CIBERSEGURIDAD PARA LOS CENTROS DE CONTACTO

馃摌 La gu铆a: c贸mo elegir un software para centro de contacto seguro

La seguridad del funcionamiento de tu centro de contacto depende en gran medida del software que elijas. Esta gu铆a est谩 dise帽ada para ayudarte a ti y a tu equipo a evaluar la preparaci贸n en materia de ciberseguridad del sistema de centro de contacto en la nube que us谩is actualmente.

Te ense帽ar谩 c贸mo elegir un software de centro de contacto realmente seguro para tu empresa. 馃憠

M谩s informaci贸n 猬囷笍

La ciberseguridad es vital para cualquier empresa que maneje datos de clientes.

La ciberseguridad es vital para cualquier empresa que maneje datos de clientes.

Tradicionalmente, la ciberseguridad se ha considerado un reto t茅cnico, aunque en la 煤ltima d茅cada se ha empezado a tener m谩s en cuenta el factor humano. Sin embargo, se trata de un tema muy amplio cuyas implicaciones van mucho m谩s all谩 del equipo de tecnolog铆as de la informaci贸n y las comunicaciones (TIC). Seg煤n el Centro Nacional de Ciberseguridad de Finlandia, las principales tendencias a largo plazo que afectan a las ciberamenazas son:

馃敼 Inestabilidad econ贸mica y pol铆tica internacional

馃敼 Intercambio de informaci贸n insuficiente dentro de las empresas y entre ellas

馃敼 Vulnerabilidades sin corregir en los dispositivos y servicios conectados a Internet

馃敼 Falta de conocimientos diversificados en ciberseguridad

馃敼 Robo de privilegios de acceso y credenciales

Como muestra la lista anterior, la ciberseguridad es un asunto complejo. Ninguna empresa est谩 100聽% a salvo de todas las amenazas, debido al gran n煤mero de riesgos de ciberseguridad y vulneraciones potenciales que existen hoy en d铆a. Sin embargo, con los sistemas adecuados, una formaci贸n apropiada y procesos certificados, es posible reducir al m铆nimo el impacto de los ataques y las vulneraciones de la seguridad en la actividad de tu empresa.

驴Qu茅 implicaciones tiene la ciberseguridad en el contexto del funcionamiento de un centro de contacto?

Reducir al m铆nimo los riesgos de ciberseguridad

Un software de centro de contacto certificado y seguro protege a tu empresa frente a los ciberataques y el robo de datos.

Cumplir todos los requisitos de seguridad

No tendr谩s que preocuparte por el cumplimiento de RGPD de la Uni贸n Europea y otras normativas, ya que el proveedor del software de tu centro de contacto se encarga de todos los aspectos legales.

Evitar los tiempos de inactividad del sistema

Un proveedor de software de centro de contacto fiable debe garantizar un tiempo de actividad del sistema superior al 99,95聽%, en todo momento.

La importancia de la ciberseguridad en los centros de contacto

Debido a la naturaleza de su actividad, tanto los centros de contacto de llamadas salientes como los equipos de atenci贸n al cliente manejan informaci贸n personal. Por lo tanto, estos departamentos son objetivos potenciales de muchos ataques de ciberseguridad.

Adem谩s, la mayor铆a de los ataques de ciberseguridad actuales no est谩n dise帽ados contra una empresa en concreto. A menudo, los ciberdelincuentes y las organizaciones criminales tienden una red lo m谩s amplia posible que pone a prueba las medidas de seguridad de miles de empresas a la vez.

Por otro lado, las empresas y organizaciones que operan en el Espacio Econ贸mico Europeo est谩n sujetas a una estricta normativa sobre el tratamiento de datos personales. El reglamento general de protecci贸n de datos (RGPD) impone importantes sanciones a las empresas que no mantengan a salvo la informaci贸n personal de sus clientes, o no reaccionen como es debido despu茅s de que se produzca una violaci贸n de la seguridad.

Solo por estas tres razones, la ciberseguridad deber铆a ocupar un lugar prioritario en tu agenda. Con el fin de reducir al m铆nimo los riesgos, es necesario evaluar desde el punto de vista de la ciberseguridad tanto las herramientas (por ejemplo, el software del centro de contacto) como los procesos que utilizan los equipos de atenci贸n al cliente y de ventas salientes.

Elegir el software de centro de contacto adecuado resulta vital para garantizar un funcionamiento seguro. El objetivo de esta gu铆a es ayudarte a ti y a tu equipo (por ejemplo, el personal de TIC) a evaluar el nivel de la ciberseguridad del sistema de centro de contacto en la nube que us谩is actualmente.

Acreditaciones y certificados de seguridad

La mejor manera de asegurarse de que un proveedor se toma en serio la ciberseguridad es verificar que cuenta con las certificaciones necesarias.

La acreditaci贸n SOC 2 y la certificaci贸n ISO 27001 son dos pruebas fehacientes de que una empresa gestiona su ciberseguridad de manera sistem谩tica y exhaustiva.

