KONTAKTCENTER – CYBERSIKKERHED

📘 Guiden: SĂ„dan vĂŠlger du sikker software til dit kontaktcenter

Softwaren til dit kontaktcenter er afgĂžrende for en sikker drift. Denne guide hjĂŠlper dig og dit team med at evaluere cybersikkerheden for aktive kontaktcentersystemer i skyen.

Lér, hvordan du vélger égte sikker kontaktcentersoftware til din organisation  👉

LĂŠs mere nedenfor âŹ‡ïž

Cybersikkerhed er afgÞrende for alle organisationer, der hÄndterer kundedata.

Cybersikkerhed er afgÞrende for alle organisationer, der hÄndterer kundedata.

Cybersikkerhed har traditionelt vÊret betragtet som en teknisk udfordring, selvom den menneskelige faktor er blevet mere anerkendt det seneste Ärti. Cybersikkerhed er et vidtrÊkkende emne, der strÊkker sig langt ud over ICT-teamet. IfÞlge Finnish National Cyber Security Centre er de store langsigtede fÊnomener, der pÄvirker cybertrusler, som fÞlger:

đŸ”č International Ăžkonomisk og politisk ustabilitet

đŸ”č UtilstrĂŠkkelig udveksling af information i og mellem organisationer

đŸ”č Eksisterende sĂ„rbarheder i enheder og tjenester med forbindelse til internettet

đŸ”č Mangel pĂ„ diversificeret ekspertise inden for cybersikkerhed

đŸ”č StjĂ„lne adgangsrettigheder og adgangsoplysninger.

Som ovenstÄende liste indikerer, er cybersikkerhed et komplekst omrÄde. Med det enorme antal risici inden for cybersikkerhed samt potentielle brud kan ingen organisationer fÞle sig 100% sikre og fri for trusler. Men med de rette systemer, korrekt uddannelse og certificerede processer kan du minimere indvirkningen af angreb og brud pÄ din drift.

Hvad betyder cybersikkerhed i forbindelse med drift af kontaktcentre?

Minimér risici for cybersikkerhed

Med certificeret og sikker kontaktcentersoftware er din organisation beskyttet mod cyberangreb og datatab.

Overhold alle krav til cybersikkerhed

Du behĂžver ikke bekymre dig om EU-, GDPR- og andre lovmĂŠssige krav – udbyderen af dit kontaktcenter klarer alt det med smĂ„t.

UndgÄ nedetid for systemet

En pÄlidelig udbyder af kontaktcentersoftware bÞr sikre, at systemet er kÞrende >99,95% af tiden.

Betydningen af cybersikkerhed i kontaktcentre

Kontaktcentre for udgÄende opkald samt kundeserviceteams hÄndterer i sagens natur begge personlig information. De er derfor potentielle mÄl for en lang rÊkke angreb pÄ cybersikkerheden.

Derudover er de fleste angreb mod cybersikkerheden i dag ikke rettet mod en bestemt virksomhed. Hackergrupper og individuelle hackere kaster for det meste deres net sÄ bredt ud som muligt ved at teste tusindvis af organisationers sikkerhedsforholdsregler pÄ samme tid.

For virksomheder og organisationer med aktiviteter i EØS er der vedtaget strenge forordninger i forbindelse med behandling af personoplysninger. Databeskyttelsesforordningen (General Data Protection Regulation, forkortet GDPR) tildeler store bÞder til organisationer, der ikke formÄr at sikre og beskytte deres kunders personoplysninger eller pÄ tilstrÊkkelig vis hÄndtere brud, efter de er opstÄet.

Alene af disse Ă„rsager skal cybersikkerhed stĂ„ hĂžjt pĂ„ dagsordenen. For at minimere sikkerhedsrisiciene skal de vĂŠrktĂžjer – for eksempel kontaktcentersoftware – og processer, som kundeserviceteams og teams til udgĂ„ende salg bruger, evalueres ud fra et cybersikkerhedsmĂŠssigt synspunkt.

Eftersom den kontaktcentersoftware, du vÊlger, er afgÞrende for at opretholde en sikker drift, er denne guide udviklet for at hjÊlpe dig og dit team (sÄsom ICT-teamet) med at evaluere det cybersikkerhedsmÊssige beredskab i cloud-kontaktcentersystemer.

Akkrediteringer og certifikater i forbindelse med sikkerhed

Den bedste mÄde at sikre, at en leverandÞr tager cybersikkerhed alvorligt, er ved at kontrollere, at virksomheden er certificeret.

SOC 2-akkreditering og ISO 27001-certificering er to af de mest sikre tegn pÄ, at en organisation hÄndterer deres egen cybersikkerhed systematisk og udtÞmmende.

Statslige organer og store virksomheder sétter typisk enten en SOC 2-akkreditering eller ISO 27001-certificering som et minimumskrav i deres anmodning om forslag (RFP’er).

