Hay dos lados en esto. La primera es verificar la identidad del usuario y la otra es verificar la legitimidad de la mesa de ayuda. Este es un asunto bastante importante porque las llamadas de ingeniería social casi siempre se dirigirán al servicio de asistencia o se harán pasar por un miembro del servicio de asistencia.
Como los usuarios normales suelen ser menos sofisticados que los operadores de la mesa de ayuda, debe simplificar el proceso para autenticar la mesa de ayuda. Por ejemplo, una regla muy sencilla es todas las llamadas de ayuda deben hacerse desde el usuario a la mesa de ayuda. Si la mesa de ayuda lo llama, entonces su instrucción only debe ser "volver a llamar al número de teléfono de la mesa de ayuda interna estándar". En ningún momento debe confiar en un representante de la mesa de ayuda que lo llamó. Esto es fácil de recordar para las personas y fácil de implementar. Además, siempre que llame a un usuario y diga "devuélvame la llamada" sería una buena idea recordarle por qué debería hacerlo; solo una palabra o algo así, el concepto está fresco en su mente: el servicio de asistencia SIEMPRE le dice que lo devuelva la llamada.
Luego, autenticar al usuario con la mesa de ayuda depende del nivel de seguridad requerido por la empresa. Una "llamada en PIN" o contraseña es una idea razonable pero no maravillosa. Aún mejor es algún tipo de sistema interno de circuito cerrado que no se puede poner a disposición de alguien fuera de la empresa.
Mejor aún, simplemente establezca la regla de que todas las operaciones confidenciales se deben realizar en persona, ya sea en la propia mesa de ayuda o por medio del soporte del lado del escritorio, con la verificación adecuada de las credenciales, etc.