对许多公司来说，呼叫中心就是公司业务的命根子。所以要求它们在为员工和客户提供的物理安全与数字安全措施之间求得平衡。

    呼叫中心不“安全”

　　2005年12月12日凌晨，24岁的Pratibha Srikanth Murthy在前往班加罗尔呼叫中心上班途中不幸遇害身亡。但是2008年1月印度法庭并没有起诉审判涉嫌攻击Murthy的出租车司机Shiv Kumar，而是把矛头对准了Murthy当年所在公司的最高上司——Som Mittal。当年，他在Murthy服务的公司——惠普全球软件公司（Hewlett-Packard GlobalSoft）任总经理。

　　印度法律要求公司为女性雇员在夜间上下班途中提供安全的交通方式，为此Mittal受到了指控。Mittal现担任印度全国软件和服务公司协会（NASSCOM）会长，它是印度规模庞大的外包和呼叫中心行业的主要行业性组织。具有讽刺意味的是，这家协会曾经拟订了确保行业内员工享有安全交通方式的指导原则，这些原则甚至包括要求派保安陪同女性员工上下班; 女性雇员不该第一个被接送或者最后一个下车等内容。

　　印度最高法院在今年2月驳回了Mittal对此案的上诉，根据商店与公司法(Shops & Establishments Act)，一旦Mittal被判定有罪，他只会面临1000卢比（约合25美元）的罚款，但会留下案底，而他曾经供职的惠普全球软件公司也可能因此被牵连。

　　NASSCOM表示对此案不予评论。而惠普印度分公司称，在开庭前不想就此案发表评论。但是显然即使这起谋杀案已过去了三年，印度呼叫中心行业仍会与这起案子牵连在一起，而且这种牵连关系似乎还会持续几个年头。

　　鉴于呼叫中心和保护数据安全有着紧密的联系，Srikanth Murthy案件正在警示世人: 确保处理数据的工作人员安全，对于数据安全同样意义重大。

　　Patrick Chagnon供职的公司SSC设在美国康涅狄格州谢尔顿，它是一家安全咨询公司，作为公司情报与调查部门的经理，Chagnon认为像Murthy这样的事件会令雇主企业名声受损，因此带来的风险非常大。“自己的员工被人持枪攻击或者抢劫、甚至受到伤害绝对不是什么好事，客户也许会问，‘你连自己的员工都没法保护，怎么能够保护我们以及我们的数据呢？’”

　　事实也证明了这一点，近期有大量新闻报道披露，不但有充足的证据表明，呼叫中心运营商确实未能确保数据安然无恙，而且他们的员工遭受攻击的概率也要高出普通人。

　　David Brown是总部设在伊利诺斯州斯科基的福赛思解决方案集团（Forsythe Solutions Group）负责安全咨询服务的首席顾问。他说: “类似攻击事件发生频率非常高，这就像是那些夜间的自动柜员机，或者是购物中心的停车场，容易引发一些暴力伤害事件。呼叫中心的员工之所以容易遭到攻击，就是因为呼叫中心通常是24小时不间断运作，而且常常位于工业区或者人口稀少的办公园区。”

　　总部设在英国伦敦的安全联盟（Security Alliance）是由专业信息安全厂商组成的联盟，该组织的执行董事John Beale则认为，呼叫中心落实到位的物理安全措施和保安人员往往忽视保护员工的安全，而是在侧重于保护数据的安全。

　　实际上，除了员工安全保护差强人意外，数据保护不力、系统保护也不力等一连串令人担忧的呼叫中心安全漏洞更是时有发生。

　　安全培训认证公司SCIPP International的创办人Winn Schwartau是一名信息安全专家。他表示，呼叫中心安全的三个不同方面亟需审查: 第一个是针对不再是公司雇员的人，及时取消进入大楼以及访问公司网络的权限; 第二个是更有效地控制数据中心的工作人员对信用卡和银行账户详细资料等客户财务数据的访问; 第三个当然是这些工作人员的物理安全和保护。

    拒绝违规访问

　　Schwartau认为如果对呼叫中心的系统运作开展渗透测试以及审计工作，就会发现为数众多的员工虽然已经离开了公司，但他们仍拥有访问公司计算机网络和系统的权限。甚至在一些呼叫中心甚至有人早在两三年前就离开了公司，却仍拥有访问权限，这样的情况太司空见惯。

　　Schwartau表示，不是说许多公司没有认识到需要取消那些不该有的访问权限，而是说他们缺乏以一致的方式取消权限的手段。“取消访问权限很可能是人力资源部门制订的政策，但是控制网络的不是人力资源部门，结果是人力资源部门只是核对了权限一览表，而没有切实执行的手段。”

　　福赛思解决方案集团的Brown表示，对于访问权限的有效解决办法就是用“极其明确的”流程来取代执行起来乏力的机制。“这种流程要充分考虑到有可能出现的各种场景。比如有人按规定退休与有人被公司以正当理由开除，它们就应该是两种全然不同的情况。”

    Brown以被公司以“正当理由”开除的这种情况为例解释到:“正当理由包括操纵数据或者窃取数据，必须遵循的程序应当包括: 除了法务部人员、执法部门联络员、媒体关系人员甚至危机管理人员外，还应该让安保人员在场（目的是防止被开除的人仍旧强行访问系统），要求哪些人在场取决于被发现的不法活动的后果可能有多严重。明确规定这些程序很重要，因为肯定需要用到它们。这样的事情发生的频率越来越频繁了，人们越来越认识到数据中心具有的价值——越认识到这种价值，面临的风险就越大。”

　　Schwartau补充说，更大的风险来自那些使用单次登录系统来进行登录的公司。虽然单次登录机制具有提高工作效率的优点，但是一旦密码被窃取或者被滥用，就增加了数据丢失（或受损）的风险。“有了单次登录机制，一个密码就可以访问多个系统。如果某人离开了使用单次登录技术的一家公司，取消其权限非常重要。”