O acesso à informação e aos recursos associados é cada vez mais fácil e acessível, sobretudo devido ao desenvolvimento e disseminação de sistemas de processamento distribuídos, como a Internet e o comércio eletrónico. Porém, nem toda a informação está acessível através de meios eletrónicos, continuando também a haver a necessidade de a manter sob a forma física.
A par desta acessibilidade, tem havido um aumento na regulação dos controlos que garantem a confidencialidade, integridade e acesso à mesma, qualquer que seja a forma em que esta se encontre.
A maior parte desta regulação, salvo exceções como a legislação relativa à privacidade de dados, não é imperativa, deixando às empresas o livre arbítrio quanto às normas a aplicar e às boas práticas a seguir, muitas vezes procedendo à proteção desta informação por obrigação contratual com os seus clientes, para fazer face à concorrência ou para responder a concursos onde estas boas práticas sejam uma mais-valia.
Raramente estas práticas resultam de uma cultura de segurança já enraizada na organização, elevando o potencial risco a um nível não comportável para os padrões correntes.
Nos contact centers, a implementação de boas práticas de segurança assume um papel particularmente importante, sobretudo devido à diversidade de serviços prestados e ao elevado número de recursos, humanos e técnicos, alocados a estes serviços.
Os primeiros passos na proteção da informação.
O primeiro e o passo mais importante na proteção da informação de uma organização, qualquer que seja a empresa, em dimensão, geografia ou tipo de serviço prestado, é o envolvimento da gestão de topo. É vital, qualquer que seja o sistema de gestão de informação a adotar, que a gestão de topo demonstre perante os seus colaboradores, acionistas, clientes e fornecedores o seu total empenho. Normalmente esta demonstração é feita através da implementação e comunicação de uma política de gestão de informação, que conterá resumidamente a estratégia da organização neste domínio. Gerir pelo exemplo é muito importante, pois de outro modo uma política tende a transformar-se num documento sem valor. O facto de existirem normas, por exemplo, que regulem o código da estrada, não é, por si só, suficiente para evitar coimas ou acidentes. É o seu cumprimentos por quem conduz que as torna efetivas. O mesmo se deve passar numa organização. O cumprimento das políticas é o que efetiva uma boa base para a proteção da informação e, tal como no código da estrada, devem ser estipuladas consequências para quem não as cumpre. Normalmente estas estão definidas nas políticas de recursos humanos e devem ser do conhecimento de todos, sem exceção. A existência de um orçamento dedicado à segurança de informação e a definição de funções na área são também demonstração de um importante compromisso por parte da gestão. A segurança de informação não é quase nunca, infelizmente, gratuita.
Nos contact centers a implementação de boas práticas de segurança assume um papel particularmente importante
Está estabelecido que o elo mais fraco na proteção da informação são as pessoas. Não adianta ter uma tecnologia de ponta e processos bem definidos, se as pessoas não estiverem consciencializadas para a gestão do risco e para a proteção da informação. A engenharia social é unanimemente estabelecida como o fator de risco mais importante. Pode resumir-se a engenharia social como o conjunto de técnicas que levam as pessoas a fazer algo que coloca em causa a segurança da informação, como seja a partilha da sua password ou a abertura de um email. É, por isso, crucial a formação e a consciencialização dos colaboradores e também dos clientes e fornecedores. O segundo passo deve ser, portanto, o de estabelecer um plano de formação obrigatório neste domínio. Utilize o formato mais conveniente para a sua situação particular e recorra a material feito por um especialista.
Só é possível agir de forma efetiva na proteção da informação, se souber que informação tem, onde é que está localizada, qual o seu grau de criticidade e quem é por ela responsável. É por isso que a inventariação dos seus ativos, onde se inclui a informação, é vital e colocada em terceiro lugar neste resumo. Este passo permitirá dar continuidade a muitos outros, como uma avaliação de risco apropriada à sua situação.
O que devo fazer de seguida?
Este artigo não tem como objetivo substituir-se a um especialista na área e é, além do mais, demasiado sucinto para que dele possa retirar mais do que uma ideia do que é esperado de si relativamente a este tema. O passo natural será o de contratar quem o ajude na implementação de um sistema de gestão de segurança de informação. Os três passos referidos são apenas uma pequena fração dos passos seguintes e, genericamente, todos eles devem ser executados com a ajuda de um especialista. Procure alguém que tenha experiência, de quem tenha referências e que seja certificado na área. Há uma tendência natural, porque há a procura, de todas as empresas tecnológicas se converterem e de começarem a prestar serviços neste domínio. Procure apenas empresas ou indivíduos especializados, não generalistas. No mundo da segurança de informação um generalista não é a melhor escolha.
Há especificidades para os contact centers?
Não há qualquer regulação especifica para os contact centers, embora algum tipo de clientes requeira o cumprimento de determinadas normas. Por exemplo, se alguns dos seus clientes são instituições que fazem pagamentos com cartões, é natural que lhe comecem a exigir o cumprimentos do standard PCI DSS (Payment Card Industry Data Security Standard). Este standard define um conjunto de requisitos técnicos e operacionais para as organizações que aceitam ou processam transações de pagamento e para programadores ou fabricantes de aplicações ou dispositivos envolvidos nessas transações. Pode ser também uma mais-valia o cumprimento com as normas 27000, para o estabelecimento de um sistema de gestão de segurança de informação. Procure especialistas certificados nesta área para o ajudar.
A grande dificuldade dos contact centers reside normalmente na diversidade de clientes, fornecedores e colaboradores e no elevado número de recursos
A grande dificuldade dos contact centers reside normalmente na diversidade de clientes, fornecedores e colaboradores e no elevado número de recursos. Existem especificidades para cada um deles neste domínio, implicando uma adaptabilidade permanente, que pode ir de coisas simples como a tradução dos materiais de formação às diversas línguas em uso na organização, até à implementação de um standard, como o PCI DSS, que é uma tarefa de uma complexidade considerável e que exigirá de toda a organização uma mudança e uma adaptação a um novo paradigma.
