📘 Guiden: Sådan vælger du sikker software til dit kontaktcenter
Softwaren til dit kontaktcenter er afgørende for en sikker drift. Denne guide hjælper dig og dit team med at evaluere cybersikkerheden for aktive kontaktcentersystemer i skyen.
Lær, hvordan du vælger ægte sikker kontaktcentersoftware til din organisation 👉
Læs mere nedenfor ⬇️
Cybersikkerhed er afgørende for alle organisationer, der håndterer kundedata.
Cybersikkerhed er afgørende for alle organisationer, der håndterer kundedata.
Cybersikkerhed har traditionelt været betragtet som en teknisk udfordring, selvom den menneskelige faktor er blevet mere anerkendt det seneste årti. Cybersikkerhed er et vidtrækkende emne, der strækker sig langt ud over ICT-teamet. Ifølge Finnish National Cyber Security Centre er de store langsigtede fænomener, der påvirker cybertrusler, som følger:
🔹 International økonomisk og politisk ustabilitet
🔹 Utilstrækkelig udveksling af information i og mellem organisationer
🔹 Eksisterende sårbarheder i enheder og tjenester med forbindelse til internettet
🔹 Mangel på diversificeret ekspertise inden for cybersikkerhed
🔹 Stjålne adgangsrettigheder og adgangsoplysninger.
Som ovenstående liste indikerer, er cybersikkerhed et komplekst område. Med det enorme antal risici inden for cybersikkerhed samt potentielle brud kan ingen organisationer føle sig 100% sikre og fri for trusler. Men med de rette systemer, korrekt uddannelse og certificerede processer kan du minimere indvirkningen af angreb og brud på din drift.
Hvad betyder cybersikkerhed i forbindelse med drift af kontaktcentre?
Minimér risici for cybersikkerhed
Med certificeret og sikker kontaktcentersoftware er din organisation beskyttet mod cyberangreb og datatab.
Overhold alle krav til cybersikkerhed
Du behøver ikke bekymre dig om EU-, GDPR- og andre lovmæssige krav – udbyderen af dit kontaktcenter klarer alt det med småt.
Undgå nedetid for systemet
En pålidelig udbyder af kontaktcentersoftware bør sikre, at systemet er kørende >99,95% af tiden.
Betydningen af cybersikkerhed i kontaktcentre
Kontaktcentre for udgående opkald samt kundeserviceteams håndterer i sagens natur begge personlig information. De er derfor potentielle mål for en lang række angreb på cybersikkerheden.
Derudover er de fleste angreb mod cybersikkerheden i dag ikke rettet mod en bestemt virksomhed. Hackergrupper og individuelle hackere kaster for det meste deres net så bredt ud som muligt ved at teste tusindvis af organisationers sikkerhedsforholdsregler på samme tid.
For virksomheder og organisationer med aktiviteter i EØS er der vedtaget strenge forordninger i forbindelse med behandling af personoplysninger. Databeskyttelsesforordningen (General Data Protection Regulation, forkortet GDPR) tildeler store bøder til organisationer, der ikke formår at sikre og beskytte deres kunders personoplysninger eller på tilstrækkelig vis håndtere brud, efter de er opstået.
Alene af disse årsager skal cybersikkerhed stå højt på dagsordenen. For at minimere sikkerhedsrisiciene skal de værktøjer – for eksempel kontaktcentersoftware – og processer, som kundeserviceteams og teams til udgående salg bruger, evalueres ud fra et cybersikkerhedsmæssigt synspunkt.
Eftersom den kontaktcentersoftware, du vælger, er afgørende for at opretholde en sikker drift, er denne guide udviklet for at hjælpe dig og dit team (såsom ICT-teamet) med at evaluere det cybersikkerhedsmæssige beredskab i cloud-kontaktcentersystemer.
Akkrediteringer og certifikater i forbindelse med sikkerhed
Den bedste måde at sikre, at en leverandør tager cybersikkerhed alvorligt, er ved at kontrollere, at virksomheden er certificeret.
SOC 2-akkreditering og ISO 27001-certificering er to af de mest sikre tegn på, at en organisation håndterer deres egen cybersikkerhed systematisk og udtømmende.
Statslige organer og store virksomheder sætter typisk enten en SOC 2-akkreditering eller ISO 27001-certificering som et minimumskrav i deres anmodning om forslag (RFP’er).
