📘 La guía: cómo elegir un software para centro de contacto seguro
La seguridad del funcionamiento de tu centro de contacto depende en gran medida del software que elijas. Esta guía está diseñada para ayudarte a ti y a tu equipo a evaluar la preparación en materia de ciberseguridad del sistema de centro de contacto en la nube que usáis actualmente.
Te enseñará cómo elegir un software de centro de contacto realmente seguro para tu empresa. 👉
Más información ⬇️
La ciberseguridad es vital para cualquier empresa que maneje datos de clientes.
La ciberseguridad es vital para cualquier empresa que maneje datos de clientes.
Tradicionalmente, la ciberseguridad se ha considerado un reto técnico, aunque en la última década se ha empezado a tener más en cuenta el factor humano. Sin embargo, se trata de un tema muy amplio cuyas implicaciones van mucho más allá del equipo de tecnologías de la información y las comunicaciones (TIC). Según el Centro Nacional de Ciberseguridad de Finlandia, las principales tendencias a largo plazo que afectan a las ciberamenazas son:
🔹 Inestabilidad económica y política internacional
🔹 Intercambio de información insuficiente dentro de las empresas y entre ellas
🔹 Vulnerabilidades sin corregir en los dispositivos y servicios conectados a Internet
🔹 Falta de conocimientos diversificados en ciberseguridad
🔹 Robo de privilegios de acceso y credenciales
Como muestra la lista anterior, la ciberseguridad es un asunto complejo. Ninguna empresa está 100 % a salvo de todas las amenazas, debido al gran número de riesgos de ciberseguridad y vulneraciones potenciales que existen hoy en día. Sin embargo, con los sistemas adecuados, una formación apropiada y procesos certificados, es posible reducir al mínimo el impacto de los ataques y las vulneraciones de la seguridad en la actividad de tu empresa.
¿Qué implicaciones tiene la ciberseguridad en el contexto del funcionamiento de un centro de contacto?
Reducir al mínimo los riesgos de ciberseguridad
Un software de centro de contacto certificado y seguro protege a tu empresa frente a los ciberataques y el robo de datos.
Cumplir todos los requisitos de seguridad
No tendrás que preocuparte por el cumplimiento de RGPD de la Unión Europea y otras normativas, ya que el proveedor del software de tu centro de contacto se encarga de todos los aspectos legales.
Evitar los tiempos de inactividad del sistema
Un proveedor de software de centro de contacto fiable debe garantizar un tiempo de actividad del sistema superior al 99,95 %, en todo momento.
La importancia de la ciberseguridad en los centros de contacto
Debido a la naturaleza de su actividad, tanto los centros de contacto de llamadas salientes como los equipos de atención al cliente manejan información personal. Por lo tanto, estos departamentos son objetivos potenciales de muchos ataques de ciberseguridad.
Además, la mayoría de los ataques de ciberseguridad actuales no están diseñados contra una empresa en concreto. A menudo, los ciberdelincuentes y las organizaciones criminales tienden una red lo más amplia posible que pone a prueba las medidas de seguridad de miles de empresas a la vez.
Por otro lado, las empresas y organizaciones que operan en el Espacio Económico Europeo están sujetas a una estricta normativa sobre el tratamiento de datos personales. El reglamento general de protección de datos (RGPD) impone importantes sanciones a las empresas que no mantengan a salvo la información personal de sus clientes, o no reaccionen como es debido después de que se produzca una violación de la seguridad.
Solo por estas tres razones, la ciberseguridad debería ocupar un lugar prioritario en tu agenda. Con el fin de reducir al mínimo los riesgos, es necesario evaluar desde el punto de vista de la ciberseguridad tanto las herramientas (por ejemplo, el software del centro de contacto) como los procesos que utilizan los equipos de atención al cliente y de ventas salientes.
Elegir el software de centro de contacto adecuado resulta vital para garantizar un funcionamiento seguro. El objetivo de esta guía es ayudarte a ti y a tu equipo (por ejemplo, el personal de TIC) a evaluar el nivel de la ciberseguridad del sistema de centro de contacto en la nube que usáis actualmente.
Acreditaciones y certificados de seguridad
La mejor manera de asegurarse de que un proveedor se toma en serio la ciberseguridad es verificar que cuenta con las certificaciones necesarias.
La acreditación SOC 2 y la certificación ISO 27001 son dos pruebas fehacientes de que una empresa gestiona su ciberseguridad de manera sistemática y exhaustiva.
