TOPIC:

Çağrı Merkezi kısaca müşterinin telefon, e-mail, web, faks, IVR (Sesli Yanıt Sistemi) ve benzeri yöntemlerle yaptığı çağrısının bir merkez tarafından ele alınmasıdır.Çağrı merkezleri için Incoming Call Management Institute (ICMI) tarafından yapılan tanım ise şöyledir; "çağrı merkezi müşteriye ve şirkete değer yaratmak amacı ile şirketin kaynaklarının ve farklı iletişim kanallarının etkili bir şekilde entegre edildiği, insanlardan, süreçlerden, teknolojilerden ve stratejilerden oluşan koordineli bir sistemdir."
Çağrı Merkezinin Yararları Nelerdir?
Organizasyon ile müşteriler arasında köprü görevi görür,
Müşteri sadakatinin artmasına etkide bulunur,
İletişim kontrollü ve kaliteli bir biçimde sağlanır,
Düzenli ve sürekli veri akışına olanak tanır,
Pazarlama faaliyetlerinin etkinleşmesine imkan tanır,
Ürün ve hizmet iyileştirmeleri için geri besleme sağlar,
Maliyetlere olumlu etki eder, verimlilik sağlar,
Self servis hizmetlerin kullanılmasına destek olur,
Gelir yaratmak için kullanılır, gelir artışına etki eder,
Müşteri memnuniyetini arttırır,
Şirket imajına olumlu katkıda bulunur
Çağrı Merkezlerine Tarihsel Bakış
İlk olarak 1960’ların sonlarında istek ve şikayet iletme aracı olarak ortaya çıkmıştır.
ABD’de “ücretsiz hatlar” birçok şirket tarafından devreye alınmaya başlanmış ve bir hizmet statüsü olarak sunulmuştur.
1970’lerin başında Continental Havayolları ilk ACD (Automatic Call Distributor – Otomatik Çağrı Dağıtımcısı) kullanmıştır.
30 sene önce müşterilerle bir temas noktası yaratmış şirketler rekabette öne çıkarken, bugün bir zorunluluk haline gelmiştir.
Günümüzde büyük ve uluslararası bir sektör haline gelmiştir.
GÜVENLİK BAKIŞ AÇISI
Çağrı Merkezleri, hizmet verdikleri iş alanlarına göre farklı kanuni gerekliliklere ve güvenlik standartlarına ihitiyaç duyarlar. Güvenlik politikalarını, standartlarını, prosedürlerini, talimatlarını vb. diğer dökümanlarını iş gereksinimlerinin getirdiği güvenlik ihtiyaçlarına göre düzenlemelidirler. Örnek olarak bankacılık sektöründe iş yapan çağrı merkezleri PCI(Payment Card Industry standard), COBIT vb. framework lere uygun işlem yapmalıdır. [3]

Güvenlik ihtiyaçları, iş yapılan sektörlere ve iş ihtiyaçlarına göre çerçevelendirilmelidir. Burada tek bir ve/veya çeşitli framework’lerin sentezinden oluşan yapılar model olarak seçilebilir. Örnek olarak ISO 27002, ITIL ve PCI’dan oluşan bir karma yapı kullanılabileceği gibi bunlardan tek tek de faydalanılabilir. Önemli olan nokta, hizmet verilen sektörün güvenlik ihtiyaçlarına gereken cevabı vermek, şirket içi ve/veya dışı fraud’ları engellemek, kısacası sektörün getirdiği zayıflıkları en aza indirgemektir.

Fiziksel Olarak Güvenlik
Fiziksel güvenliğin sağlanamadığı bir ortamda bilgi güvenliği yönetim sisyeminin uygulanması mümkün değildir. Bu nedenle çevresel güvenliği sağlaması anlamında bentler, bariyerler, çitler, duvarlar, tel örgüler vb. engeller, binanın doğru yerlerine konumlandırılmalıdır. Hiç bir engel geçilmez değildir. Engeller gözetim altında tutulmalıdır.[1][2]

Çağrı Merkezleri, hizmet verdikleri sektörün ve/veya sektörlerin ihtiyaçlarına göre birden fazla müşteriye ve bununla birlikte birden fazla operasyon salonuna sahip olabilir. Bu anlamda operasyon salonlarının güvenliğini sağlamak için giriş/çıkış’lar kontrol altına alınmalı yetkilendirmeler iş ihtiyaçları doğrultusunda verilmelidir.

Ziyaretçilerin uyması gereken kurallar, çalışanların fiziksel ortamları kullanmalarına yönelik kurallar, yetkilendirmeler vb. gibi konular politika, prosedür, talimat düzeyinde tariflenmelidir.