Hvis du har fokus pÄ sikkerheden i forbindelse med dine kundedata, skal du kun vÊlge tjenester med mindst en af disse certificeringer.

LĂŠs mere i guiden

Vi bliver aldrig fĂŠrdige med at vĂŠrne om cybersikkerhed.

Derfor bÞr hÄndteringen af cybersikkerhed vÊre en kontinuerlig proces. Processen skal vÊre tydeligt dokumenteret og omfatte blandt andet oplysninger om periodiske evalueringer af sikkerhedsrisici og tests.

SOC 2-akkreditering

Historik

SOC 2 gĂ„r helt tilbage til de revisionsstandarder, der blev udgivet i 1970’erne. Akkrediteringen er udviklet af American Institute of Certified Public Accountants og definerer kriterierne for behandlingen af en organisations data. SOC 1 fastsĂŠtter sikkerhedskontroller for regnskaber. SOC 2 gĂžr det samme for kundedata. I dag styres SOC 2-standarden af International Standard on Assurance Engagement (ISAE).

Vigtighed

SOSC (Systems and Organization Controls) er rapporter, der er skrevet af en uafhÊngig revisor baseret pÄ dennes evaluering af, hvordan en virksomhed behandler fÞlsomme oplysninger i hverdagen. SOC 2 certificerer, at en organisation har minimeret muligheden for lÊk af kundedata og brud pÄ sikkerheden.

SOC 2-rapporten er baseret pĂ„ de fem TSC’er (Trust Service Criteria): Sikkerhed, fortrolighed, integritet, privatlivets fred og tilgĂŠngelighed. Rapporten henvender sig til organisationer, der opbevarer, behandler eller overfĂžrer kundedata, f.eks. SaaS-virksomheder eller data hosting-virksomheder.

Principper for interne kontroller og TSC’er

SOC 2-akkrediteringen er baseret pĂ„ 17 obligatoriske principper for interne kontroller og fem valgfri TSC’er.

Principperne for interne kontroller sikrer, at virksomheden har de rette processer implementeret til at beskytte og sikre oplysninger. Adgang til fortrolige oplysninger er begrÊnset til udelukkende relevante medarbejdere, samtidig med at risici minimeres gennem kontinuerlig uddannelse, systemer overvÄges konstant, og partnere evalueres konsekvent.

En virksomhed, der modtager SOC 2-akkrediteringen:

đŸ”č Uddanner alle deres medarbejdere i informationssikkerhed

đŸ”č SĂžrger for, at alle virksomhedens leverandĂžrer af tjenester har lignende protokoller for informationssikkerhed

đŸ”č SĂžrger for, at alle kundedata er sikre og sikkerhedskopierede

đŸ”č BegrĂŠnser fysisk og digital adgang til disse data og fjerner dataene, nĂ„r kundeforholdet ophĂžrer

đŸ”č Har procedurer pĂ„ plads til hurtigt at reagere pĂ„ alle hĂŠndelser

đŸ”č Reviderer regelmĂŠssigt procedurer for informationssikkerhed internt og med ekstern revision.

Certificeringsproces

SOC 2-rapporten revideres af en certificeret ekstern revisor. Revisoren bedĂžmmer, i hvor hĂžj grad en leverandĂžr opfylder TSC’erne. SOC 2 har to typer af rapporter, Type I og Type II. Type I beskriver virksomhedens systemer, og revisoren bekrĂŠfter, at systemernes design opfylder de relevante TSC’er. En Type II-rapport gĂ„r videre end ovennĂŠvnte ved at undersĂžge den operationelle effektivitet af disse systemer, f.eks. ved at udfĂžre tests for at sikre, at systemet fungerer som angivet.

De valgfri TSC'er udgĂžr fundamentet for cybersikkerhed

Sikkerhed

Hvordan er systemet beskyttet mod angreb?

TilgĂŠngelighed

Hvordan kan vi sikre, at systemet fungerer dĂžgnet rundt?

Behandlingsintegritet

Fungerer systemet efter hensigten?

Fortrolighed

Hvordan kan vi begrĂŠnse adgang til, opbevaring, og brug af fortrolige oplysninger?

Beskyttelse af personoplysninger

Hvordan kan vi beskytte fĂžlsomme personoplysninger mod uautoriseret adgang?

ISO 27001-certificering

Historik

ISO 27001 blev oprindeligt udgivet i 2005. Der er i lĂžbet af Ă„rene udfĂžrt revisioner, og de seneste versioner er fra 2018. Standarden er udviklet og publiceret af International Organization for Standardization.

Vigtighed

ISO 27001 er en international standard til styring af informationssikkerhed, der fastsÊtter kravene til et ISMS (Information Security Management System). KravsÊttet bestemmer, hvordan organisationer kan styre deres informationsaktiver sÄsom immaterielle rettigheder, kundedata og information fra tredjepart.