En especial, los organismos públicos y las grandes empresas suelen establecer como requisito mínimo en sus solicitudes de propuestas disponer de la acreditación SOC 2 o la certificación ISO 27001.
Si te preocupa la seguridad de los datos de tus clientes, elige únicamente servicios que cuenten con al menos una de estas certificaciones.
Más información en la guíaLa ciberseguridad es una preocupación constante.
Por eso, la gestión de la ciberseguridad debe ser un proceso continuo. Dicho proceso tiene que estar claramente documentado e incluir, entre otras cosas, evaluaciones y pruebas periódicas de los riesgos relacionados con la seguridad de la información.
Acreditación SOC 2
Historia
El origen de SOC 2 se remonta a las normas de auditoría publicadas en la década de 1970. Ha sido desarrollada por la Asociación Internacional de Contables Profesionales Certificados (AICPA) y define los criterios para la gestión de los datos de una empresa. La acreditación SOC 1 establece los controles de los estados financieros. La acreditación SOC 2 hace lo mismo con los datos de los clientes. En la actualidad, la acreditación SOC 2 está gestionada por la Norma Internacional sobre Contratos de Seguros (ISAE).
Importancia
Los Controles del Sistema y de la Organización (SOC por sus siglas en inglés) son informes redactados por un auditor independiente a partir de su evaluación de la forma en que una empresa gestiona los datos confidenciales en sus procedimientos cotidianos. La acreditación SOC 2 certifica que una empresa ha hecho todo lo posible para reducir al mínimo el riesgo de que se produzcan filtraciones de datos de clientes y violaciones de la seguridad.
El informe de SOC 2 se basa en los cinco Criterios de Servicios Fiduciarios para el tratamiento de los datos de los clientes: seguridad, confidencialidad, integridad del tratamiento, privacidad y disponibilidad. Está pensado para empresas que almacenan, tratan o transmiten cualquier tipo de datos de clientes, por ejemplo proveedores de software como servicio (SaaS) o de alojamiento de datos.
Principios de control interno y criterios de los servicios fiduciarios
La acreditación SOC 2 se basa en 17 Principios obligatoriosde Control Interno y cinco Criterios de Servicios Fiduciarios opcionales.
Los Principios de Control Interno garantizan que la empresa dispone de los procesos adecuados para mantener la seguridad de la información. El acceso a la información confidencial está restringido únicamente a los empleados pertinentes, los riesgos se minimizan mediante la formación continua, los sistemas se supervisan constantemente y los socios se evalúan de forma sistemática.
En resumen, una empresa que recibe la acreditación SOC 2:
🔹 Forma a todos sus empleados en materia de seguridad de la información
🔹 Se asegura de que las empresas a las que contrata servicios tienen protocolos de seguridad de la información similares
🔹 Garantiza la protección de todos los datos de los clientes y realiza copias de seguridad
🔹 Restringe el acceso físico y digital a los datos y los elimina al final de la relación con el cliente
🔹 Dispone de procedimientos para responder rápidamente a cualquier incidente
🔹 Revisa periódicamente los procedimientos de seguridad de la información de manera interna y mediante una auditoría externa
Proceso de certificación
El informe SOC 2 lo elabora un auditor externo certificado, Evalúa en qué medida un proveedor cumple los Criterios de los Servicios Fiduciarios. La acreditación SOC 2 implica dos clases de informes: Tipo I y Tipo II. El Tipo I describe los sistemas de la empresa, y en el mismo el auditor confirma que su diseño cumple los Criterios de los Servicios Fiduciarios pertinentes. Un informe de Tipo II va más allá, ya que estudia la eficacia operativa de esos sistemas. Es decir, realiza pruebas para garantizar que el sistema funciona según lo declarado.
Los Criterios de los Servicios Fiduciarios opcionales son los componentes básicos de la ciberseguridad
Seguridad
¿Cómo se protege el sistema contra los ataques?
Disponibilidad
¿Cómo se garantiza que el sistema funcione las 24 horas, los 7 días de la semana?
Integridad del tratamiento
¿Funciona el sistema según lo previsto?
Confidencialidad
¿Cómo se limita el acceso, almacenamiento y uso de información confidencial?
Privacidad
¿Cómo se protege la información personal confidencial contra los accesos no autorizados?
Certificación ISO 27001
Historia
La norma ISO 27001 se publicó originalmente en 2005. Se han realizado revisiones a lo largo de los años y la última versión es de 2018. La norma está elaborada y publicada por la Organización Internacional de Normalización (ISO).
Importancia
La ISO 27001 es una norma que establece los requisitos de un Sistema de Gestión de la Seguridad de la Información (SGSI). Este conjunto de requisitos determina el modo en que las empresas pueden gestionar la seguridad de sus activos de información, como la propiedad intelectual, los datos de clientes o la información de terceros.
Aunque es imposible obtener una protección absoluta contra todas las amenazas de ciberseguridad, la ISO 27001 está reconocida a nivel internacional como una garantía de que una empresa aplica las normas de seguridad más estrictas.
Qué son los controles de seguridad y cómo se establecen
Un control de seguridad es cualquier medida destinada a mejorar la ciberseguridad de una empresa. La mayoría de las empresas utilizan varios tipos de controles: cortafuegos, actualizaciones automáticas, contraseñas, protocolos de gestión de incidentes, etc.
El objetivo del SGSI es garantizar que los controles de seguridad de una empresa se gestionan eficazmente y cubren todo el espectro de posibles amenazas a la ciberseguridad.
El SGSI debe examinar sistemáticamente los riesgos de seguridad de la empresa, establecer controles de seguridad adicionales cuando sea necesario y avalar que los controles satisfacen las necesidades de la empresa de forma permanente.
Proceso de certificación
El primer paso para obtener el certificado ISO 27001 es adquirir la norma y estudiar los requisitos de seguridad de la información que se establecen en la misma. Cuando se hace por primera vez, suele ser necesario añadir controles de seguridad o modificar los existentes para adecuarlos a los requisitos de la norma. Naturalmente, es preciso documentar todos los controles de seguridad.
Una vez que el SGSI cumple los requisitos de la norma, se invita a la entidad de certificación a realizar la auditoría. Se puede llevar a cabo una auditoría preliminar de fase 1 para comprobar si se han implantado los procesos y sistemas adecuados. Una auditoría de fase 2 es una auditoría formal y completa.
El auditor revisará la documentación para asegurarse de que cumple los requisitos establecidos en la norma. Solo entonces puede emitir un certificado.
Además, el cumplimiento de la norma requiere revisiones de seguimiento continuas. La auditoría ISO 27001 se actualiza de forma periódica, aunque el proceso también puede realizarse internamente. Por ejemplo, una empresa puede realizar una auditoría interna cada año, y solicitar una auditoría externa cada tres años.
Auditoría externa
La ISO 27001 se basa en normas, que son largas listas de directrices de ciberseguridad a seguir. Algunas empresas optan por seguir estas directrices y prácticas recomendadas sin llegar a solicitar la certificación, que no es obligatoria. Aunque esto es perfectamente aceptable, sólo una auditoría externa y la certificación resultante son una verdadera garantía para los clientes y socios de que las medidas descritas en la norma se siguen realmente en la organización.
Muchas empresas y organizaciones para las que la seguridad es una prioridad, por ejemplo del sector sanitario o financiero, confían en LeadDesk.
LeadDesk cuenta con las certificaciones SOC 2 e ISO 27001. También se ha sometido a la evaluación de tres de los Criterios de Servicios Fiduciarios más relevantes: seguridad, disponibilidad y confidencialidad.
Más información sobre LeadDesk::
sales@leaddesk.com
+44 203 8080 414
Resumen
Los centros de contacto son susceptibles de sufrir ataques de ciberseguridad. La razón es que tratan y almacenan datos de clientes, un tipo de información que resulta muy lucrativa para los ciberdelincuentes. Sin embargo, los ataques dirigidos no son el único riesgo, pues también se han vuelto habituales los ataques «a ciegas», que ponen a prueba simultáneamente las medidas de seguridad de miles de empresas.
Las empresas preocupadas por la ciberseguridad deberían asegurarse de que sus proveedores de software cuentan con la acreditación SOC 2 o la certificación ISO 27001. Son señales generalmente aceptadas y auditadas externamente de que una organización se toma en serio la ciberseguridad.
Al preparar una propuesta para un sistema de centro de contacto o una evaluación de proveedores, es necesario incluir estas certificaciones entre los criterios a tener en cuenta. Por ejemplo, puedes pedirle al proveedor que:
🔹 Proporcione una descripción general de sus controles de seguridad
🔹 Enumere las certificaciones pertinentes relativas a dichos controles
🔹 Indique otras auditorías o informes externos a los que se haya sometido