanılması da fayda sağlayacaktır.(Solms,2006:411s) Çağrı merkezlerinde kullanılan donanım ve yazılımlarda bahsettiğimiz bazı kontrollerin alınması, çalışanlar tarafından kasıtlı olarak yapılacak girişimleri %100 engellemeyecektir. Sistemlere yetkisiz olarak yapılacak erişimlerin, çalışanlara verilen sistemler üzerindeki yetkilerin kötüye kullanımına yönelik girişimlerin ve tüm bu girişimler sonucu sağlanacak maddi menfaatlerin tespit edilmesine yönelik bir iç kontrol mekanizmasının kurulması fayda sağlayacaktır. Çağrı Merkezlerinin en kritik sistemleri olarak düşünülebilecek Santral ve IVR sistemlerinin güvenliği, hem çağrı kesintisinin olmaması açısından hem de şirket üretimi ve müşteri güvenliği açısından çok fazla önem arz etmektedir. Günümüzde çağrı merkezlerinin kendilerini coğrafi olarak yedeklemek ve çağrıları internet üzerinden aktarmak için kullandıkları VoIP(Voice over IP) teknolojisi, bazı açıkları da beraberinde getirmiştir. Bu ve benzeri açıkların engellenmesi, santral sistemlerinin güvenliğinin sağlanması için doğru konfigürasyonların yapılması ve sistemlerin yamalarının yapılması, alınması gereken kontroller olarak göze çarpmaktadır. Kurum içinde güvenlik zayıfıklarının, ihmallerinin ve ihlallerinin bildirileceği, kayıt altına alınacağı vaka yönetim uygulamalarının kullanılması; genellikle vardiya usulü çalışma prensibine sahip olan çağrı merkezleri çalışanlarının günün her saatinde ulaşabilecekleri bu yapıların kurgulanması, güvenlik olaylarının yönetilebilmesinde ve de bu olayların bir daha olmaması için kök nedenin belirlenmesi, akabinde ortadan kaldırılması konusunda etkin bir metod olacaktır. (ISO/IEC 27001:2005 ISMS,2005:26s.) (ISO/IEC 17799:2005 ISMS,2005:90s.) Çağrı merkezleri, genellikle 7/24 esasına göre çalışırlar. Bu koşulları yerine getirmek, işlerin durmaması ve aksamaması anlamına gelmektedir. Bunun için operasyonların yedeklenmesi(coğrafi olarak, operasyonların çeşitli lokasyonlara dağıtılması şeklinde vb), acil ve felaket durumları için eylem planlarının oluşturulması, yazılı hale getirilmesi ve düzenli aralıklarla test edilmesi gerekmektedir. (ISO/IEC 27001:2005 ISMS,2005:27s.) (ISO/IEC 17799:2005 ISMS,2005:95s.) SONUÇ Farklı sektörlerde faaliyet gösteren Çağrı Merkezleri, çok kıritik bilgileri ellerinde bulundurmaktadırlar. Öncelikle müşteriye değen her noktada büyük önem taşıyan Müşteri Temsilcilerinin güvenliği sağlanmalı, eldeki müşteri bilgilerine ihtiyaca göre ve gerektiği kadar erişim sağlatacak güvenlik metodolojileri geliştirmelidir. Müşteriler tarafından Çağrı Merkezi her arandığında ulaşılabilmesi için erişilebilirliğin(availability), müşteri ile ilgili işlemlerin doğru bir şekilde yapılması ve arayan kişiyle ilgili bilgilerin doğru olması için bütünlüğün(integrity) ve de müşterilerle ilgili kişisel bilgilerin yetkisiz kişiler tarafından ulaşılamaması için gizliliğin(confidentiality) sağlanması gerekmektedir. Saygılar. DÃ¼zenleyen megabros - 07-04-2010 Saat 14:52