Det er umuligt at opnÄ beskyttelse mod alle trusler mod cybersikkerheden, men ISO 27001 er et internationalt anerkendt signal om, at en organisation fÞlger de hÞjeste sikkerhedsstandarder.

Sikkerhedskontroller, og hvordan de opbygges

En sikkerhedskontrol er en foranstaltning, der er rettet mod at Þge cybersikkerheden i en organisation. De fleste organisationer bruger flere: firewalls, automatiske opdateringer, adgangskoder, protokoller til hÊndelseshÄndtering osv.

FormÄlet med ISMS er at sikre, at sikkerhedskontrollerne i en organisation er affektivt hÄndteret, og at kontrollerne dÊkker hele spektrummet for mulige trusler mod cybersikkerheden.

Et ISMS skal systematisk undersÞge organisationens sikkerhedsrisici, opsÊtte yderligere sikkerhedskontroller, hvor der er behov for det, og sikre, at kontrollerne overholder organisationens behov pÄ lÞbende basis.

Certificeringsproces

Det fÞrste skridt pÄ vejen mod at modtage et ISO 27001-certifikat er at kÞbe standarden og undersÞge kravene til informationssikkerhed i den. NÄr det er klaret, er der typisk et behov for at tilfÞje og modificere sikkerhedskontroller for hermed at opfylde kravene i standarden. Naturligvis skal hver eneste sikkerhedskontrol dokumenteres.

NĂ„r ISMS’et opfylder alle kravene i standarden, inviteres en akkrediteret registrator til at udfĂžre revisionen. Der kan udfĂžres en indledende revision pĂ„ trin 1 for at se, om de rette processer og systemer er til stede. Trin 2 bestĂ„r af en formel og fuldstĂŠndig revision.

Revisoren gennemgÄr dokumentationen for at sikre, at den opfylder kravene i standarden. FÞrst nu kan revisoren tildele et certifikat.

Det krÊver lÞbende, opfÞlgende reviews at overholde standarden. ISO 27001-revisionen opdateres regelmÊssigt, men der kan ogsÄ udfÞres en intern revision. En intern revisor kan f.eks. revidere organisationen Ärligt, mens en ekstern revisor inviteres hvert tredje Är.

Ekstern revisor

ISO 27001 er baseret pĂ„ standarder – lange lister med retningslinjer for cybersikkerhed, som skal fĂžlges. Nogle organisationer vĂŠlger at fĂžlge retningslinjerne samt god praksis uden certificering, eftersom denne ikke er obligatorisk. Selvom dette er helt acceptabelt, er det kun en ekstern revision og den efterfĂžlgende certificering, der fungerer som en egentlig garanti for kunder og partnere, sĂ„ de kan fĂžle sig sikre pĂ„, at de beskrevne foranstaltninger i standarden efterleves i organisationen.

Sikkerhedsbevidste organisationer sétter deres lid til LeadDesk – herunder organisationer inden for sundhed og finans.

LeadDesk har modtaget bĂ„de SOC 2- og ISO 27001-certificering. LeadDesk har ogsĂ„ gennemgĂ„et evaluering med en sammenligning med tre af de mest relevante TSC’er: sikkerhed, tilgĂŠngelighed og fortrolighed.

LĂŠs mere om LeadDesk:
sales@leaddesk.com
+44 203 8080 414

Opsummering

Kontaktcentre er potentielle mĂ„l for angreb pĂ„ cybersikkerheden. De behandler og opbevarer kundedata, og disse data er yderst indbringende for cyberkriminelle. MĂ„lrettede angreb udgĂžr imidlertid ikke den eneste risiko, eftersom “blind attacks” der pĂ„ samme tid udnytter sikkerhedsbrister i tusindvis af virksomheder, er blevet ganske almindelige.

Organisationer, der har fokus pÄ cyberangreb, bÞr sikre, at deres softwareleverandÞrer er SOC 2-akkrediteret og/eller ISO 27001-certificeret. Disse er generelt accepterede og eksternt reviderede signaler om, at en organisation tager cybersikkerhed alvorligt.

NĂ„r der oprettes en RFI eller RFP for et kontaktcentersystem eller ved evaluering af systemer hos forskellige leverandĂžrer, skal du sĂžrge for at medtage disse certificeringer i dine evalueringskriterier. Du kan f.eks. bede leverandĂžren om at:

đŸ”č FremlĂŠgge en oversigt over virksomhedens sikkerhedskontroller

đŸ”č AnfĂžre relevante certificeringer i forbindelse med disse kontroller

đŸ”č AnfĂžre eventuelle andre eksterne revisioner eller rapporter, der er udfĂžrt.

Download guiden til cybersikkerhed i kontaktcentre: