Capítulo 02
Conexões seguras
O setor de BPO evoluiu significativamente nos últimos anos, passando de fornecer serviços tradicionais de contact center para fornecer uma experiência de ponta a ponta ao cliente. Essa mudança exige uma abordagem similarmente evoluída para proteção de informações e sistemas.
Mesmo com as referências e classificações de segurança corretas, uma empresa ainda precisa fornecer evidências de segurança: seu time, processos e escolhas de ferramentas e tecnologias devem trabalhar juntos para aumentar proativamente a proteção e remover riscos inerentes.
Segurança por design
Um parceiro dedicado à segurança por design toma decisões estratégicas que visam manter e, na melhor das hipóteses, reduzir ainda mais seu perfil de risco existente (e, ao fazer isso, melhorar a postura de segurança). Assim, ele garante que pode fornecer qualquer combinação de serviços e soluções de CX específicos para qualquer organização individual em qualquer combinação de territórios, sem qualquer déficit na segurança do sistema e da informação.
Este nível de entrega só é possível quando as medidas de segurança são integradas ao design e desenvolvimento de um processo, sistema, ferramenta ou aplicativo e, por extensão, à abordagem de uma empresa. Quando a segurança e a mitigação de riscos não são aspectos centrais das operações comerciais, é impossível desenvolver e manter uma abordagem robusta e completa para a segurança de informações e sistemas.
Quando a segurança e a mitigação de riscos não são aspectos centrais das operações comerciais, é impossível desenvolver e manter uma abordagem robusta e completa para a segurança de informações e sistemas.
Marcas devem identificar ativamente potenciais fraquezas e vulnerabilidades que já existem ou que podem se concretizar ao longo do ciclo de vida de um novo relacionamento comercial e, em parceria com o BPO, implementar controles e medidas de segurança para mitigar esses riscos.
Alcance e recursos
A abordagem de melhores práticas pode ser evidenciada em escolhas de hardware e software, nos detalhes dos planos de resposta a incidentes e nas medidas tomadas para proteger e segregar uma rede ou os sistemas em vigor para controlar o acesso e autenticar indivíduos. No entanto, um dos indicadores mais claros de que a segurança está em primeiro plano pode ser encontrado nos recursos humanos.
Como disciplina, a segurança de informações e sistemas pode ter nascido dentro do TI, mas hoje é impossível afirmar que a segurança é apenas um problema de TI ou que pode ser fornecida exclusivamente por meios digitais. A segurança cibernética envolve gerenciar pessoas, processos e tecnologia. Os responsáveis pela segurança precisam de acesso direto e autoridade sobre qualquer proprietário de risco em qualquer posição dentro da empresa. Eles precisam de independência para agir pelo bem maior da organização sem medo de conflito de interesses e precisam de alcance, reconhecimento e respeito para impulsionar iniciativas de gerenciamento de mudanças potenciais em toda empresa.
Assim, para atender às expectativas dos seus clientes e, ao mesmo tempo, cumprir ativamente todas as estruturas de segurança relevantes, um parceiro de CX deve ter uma organização de segurança abrangente, sem se restringir ao T.I.
Além disso, essa organização precisa demonstrar experiência certificada em garantia de segurança, operações de segurança, engenharia de segurança e segurança de informações comerciais em nível regional e global.
Uma organização com esse nível de recursos de segurança deve fornecer a cada cliente acesso a um especialista em segurança de informações comerciais desde o ponto de consulta inicial. Isso não só adiciona um nível extra de suporte e garantia, mas também facilita a comunicação. Além disso, deve haver preocupação em simplificar e agilizar processos como segurança de contrato e auditoria, relatando qualquer gerenciamento de mudanças necessárias conforme o relacionamento comercial evolui.
Inteligência de ameaças
Além de ver a proteção apenas como uma função de TI, também há um equívoco de que riscos e ameaças à segurança cibernética são sinônimos. Um risco de segurança pode ser quantificado e medido em termos de probabilidade e impacto potencial, permitindo um curso de ação claro com investimento e alocação de recursos apropriados. Por outro lado, uma ameaça representa qualquer ocorrência potencial que pode impactar negativamente a segurança das informações ou do sistema e não é acionável até ser identificada e avaliada.
Uma prática recomendada a esse respeito é estabelecer uma equipe de inteligência de ameaças cibernéticas responsável por pesquisar, identificar e contextualizar proativamente as ameaças digitais. Isso inclui monitorar atividades da dark web, criar perfis de possíveis autores de ameaças, analisar dados de violações históricas e rastrear tendências em ferramentas e técnicas usadas para violar ou corromper sistemas.
As equipes de inteligência de ameaças ajudam a qualificar e quantificar riscos genuínos. Isso permite que as organizações mudem de uma postura de segurança reativa para uma proativa e permite uma compreensão mais ampla do cenário de ameaças digitais. Isso ocorre porque as equipes de inteligência de ameaças geralmente compartilham seus recursos e descobertas com outras equipes dentro e fora de seu setor. A natureza interconectada dos negócios modernos aumenta o risco e, portanto, exige maior cooperação e compartilhamento de inteligência.
Pronto para as respostas certas
No entanto, quando uma ameaça pode ser igualmente definida como ransomware, um colaborador com intenção maliciosa, crime organizado, spear phishing, um dispositivo perdido ou roubado, uma vulnerabilidade de dia zero ou uma rápida mudança geopolítica ou mesmo meteorológica em uma região ou território específico, ameaças nebulosas ainda podem ter um impacto no mundo real mais rápido do que podem ser identificadas ou mitigadas. É por isso que nenhuma prática recomendada de segurança é completa a menos que mantenha uma mentalidade de "quando, não se" e seja bem treinada na ação a ser tomada no caso de uma violação do sistema.
Isso significa prova de uma abordagem claramente definida, documentada e ensaiada a ser seguida no caso de qualquer tipo de ataque cibernético pertinente à tecnologia que a empresa usa, aos setores em que opera ou aos fornecedores, fornecedores ou parceiros em seu ecossistema. Além das etapas a serem seguidas, os planos de resposta a incidentes detalham ações por departamento ou indivíduo, identificando os tipos de problemas e o curso de ação a ser tomado após a descoberta.
Se o parceiro em potencial tiver uma presença global, procure provas de sistemas em vigor para gerenciar problemas regionais, como acesso 24/7 a líderes de resposta a incidentes de segurança em diferentes territórios geográficos e suporte multilíngue.
Da mesma forma, verifique se todos os planos de resposta a incidentes são documentos vivos que refletem a natureza mutável dos riscos, os impactos que eles podem ter e contêm medidas novas ou aprimoradas com base em lições aprendidas com a experiência em primeira mão ou de incidentes semelhantes em outras organizações.
Lista de ações
Verificar o comprometimento da organização com uma cultura de segurança
Confirmar se existe uma função de segurança global dedicada, distinta e complementar ao TI
Verificar se há profissionais de segurança credenciados em garantia, operações, engenharia e segurança da informação
Incentivar a presença de uma equipe interna de inteligência de ameaças cibernéticas
Avaliar a robustez e efetividade dos planos de resposta a incidentes
Garantir que os colaboradores regionais tenham acesso 24/7 a uma equipe multilíngue de resposta a incidentes
Solicitar evidências de aprendizado com incidentes de segurança anteriores no setor do BPO ou rede de parceiros