En especial, los organismos p煤blicos y las grandes empresas suelen establecer como requisito m铆nimo en sus solicitudes de propuestas disponer de la acreditaci贸n SOC 2 o la certificaci贸n ISO 27001.

Si te preocupa la seguridad de los datos de tus clientes, elige 煤nicamente servicios que cuenten con al menos una de estas certificaciones.

M谩s informaci贸n en la gu铆a

La ciberseguridad es una preocupaci贸n constante.

Por eso, la gesti贸n de la ciberseguridad debe ser un proceso continuo. Dicho proceso tiene que estar claramente documentado e incluir, entre otras cosas, evaluaciones y pruebas peri贸dicas de los riesgos relacionados con la seguridad de la informaci贸n.

Acreditaci贸n SOC 2

Historia

El origen de SOC 2 se remonta a las normas de auditor铆a publicadas en la d茅cada de 1970. Ha sido desarrollada por la Asociaci贸n Internacional de Contables Profesionales Certificados (AICPA) y define los criterios para la gesti贸n de los datos de una empresa. La acreditaci贸n SOC 1 establece los controles de los estados financieros. La acreditaci贸n SOC 2 hace lo mismo con los datos de los clientes. En la actualidad, la acreditaci贸n SOC 2 est谩 gestionada por la Norma Internacional sobre Contratos de Seguros (ISAE).

Importancia

Los Controles del Sistema y de la Organizaci贸n (SOC por sus siglas en ingl茅s) son informes redactados por un auditor independiente a partir de su evaluaci贸n de la forma en que una empresa gestiona los datos confidenciales en sus procedimientos cotidianos. La acreditaci贸n SOC 2 certifica que una empresa ha hecho todo lo posible para reducir al m铆nimo el riesgo de que se produzcan filtraciones de datos de clientes y violaciones de la seguridad.

El informe de SOC 2 se basa en los cinco Criterios de Servicios Fiduciarios para el tratamiento de los datos de los clientes: seguridad, confidencialidad, integridad del tratamiento, privacidad y disponibilidad. Est谩 pensado para empresas que almacenan, tratan o transmiten cualquier tipo de datos de clientes, por ejemplo proveedores de software como servicio (SaaS) o de alojamiento de datos.

Principios de control interno y criterios de los servicios fiduciarios

La acreditaci贸n SOC 2 se basa en 17 Principios obligatoriosde Control Interno y cinco Criterios de Servicios Fiduciarios opcionales.

Los Principios de Control Interno garantizan que la empresa dispone de los procesos adecuados para mantener la seguridad de la informaci贸n. El acceso a la informaci贸n confidencial est谩 restringido 煤nicamente a los empleados pertinentes, los riesgos se minimizan mediante la formaci贸n continua, los sistemas se supervisan constantemente y los socios se eval煤an de forma sistem谩tica.

En resumen, una empresa que recibe la acreditaci贸n SOC 2:

馃敼 Forma a todos sus empleados en materia de seguridad de la informaci贸n

馃敼 Se asegura de que las empresas a las que contrata servicios tienen protocolos de seguridad de la informaci贸n similares

馃敼 Garantiza la protecci贸n de todos los datos de los clientes y realiza copias de seguridad

馃敼 Restringe el acceso f铆sico y digital a los datos y los elimina al final de la relaci贸n con el cliente

馃敼 Dispone de procedimientos para responder r谩pidamente a cualquier incidente

馃敼 Revisa peri贸dicamente los procedimientos de seguridad de la informaci贸n de manera interna y mediante una auditor铆a externa

Proceso de certificaci贸n

El informe SOC 2 lo elabora un auditor externo certificado, Eval煤a en qu茅 medida un proveedor cumple los Criterios de los Servicios Fiduciarios. La acreditaci贸n SOC 2 implica dos clases de informes: Tipo I y Tipo II. El Tipo I describe los sistemas de la empresa, y en el mismo el auditor confirma que su dise帽o cumple los Criterios de los Servicios Fiduciarios pertinentes. Un informe de Tipo II va m谩s all谩, ya que estudia la eficacia operativa de esos sistemas. Es decir, realiza pruebas para garantizar que el sistema funciona seg煤n lo declarado.

Los Criterios de los Servicios Fiduciarios opcionales son los componentes b谩sicos de la ciberseguridad

Seguridad

驴C贸mo se protege el sistema contra los ataques?

Disponibilidad

驴C贸mo se garantiza que el sistema funcione las 24 horas, los 7 d铆as de la semana?

Integridad del tratamiento

驴Funciona el sistema seg煤n lo previsto?

Confidencialidad

驴C贸mo se limita el acceso, almacenamiento y uso de informaci贸n confidencial?

Privacidad

驴C贸mo se protege la informaci贸n personal confidencial contra los accesos no autorizados?

Certificaci贸n ISO 27001

Historia

La norma ISO 27001 se public贸 originalmente en 2005. Se han realizado revisiones a lo largo de los a帽os y la 煤ltima versi贸n es de 2018. La norma est谩 elaborada y publicada por la Organizaci贸n Internacional de Normalizaci贸n (ISO).

