Frost & Sullivan<\/a>, cerr\u00f3 2019 con operaciones por m\u00e1s de 506 millones de d\u00f3lares tan s\u00f3lo en Am\u00e9rica Latina. A estas alturas, varios call centers han implementado soluciones de comunicaciones unificadas basadas en la nube, movilizando a sus agentes en modo \u201chome office\u201d para continuar operando y ofrecer acceso a sistemas esenciales, incluidos CRM, IVR, entre otros. <\/p>\n\n\n\nPuede sonar obvio, pero estas acciones deber\u00edan estar enmarcadas en las pol\u00edticas de seguridad de la empresa que den cumplimiento a las normas de seguridad para las transacciones con medios de pago, como PCI-DSS. De igual forma, es muy importante mantener actualizados los diagramas de flujo, de red e inventarios con el objetivo de validar que los usuarios que se est\u00e1n conectando v\u00eda remota al entorno de datos, est\u00e1n definidos en el alcance y tengan implementado los controles de seguridad requeridos.<\/p>\n\n\n\n
A continuaci\u00f3n, GM Sectec repasa el checklist de recomendaciones que no puede faltar en los equipos de TI y de seguridad:<\/p>\n\n\n\n
En la infraestructura tecnol\u00f3gica para el teletrabajo:<\/strong><\/p>\n\n\n\n- Requerir que todo el personal use s\u00f3lo dispositivos de hardware aprobados por la compa\u00f1\u00eda (m\u00f3viles, tel\u00e9fonos, computadoras port\u00e1tiles, computadoras de escritorio, etc). Esto es especialmente relevante para el trabajo remoto y la empresa debe validar el control de los sistemas y la tecnolog\u00eda que respalden el procesamiento de los datos de las tarjetas de pago.<\/li>
- No es recomendable utilizar computadoras port\u00e1tiles o de escritorio personales de los empleados, por la falta de gesti\u00f3n y control del equipo.<\/li>
- El lugar de trabajo remoto debe operar como una extensi\u00f3n segura de la red del call center. Para ello es necesario asegurar que su entorno (la red de acceso y el WiFi) sea seguro de acuerdo con los requisitos de PCI DSS:<\/li><\/ol>\n\n\n\n
- Contar con firewalls personales instalados y operativos.<\/li>
- Contar con un software corporativo de anti-virus o anti-malware actualizado, que bloqueen intrusos maliciosos y alerten sobre actividades sospechosas.<\/li>
- Tener instalados los \u00faltimos parches de seguridad aprobados.<\/li>
- Desinstale o desactive las aplicaciones y el software que no son necesarios para reducir la superficie de ataque de los equipos. <\/li>
- Manejar configuraciones que eviten a los usuarios deshabilitar los controles de seguridad.<\/li>
- Las tarjetas de cr\u00e9dito o d\u00e9bito deber\u00e1n recibirse a trav\u00e9s de un IVR seguro y las sesiones de trabajo de los operadores deben iniciarse bajo autenticaci\u00f3n de m\u00faltiples factores para la conexi\u00f3n remota.<\/li>
- Implementar criptograf\u00eda s\u00f3lida para asegurar la transmisi\u00f3n de datos, como puede ser a trav\u00e9s de conexiones VPN.<\/li>
- Las estaciones de trabajo deben conectarse a trav\u00e9s de un servidor Jump, y un ecosistema de aplicaciones regido por un host virtual. Las soluciones de escritorios virtuales, VDI como las Citrix son un paradigma habitual.<\/li>
- Programe la desconexi\u00f3n autom\u00e1tica de las sesiones de acceso remoto despu\u00e9s de un per\u00edodo de inactividad, para evitar que las conexiones inactivas y abiertas sean flancos de ciberataques. <\/li><\/ol>\n\n\n\n
- Restrinja el acceso f\u00edsico a los medios que contienen datos de la tarjeta de pago de los clientes, como grabaciones de pantalla. En caso de que los datos de la cuenta se escriban o impriman en papel, aseg\u00farese de que est\u00e9n almacenados de forma segura, para posteriormente destruirla de manera segura cuando ya no se necesite. <\/li>
- Incremente el monitoreo del comportamiento del equipo remoto y defina criterios de identificaci\u00f3n de acciones sospechosas.<\/li><\/ol>\n\n\n\n