Özellikle vardiya saatleri geceyarısı olan ve arabasıyla gelmek isteyen personelin arabalarını çektikleri otoparkın güvenliğinin sağlanması da önemli bir konudur. Otoparkın ana bina içinde konumlandırılması, bu mümkün değilse olabildiğince yakın bir yerde konumlandırılması, ışıklandırmanın yeterli düzeyde olması, çevresel korumanın alınmış olması, kameralarla gözetlemenin yapıldığı ve güvenlik görevlilerin etki sahalarının içinde olacağı önlemlerin alınması, personel güvenliği için gereklidir.

İdari Olarak Güvenlik
Çağrı merkezlerinde çalışan personelin genelde yaş ortalaması düşük ve ilk iş deneyimleri olduğu için çalışan sirkülasyonu fazladır. Sektörel yeniliklere ayak uydurmak adına sürekli değişen organizasyon yapılarında işten çıkışlar, işe girişler, yatay ve dikey rotasyonlar çok fazla olmaktadır. Bu durumun getirdiği en büyük zayıflıklardan biri ise yetkilerin ve erişim haklarının belirli periyotlarda gözden geçirilmemesidir. Yatay rotasyonda, çalışanın önceki görevi ile sonraki görevi arasındaki farkların gözden geçirilmesi, işe giren personelin yetkilerinin hangi kriterlere göre belirleneceği ve de işten ayrılan personelin yetkilerinin(özellikle uzaktan bağlantı) pasif hale getirilmesi önem arz etmektedir. İşlemlerde otomatizasyonun sağlanması, hataların minimal düzeye indirgenmesi adına Kimlik Yönetimi uygulamaları benimsenmelidir.

Bununla birlikte işe giren personele, şirketin Bilgi Güvenliği Yönetim Sistemi Politikasının anlatılması ve farkındalığının üst seviyeye çekilmesi önemli bir gerekliliktir. [1][2] Organizasyonun Bilgi Güvenliğine verdiği önem, eğitim yoluyla belirli periyotlarda tüm personele verilmelidir. Bilgi Güvenliği, örgüt kültürü haline getirilmeli, organizasyonel hafızaya kazandırılmalıdır.

Çağrı merkezleri, müşterilerle birebir temasın sağlandığı bir platformdur. Müşteri memnuniyeti adına hemen hemen her türlü işlemin yapıldığı bu ortamlar, güvenlik anlamında büyük riskler taşımaktadır. Çağrı merkezlerinde hizmet veren Müşteri Temsilcileri, görev ve sorumlulukları gereği her türlü müşteri bilgisine ulaşabilir durumdadırlar. Bu bilgiler Çağrı Merkezleri’nin hizmet sahasına göre değişiklik gösterir ve genel olarak bakıldığında; Müşteri Ad-Soyad, T.C. Kimlik Numarası, Adres, Telefon, Anne Kızlık Soyadı, Banka Hesap Bilgileri, Kredi Kartı Numarası, Sağlık Bilgileri, Adli Bilgiler vb. bilgiler olarak düşünülebilir.

Müşteri temsilcilerinin, müşterileri bilgilerinin olduğu ekranlara erişim yetkilerinin olmaları, bu bilgilerin tamamını görmeleri anlamına gelmemelidir. Bilgiler kritiklik derecelerine göre gölgelendirilmelidir. Örnek olarak: Müşteri Temsilcileri, kendilerini arayan müşterilerin gerçekten doğu kişi mi olduğununun teyidini, bu verilerin bir kısmı ile sağlamaktadırlar. Gerek bu işlem, gerekse diğer işlemlerde, ilgili veri setinin tamamı yerine bir kısmının(Anne kızlık soyadının, doğum tarihinin vb. bilgilerin sadece belirli karakterlerinin) gözükmesi hem kişisel bilgilerin koruma altına alınmasını hem de kişiye gereğinden fazla yetkinin verilmesini önleyecektir. Bu anlamda Müşteri Temsilcilerinin seçiminde ve işe alımında referans kontrolleri ve temel güvenlik soruşturmalarının yapılması ve kişinin yetkinliğinin pozisyona göre doğru tanımlanması büyük önem taşımaktadır. Bununla birlikte verilecek hizmetin türüne ve niteliğine göre bilgi detayları sınırlandırılmalıdır.

Teknik Olarak Güvenlik
Müşteri Temsilcilerinin kullandıkları donanımlar ve yazılımlar üzerinde risk anlizleri yapılarak, risk ve tehditleri indirgemeye yönelik kontroller sağlanmalıdır. Çalışanların PC’lerinde ihtiyaca göre yetkilendirmeler yapılmalıdır. Gizlilik içeriği yüksek olan bilgilerin şirket dışına çıkartılmaması için bilgisayar donanımlarında kısıtlamalara gidilmeli, verilen hizmetin kritikliğine göre çağrı merkezi salonlarına ekran görüntülerinin, ses kayıtlarının, ortam düzenlerinin dışarıya sızdırılmaması için cep telefonları, kamera, fotoğraf makinası vb. medya cihazlarının sokulması engellenmelidir.

Risklerin azaltılmasına yönelik alınacak BT kontrollerinden bazıları ise sanal makinaların(virtual machines) ve ThinClient(Dummy Terminal) ların kullanılmasıdır. Ayrıca internet ve diğer sistemlere erişim haklarının pozisyonlara göre düzenlenmesini sağlayacak, dosya indirme ve protokol bazlı kısıtlar getirebilecek uygulamaların kullanılması da fayda sağlayacaktır.

Çağrı merkezlerinde kullanılan donanım ve yazılımlarda bahsettiğimiz bazı kontrollerin alınması, çalışanlar tarafından kasıtlı olarak yapılacak girişimleri %100 engellemeyecektir. Sistemlere yetkisiz olarak yapılacak erişimlerin, çalışanlara verilen sistemler üzerindeki yetkilerin kötüye kullanımına yönelik girişimlerin ve tüm bu girişimler sonucu sağlanacak maddi menfaatlerin tespit edilmesine yönelik bir iç kontrol mekanizmasının kurulması fayda sağlayacaktır.

Çağrı Merkezlerinin en kritik sistemleri olarak düşünülebilecek Santral ve IVR sistemlerinin güvenliği, hem çağrı kesintisinin olmaması açısından hem de şirket üretimi ve müşteri güvenliği açısından çok fazla önem arz etmektedir. Günümüzde çağrı merkezlerinin kendilerini coğrafi olarak yedeklemek ve çağrıları internet üzerinden aktarmak için kullandıkları VoIP(Voice over IP) teknolojisi, bazı açıkları da beraberinde getirmiştir. Bu ve benzeri açıkların engellenmesi, santral sistemlerinin güvenliğinin sağlanması için doğru konfigürasyonların yapılması ve sistemlerin yamalarının yapılması, alınması gereken kontroller olarak göze çarpmaktadır.

Kurum içinde güvenlik zayıfıklarının, ihmallerinin ve ihlallerinin bildirileceği, kayıt altına alınacağı vaka yönetim uygulamalarının kullanılması; genellikle vardiya usulü çalışma prensibine sahip olan çağrı merkezleri çalışanlarının günün her saatinde ulaşabilecekleri bu yapıların kurgulanması, güvenlik olaylarının yönetilebilmesinde ve de bu olayların bir daha olmaması için kök nedenin belirlenmesi, akabinde ortadan kaldırılması konusunda etkin bir metod olacaktır. [1][2]

Çağrı merkezleri, genellikle 7/24 esasına göre çalışırlar. Bu koşulları yerine getirmek, işlerin durmaması ve aksamaması anlamına gelmektedir. Bunun için operasyonların yedeklenmesi(coğrafi olarak, operasyonların çeşitli lokasyonlara dağıtılması şeklinde vb), acil ve felaket durumları için eylem planlarının oluşturulması, yazılı hale getirilmesi ve düzenli aralıklarla test edilmesi gerekmektedir. [1][2]

Sonuç
Farklı sektörlerde faaliyet gösteren Çağrı Merkezleri, çok kıritik bilgileri ellerinde bulundurmaktadırlar. Öncelikle müşteriye değen her noktada büyük önem taşıyan Müşteri Temsilcilerinin güvenliği sağlanmalı, eldeki müşteri bilgilerine ihtiyaca göre ve gerektiği kadar erişim sağlatacak güvenlik metodolojileri geliştirmelidir. Müşteriler tarafından Çağrı Merkezi her arandığında ulaşılabilmesi için erişilebilirliğin(availability), müşteri ile ilgili işlemlerin doğru bir şekilde yapılması ve arayan kişiyle ilgili bilgilerin doğru olması için bütünlüğün(integrity) ve de müşterilerle ilgili kişisel bilgilerin yetkisiz kişiler tarafından ulaşılamaması için gizliliğin(confidentiality) sağlanması gerekmektedir.