Hvis du har fokus på sikkerheden i forbindelse med dine kundedata, skal du kun vælge tjenester med mindst en af disse certificeringer.
Læs mere i guidenVi bliver aldrig færdige med at værne om cybersikkerhed.
Derfor bør håndteringen af cybersikkerhed være en kontinuerlig proces. Processen skal være tydeligt dokumenteret og omfatte blandt andet oplysninger om periodiske evalueringer af sikkerhedsrisici og tests.
SOC 2-akkreditering
Historik
SOC 2 går helt tilbage til de revisionsstandarder, der blev udgivet i 1970’erne. Akkrediteringen er udviklet af American Institute of Certified Public Accountants og definerer kriterierne for behandlingen af en organisations data. SOC 1 fastsætter sikkerhedskontroller for regnskaber. SOC 2 gør det samme for kundedata. I dag styres SOC 2-standarden af International Standard on Assurance Engagement (ISAE).
Vigtighed
SOSC (Systems and Organization Controls) er rapporter, der er skrevet af en uafhængig revisor baseret på dennes evaluering af, hvordan en virksomhed behandler følsomme oplysninger i hverdagen. SOC 2 certificerer, at en organisation har minimeret muligheden for læk af kundedata og brud på sikkerheden.
SOC 2-rapporten er baseret på de fem TSC’er (Trust Service Criteria): Sikkerhed, fortrolighed, integritet, privatlivets fred og tilgængelighed. Rapporten henvender sig til organisationer, der opbevarer, behandler eller overfører kundedata, f.eks. SaaS-virksomheder eller data hosting-virksomheder.
Principper for interne kontroller og TSC’er
SOC 2-akkrediteringen er baseret på 17 obligatoriske principper for interne kontroller og fem valgfri TSC’er.
Principperne for interne kontroller sikrer, at virksomheden har de rette processer implementeret til at beskytte og sikre oplysninger. Adgang til fortrolige oplysninger er begrænset til udelukkende relevante medarbejdere, samtidig med at risici minimeres gennem kontinuerlig uddannelse, systemer overvåges konstant, og partnere evalueres konsekvent.
En virksomhed, der modtager SOC 2-akkrediteringen:
🔹 Uddanner alle deres medarbejdere i informationssikkerhed
🔹 Sørger for, at alle virksomhedens leverandører af tjenester har lignende protokoller for informationssikkerhed
🔹 Sørger for, at alle kundedata er sikre og sikkerhedskopierede
🔹 Begrænser fysisk og digital adgang til disse data og fjerner dataene, når kundeforholdet ophører
🔹 Har procedurer på plads til hurtigt at reagere på alle hændelser
🔹 Reviderer regelmæssigt procedurer for informationssikkerhed internt og med ekstern revision.
Certificeringsproces
SOC 2-rapporten revideres af en certificeret ekstern revisor. Revisoren bedømmer, i hvor høj grad en leverandør opfylder TSC’erne. SOC 2 har to typer af rapporter, Type I og Type II. Type I beskriver virksomhedens systemer, og revisoren bekræfter, at systemernes design opfylder de relevante TSC’er. En Type II-rapport går videre end ovennævnte ved at undersøge den operationelle effektivitet af disse systemer, f.eks. ved at udføre tests for at sikre, at systemet fungerer som angivet.
De valgfri TSC'er udgør fundamentet for cybersikkerhed
Sikkerhed
Hvordan er systemet beskyttet mod angreb?
Tilgængelighed
Hvordan kan vi sikre, at systemet fungerer døgnet rundt?
Behandlingsintegritet
Fungerer systemet efter hensigten?
Fortrolighed
Hvordan kan vi begrænse adgang til, opbevaring, og brug af fortrolige oplysninger?
Beskyttelse af personoplysninger
Hvordan kan vi beskytte følsomme personoplysninger mod uautoriseret adgang?
ISO 27001-certificering
Historik
ISO 27001 blev oprindeligt udgivet i 2005. Der er i løbet af årene udført revisioner, og de seneste versioner er fra 2018. Standarden er udviklet og publiceret af International Organization for Standardization.
Vigtighed
ISO 27001 er en international standard til styring af informationssikkerhed, der fastsætter kravene til et ISMS (Information Security Management System). Kravsættet bestemmer, hvordan organisationer kan styre deres informationsaktiver såsom immaterielle rettigheder, kundedata og information fra tredjepart.
Det er umuligt at opnå beskyttelse mod alle trusler mod cybersikkerheden, men ISO 27001 er et internationalt anerkendt signal om, at en organisation følger de højeste sikkerhedsstandarder.
Sikkerhedskontroller, og hvordan de opbygges
En sikkerhedskontrol er en foranstaltning, der er rettet mod at øge cybersikkerheden i en organisation. De fleste organisationer bruger flere: firewalls, automatiske opdateringer, adgangskoder, protokoller til hændelseshåndtering osv.
Formålet med ISMS er at sikre, at sikkerhedskontrollerne i en organisation er affektivt håndteret, og at kontrollerne dækker hele spektrummet for mulige trusler mod cybersikkerheden.
Et ISMS skal systematisk undersøge organisationens sikkerhedsrisici, opsætte yderligere sikkerhedskontroller, hvor der er behov for det, og sikre, at kontrollerne overholder organisationens behov på løbende basis.
Certificeringsproces
Det første skridt på vejen mod at modtage et ISO 27001-certifikat er at købe standarden og undersøge kravene til informationssikkerhed i den. Når det er klaret, er der typisk et behov for at tilføje og modificere sikkerhedskontroller for hermed at opfylde kravene i standarden. Naturligvis skal hver eneste sikkerhedskontrol dokumenteres.
Når ISMS’et opfylder alle kravene i standarden, inviteres en akkrediteret registrator til at udføre revisionen. Der kan udføres en indledende revision på trin 1 for at se, om de rette processer og systemer er til stede. Trin 2 består af en formel og fuldstændig revision.
Revisoren gennemgår dokumentationen for at sikre, at den opfylder kravene i standarden. Først nu kan revisoren tildele et certifikat.
Det kræver løbende, opfølgende reviews at overholde standarden. ISO 27001-revisionen opdateres regelmæssigt, men der kan også udføres en intern revision. En intern revisor kan f.eks. revidere organisationen årligt, mens en ekstern revisor inviteres hvert tredje år.
Ekstern revisor
ISO 27001 er baseret på standarder – lange lister med retningslinjer for cybersikkerhed, som skal følges. Nogle organisationer vælger at følge retningslinjerne samt god praksis uden certificering, eftersom denne ikke er obligatorisk. Selvom dette er helt acceptabelt, er det kun en ekstern revision og den efterfølgende certificering, der fungerer som en egentlig garanti for kunder og partnere, så de kan føle sig sikre på, at de beskrevne foranstaltninger i standarden efterleves i organisationen.
Sikkerhedsbevidste organisationer sætter deres lid til LeadDesk – herunder organisationer inden for sundhed og finans.
LeadDesk har modtaget både SOC 2- og ISO 27001-certificering. LeadDesk har også gennemgået evaluering med en sammenligning med tre af de mest relevante TSC’er: sikkerhed, tilgængelighed og fortrolighed.
Læs mere om LeadDesk:
sales@leaddesk.com
+44 203 8080 414
Opsummering
Kontaktcentre er potentielle mål for angreb på cybersikkerheden. De behandler og opbevarer kundedata, og disse data er yderst indbringende for cyberkriminelle. Målrettede angreb udgør imidlertid ikke den eneste risiko, eftersom “blind attacks” der på samme tid udnytter sikkerhedsbrister i tusindvis af virksomheder, er blevet ganske almindelige.
Organisationer, der har fokus på cyberangreb, bør sikre, at deres softwareleverandører er SOC 2-akkrediteret og/eller ISO 27001-certificeret. Disse er generelt accepterede og eksternt reviderede signaler om, at en organisation tager cybersikkerhed alvorligt.
Når der oprettes en RFI eller RFP for et kontaktcentersystem eller ved evaluering af systemer hos forskellige leverandører, skal du sørge for at medtage disse certificeringer i dine evalueringskriterier. Du kan f.eks. bede leverandøren om at:
🔹 Fremlægge en oversigt over virksomhedens sikkerhedskontroller
🔹 Anføre relevante certificeringer i forbindelse med disse kontroller
🔹 Anføre eventuelle andre eksterne revisioner eller rapporter, der er udført.