En cuanto al comportamiento del componente humano:<\/strong><\/p>\n\n\n\n- Revise las pol\u00edticas y los procedimientos de seguridad con todos los agentes internos y remotos para garantizar que los procesos y procedimientos de seguridad no se olviden ni se eludan:
- Proh\u00edba la copia, el traslado y el almacenamiento no autorizados de los datos de las cuentas de los clientes en discos duros locales y medios electr\u00f3nicos extra\u00edbles.<\/li><\/ol><\/li>
- El personal remoto debe estar al tanto de su entorno f\u00edsico, teniendo cuidado de evitar que personas no autorizadas puedan ver informaci\u00f3n confidencial.<\/li>
- El personal involucrado debe ser plenamente consciente de los riesgos relacionados con el trabajo a distancia o en el hogar. Realice capacitaciones o campa\u00f1as de concientizaci\u00f3n de seguridad continuas sobre las mejores pr\u00e1cticas de seguridad para uso correcto del correo electr\u00f3nico y Web, as\u00ed c\u00f3mo elegir contrase\u00f1as seguras y cambiarlas con frecuencia.<\/li><\/ol>\n\n\n\n
- Si alguna parte del entorno telef\u00f3nico se subcontrata a un proveedor de servicios externo, tanto el call center como el proveedor de servicios deben comprender claramente sus responsabilidades para proteger sus respectivos sistemas, procesos y personal, y documentar en consecuencia.<\/li><\/ul>\n\n\n\n
- En el caso de solicitar asistencia del equipo de TI, se debe verificar la identidad del usuario para descartar que sean llamadas falsas. Del mismo modo, los usuarios remotos deben saber c\u00f3mo confirmar que una persona que llama por tel\u00e9fono desde la TI corporativa es leg\u00edtima antes de proporcionar cualquier informaci\u00f3n.<\/li>
- Capacite a los teleoperadores sobre el impacto de campa\u00f1as de ataque con malware, cadenas de correo electr\u00f3nico Covid-19 y similares escenarios de riesgo para que el equipo remoto no caiga en estrategias de ingenier\u00eda social para vulnerar la protecci\u00f3n de los datos de los clientes.<\/li><\/ul>\n\n\n\n
Hoy m\u00e1s que nunca, es de vital importancia que las entidades contin\u00faen manteniendo y monitoreando la efectividad de sus controles de seguridad durante este per\u00edodo. Esto incluye garantizar que todos los controles de seguridad necesarios est\u00e9n en su lugar y funcionen de manera efectiva en todo momento. Recuerde que PCI DSS ayuda a mantener la seguridad del titular de la tarjeta y los datos comerciales.<\/p>\n","protected":false},"excerpt":{"rendered":"
Por: Ra\u00fal Mej\u00eda , Director Mexico & LATAM de GM Sectec Desde el primer caso de COVID-19 detectado en diciembre pasado en China, la enfermedad se ha dispersado por todo… <\/p>\n","protected":false},"author":1,"featured_media":4351,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pagelayer_contact_templates":[],"_pagelayer_content":"","footnotes":""},"categories":[28,30],"tags":[],"class_list":["post-4349","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-articulo","category-gerencia-ventas"],"_links":{"self":[{"href":"https:\/\/tecnomarketingtel.com\/wp-json\/wp\/v2\/posts\/4349","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecnomarketingtel.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecnomarketingtel.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecnomarketingtel.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecnomarketingtel.com\/wp-json\/wp\/v2\/comments?post=4349"}],"version-history":[{"count":1,"href":"https:\/\/tecnomarketingtel.com\/wp-json\/wp\/v2\/posts\/4349\/revisions"}],"predecessor-version":[{"id":4352,"href":"https:\/\/tecnomarketingtel.com\/wp-json\/wp\/v2\/posts\/4349\/revisions\/4352"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tecnomarketingtel.com\/wp-json\/wp\/v2\/media\/4351"}],"wp:attachment":[{"href":"https:\/\/tecnomarketingtel.com\/wp-json\/wp\/v2\/media?parent=4349"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecnomarketingtel.com\/wp-json\/wp\/v2\/categories?post=4349"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecnomarketingtel.com\/wp-json\/wp\/v2\/tags?post=4349"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}