Mejores prácticas para verificar la identidad de un usuario para el servicio de asistencia

7

Tuve una conversación hoy y alguien me cuestionó por qué necesitarías verificar la identidad de un usuario que llama a la mesa de servicio con cualquier otra cosa que no sea el correo electrónico de su compañía. De acuerdo, sé que se pueden falsificar, pero el ejecutivo de nivel superior no lo hizo.

He estado presionando para tener como mínimo un PIN específico de usuario y la dirección de correo electrónico de los usuarios implementada para fines de verificación ...

¿Alguien tiene acceso a las mejores prácticas publicadas para la mesa de soporte de esta verificación de usuario no presencial (teléfono, servicios de chat)?

Saludos

    
pregunta user2041774 27.07.2013 - 02:14
fuente

2 respuestas

4

El correo electrónico de la empresa es probablemente una mala forma de verificar la identidad de alguien. En la mayoría de los lugares, la dirección de correo electrónico está en un formato común que podría adivinarse fácilmente. La ingeniería social y los pretextos son formas fáciles de obtener información común. También debe considerar la amenaza interna, un compañero de trabajo podría hacerse pasar por alguien con una dirección de correo electrónico fácilmente. (Supongo que te refieres a proporcionar esto por teléfono, no enviarles un correo electrónico para que se abra durante una llamada)

Si desea autenticar la identidad de un usuario, debe usar algo que no sea público y que sea difícil de adivinar. Algunas compañías pueden tener palabras clave específicas, etc. Pueden requerir una llamada a un número que se sepa que es el trabajo, el hogar o el número de celular del empleado. Esta no debe ser su contraseña de sistema o correo electrónico.

    
respondido por el Eric G 27.07.2013 - 02:56
fuente
2

Hay dos lados en esto. La primera es verificar la identidad del usuario y la otra es verificar la legitimidad de la mesa de ayuda. Este es un asunto bastante importante porque las llamadas de ingeniería social casi siempre se dirigirán al servicio de asistencia o se harán pasar por un miembro del servicio de asistencia.

Como los usuarios normales suelen ser menos sofisticados que los operadores de la mesa de ayuda, debe simplificar el proceso para autenticar la mesa de ayuda. Por ejemplo, una regla muy sencilla es todas las llamadas de ayuda deben hacerse desde el usuario a la mesa de ayuda. Si la mesa de ayuda lo llama, entonces su instrucción only debe ser "volver a llamar al número de teléfono de la mesa de ayuda interna estándar". En ningún momento debe confiar en un representante de la mesa de ayuda que lo llamó. Esto es fácil de recordar para las personas y fácil de implementar. Además, siempre que llame a un usuario y diga "devuélvame la llamada" sería una buena idea recordarle por qué debería hacerlo; solo una palabra o algo así, el concepto está fresco en su mente: el servicio de asistencia SIEMPRE le dice que lo devuelva la llamada.

Luego, autenticar al usuario con la mesa de ayuda depende del nivel de seguridad requerido por la empresa. Una "llamada en PIN" o contraseña es una idea razonable pero no maravillosa. Aún mejor es algún tipo de sistema interno de circuito cerrado que no se puede poner a disposición de alguien fuera de la empresa.

Mejor aún, simplemente establezca la regla de que todas las operaciones confidenciales se deben realizar en persona, ya sea en la propia mesa de ayuda o por medio del soporte del lado del escritorio, con la verificación adecuada de las credenciales, etc.     

respondido por el tylerl 27.07.2013 - 08:39
fuente