Importancia

La ISO 27001 es una norma que establece los requisitos de un Sistema de Gesti贸n de la Seguridad de la Informaci贸n (SGSI). Este conjunto de requisitos determina el modo en que las empresas pueden gestionar la seguridad de sus activos de informaci贸n, como la propiedad intelectual, los datos de clientes o la informaci贸n de terceros.

Aunque es imposible obtener una protecci贸n absoluta contra todas las amenazas de ciberseguridad, la ISO 27001 est谩 reconocida a nivel internacional como una garant铆a de que una empresa aplica las normas de seguridad m谩s estrictas.

Qu茅 son los controles de seguridad y c贸mo se establecen

Un control de seguridad es cualquier medida destinada a mejorar la ciberseguridad de una empresa. La mayor铆a de las empresas utilizan varios tipos de controles: cortafuegos, actualizaciones autom谩ticas, contrase帽as, protocolos de gesti贸n de incidentes, etc.

El objetivo del SGSI es garantizar que los controles de seguridad de una empresa se gestionan eficazmente y cubren todo el espectro de posibles amenazas a la ciberseguridad.

El SGSI debe examinar sistem谩ticamente los riesgos de seguridad de la empresa, establecer controles de seguridad adicionales cuando sea necesario y avalar que los controles satisfacen las necesidades de la empresa de forma permanente.

Proceso de certificaci贸n

El primer paso para obtener el certificado ISO 27001 es adquirir la norma y estudiar los requisitos de seguridad de la informaci贸n que se establecen en la misma. Cuando se hace por primera vez, suele ser necesario a帽adir controles de seguridad o modificar los existentes para adecuarlos a los requisitos de la norma. Naturalmente, es preciso documentar todos los controles de seguridad.

Una vez que el SGSI cumple los requisitos de la norma, se invita a la entidad de certificaci贸n a realizar la auditor铆a. Se puede llevar a cabo una auditor铆a preliminar de fase 1 para comprobar si se han implantado los procesos y sistemas adecuados. Una auditor铆a de fase 2 es una auditor铆a formal y completa.

El auditor revisar谩 la documentaci贸n para asegurarse de que cumple los requisitos establecidos en la norma. Solo entonces puede emitir un certificado.

Adem谩s, el cumplimiento de la norma requiere revisiones de seguimiento continuas. La auditor铆a ISO 27001 se actualiza de forma peri贸dica, aunque el proceso tambi茅n puede realizarse internamente. Por ejemplo, una empresa puede realizar una auditor铆a interna cada a帽o, y solicitar una auditor铆a externa cada tres a帽os.

Auditor铆a externa

La ISO 27001 se basa en normas, que son largas listas de directrices de ciberseguridad a seguir. Algunas empresas optan por seguir estas directrices y pr谩cticas recomendadas sin llegar a solicitar la certificaci贸n, que no es obligatoria. Aunque esto es perfectamente aceptable, s贸lo una auditor铆a externa y la certificaci贸n resultante son una verdadera garant铆a para los clientes y socios de que las medidas descritas en la norma se siguen realmente en la organizaci贸n.

Muchas empresas y organizaciones para las que la seguridad es una prioridad, por ejemplo del sector sanitario o financiero, conf铆an en LeadDesk.

LeadDesk cuenta con las certificaciones SOC 2 e ISO 27001. Tambi茅n se ha sometido a la evaluaci贸n de tres de los Criterios de Servicios Fiduciarios m谩s relevantes: seguridad, disponibilidad y confidencialidad.

M谩s informaci贸n sobre LeadDesk::
sales@leaddesk.com
+44 203 8080 414

Resumen

Los centros de contacto son susceptibles de sufrir ataques de ciberseguridad. La raz贸n es que tratan y almacenan datos de clientes, un tipo de informaci贸n que resulta muy lucrativa para los ciberdelincuentes. Sin embargo, los ataques dirigidos no son el 煤nico riesgo, pues tambi茅n se han vuelto habituales los ataques 芦a ciegas禄, que ponen a prueba simult谩neamente las medidas de seguridad de miles de empresas.

Las empresas preocupadas por la ciberseguridad deber铆an asegurarse de que sus proveedores de software cuentan con la acreditaci贸n SOC 2 o la certificaci贸n ISO 27001. Son se帽ales generalmente aceptadas y auditadas externamente de que una organizaci贸n se toma en serio la ciberseguridad.

Al preparar una propuesta para un sistema de centro de contacto o una evaluaci贸n de proveedores, es necesario incluir estas certificaciones entre los criterios a tener en cuenta. Por ejemplo, puedes pedirle al proveedor que:

馃敼 Proporcione una descripci贸n general de sus controles de seguridad

馃敼 Enumere las certificaciones pertinentes relativas a dichos controles

馃敼 Indique otras auditor铆as o informes externos a los que se haya sometido

Descargar la gu铆a de ciberseguridad para centros de contacto: