L’implementazione di un contact center in azienda o il suo affidamento in outsourcing devono garantire un livello di sicurezza informatica che tuteli tutti gli attori interessati: azienda, clienti, fornitori, stakeholder in genere. Per farlo, bisogna considerare almeno 3 fattori imprescindibili.
1. Adeguarsi alla nuova normativa GDPR
Il primo è di natura normativa e ha a che fare con il cosiddetto General Data Protection Regulation (GDPR), il Regolamento Ue 679/2016 che entrerà in vigore in Italia a partire dal 25 maggio 2018. Alla luce del GDPR bisognerà che le aziende adeguino tutto il loro impianto di Data Protection sia nella gestione in house, sia nella stipula di eventuali accordi con partner esterni. L’azienda, in quanto titolare della gestione dei dati, assume il ruolo di Data Controller, mentre il fornitore (compreso l’eventuale cloud service provider) viene indicato con il termine di Data Processor. Le novità del dettato legislativo sono tante, a fronte dei pochi mesi rimasti per mettersi in pari. Solo per fare qualche esempio, il Regolamento prevede l’obbligo di assicurare la protezione dei dati attraverso misure tecniche e organizzative adeguate, introduce la figura del Data Protection Officer (DPO), prescrive la valutazione d’impatto (impact assessment) e la rende obbligatoria in alcuni casi, infine stabilisce gli adempimenti in caso di violazione dei dati personali (data breaches). La materia normata nel GDPR non è di esclusiva pertinenza dell’IT Manager o del CIO, ma entrambi hanno il compito delicato di mettere in sicurezza l’infrastruttura informatica per evitare di incorrere nelle sanzioni previste. In base all’art. 82 del Regolamento, infatti, il responsabile del trattamento risponde (insieme al titolare) del danno cagionato in solido.
2. Adottare standard elevati di Data Storage Security
Il secondo fattore da tener presente per la sicurezza informatica di un contact center riguarda una delle modalità, sempre più diffuse, attraverso cui il servizio può essere erogato: il cloud computing. Un contact center in versione pay per use, per esempio, a fronte di un risparmio assicurato dalla modalità a consumo che esclude il vincolo dell’installazione on premise, utilizza la “nuvola”. Rispetto al cloud, la richiesta di garanzie da parte delle aziende che i dati ivi contenuti non vengano violati è quanto mai pressante. Richiesta che va di pari passo con l’assicurazione secondo la quale non solo comportamenti dolosi dovuti ad azioni di cybercrime ledono diritti di proprietà o privacy, ma anche eventi causali quali blackout o malfunzionamenti temporanei non devono mettere a rischio la tenuta del sistema. Su questo versante l’International Organization for Standardization ha emanato, in continuità con la serie ISO/IEC 27001, lo standard ISO/IEC 27017. Questo standard definisce controlli avanzati per fornitori di servizi cloud e per clienti dei medesimi servizi. Anche se si tratta di una misura certificatoria a carattere volontario, la sua adozione è sinonimo di attendibilità, perché l’azienda fa propri i modelli più elevati di sicurezza in materia di Data Storage Security. E questo vale anche nel momento in cui si sceglie un fornitore esterno a cui affidare il contact center.
3. Promuovere una cultura di IT Security Management tra i dipendenti
Un’infrastruttura informatica messa in sicurezza può anche essere violata da un uso scorretto da parte dei suoi principali utilizzatori. Gli addetti devono essere adeguatamente formati, in modo tale che siano minimizzate le conseguenze di un eventuale errore umano. È un’accezione allargata delle prerogative dell’IT Security Management che, generalmente, si fa coincidere con la funzione di protezione rispetto ad attacchi esterni e virus informatici. Non bisogna dimenticare, però, che gli operatori gestiscono continuamente una mole elevata di informazioni sensibili, la cui indebita divulgazione o manomissione comporta degli illeciti. Escludendo le azioni dolose, è fondamentale una cultura diffusa di sicurezza informatica che renda tollerabile la percentuale di insipienza riconducibile a conoscenza insufficiente o lacunosa. Se il contact center è gestito direttamente dall’azienda, sarà compito dell’IT Security Manager assicurarsi che il personale sia adeguatamente addestrato. Se, invece, il contact center è in outsourcing, l’accordo per l’affidamento del servizio dovrà prevedere delle garanzie anche in proposito.