📘 Opas: Tietoturvallisen asiakasviestintäkeskuksen ohjelmiston valinta
Asiakasviestintäkeskuksen ohjelmistolla on suuri vaikutus toiminnan turvallisuuteen. Tämä opas auttaa sinua ja tiimiäsi arvioimaan käytössä olevien asiakasviestintäkeskusten pilvijärjestelmien kyberturvallisuusominaisuuksia.
Lue, miten valitset organisaatiollesi aidosti tietoturvallisen asiakasviestintäkeskuksen ohjelmiston 👉
Lisätietoja saat alta ⬇️
Kyberturvallisuus on tärkeää kaikille organisaatioille, jotka käsittelevät asiakkaiden tietoja
Kyberturvallisuus on tärkeää kaikille organisaatioille, jotka käsittelevät asiakkaiden tietoja.
Kyberturvallisuutta on perinteisesti pidetty teknisenä haasteena, mutta inhimilliseenkin tekijään on ryhdytty kiinnittämään huomiota viimeisten kymmenen vuoden aikana. Kyberturvallisuus on kuitenkin laajamittainen aihe, joka koskee muitakin kuin IT-tiimiä. Kyberturvallisuuskeskuksen mukaan tärkeimmät kyberuhkiin vaikuttavat pitkän aikavälin ilmiöt ovat:
🔹 kansainvälinen taloudellinen ja poliittinen epävakaus
🔹 riittämätön tiedonvaihto organisaatioiden sisällä ja välillä
🔹 internetiin yhteydessä olevien laitteiden ja palveluiden haavoittuvuudet
🔹 monipuolisen kyberturvallisuusasiantuntemuksen puute
🔹 varastetut käyttäjätunnukset.
Kuten edellä olevasta luettelostakin voi päätellä, kyberturvallisuus on monitahoinen aihe. Kyberturvallisuusriskejä ja tietoturvaloukkausten mahdollisuuksia on nykyään niin paljon, ettei yksikään organisaatio ole täysin suojassa uhilta. Oikeiden järjestelmien, asianmukaisen koulutuksen ja sertifioitujen prosessien avulla hyökkäysten ja tietomurtojen vaikutukset toimintaan voidaan kuitenkin minimoida.
Mitä kyberturvallisuus tarkoittaa asiakasviestintäkeskuksen toiminnan kannalta?
Kyberturvallisuusriskien minimointi
Sertifioitu ja turvallinen asiakasviestintäkeskuksen ohjelmisto suojaa organisaatiotasi kyberhyökkäyksiltä ja tietojen menetyksiltä.
Tietoturvavaatimusten noudattaminen
Kun asiakasviestintäkeskuksen ohjelmistosi toimittaja pitää huolen lakisääteisistä vaatimuksista, sinun ei tarvitse huolehtia yleisestä tietosuoja-asetuksesta ja muista lakivaatimuksista.
Käyttöajan maksimointi
Luotettava asiakasviestintäkeskuksen ohjelmisto toimii aina yli 99,95 % ajasta.
Kyberturvallisuuden merkitys asiakasviestintäkeskuksissa
Sekä outbound-viestintäkeskuksissa että asiakaspalvelutiimeissä käsitellään henkilötietoja. Siksi ne ovat alttiita monenlaisille kyberturvallisuushyökkäyksille.
Useimmat nykypäivän kyberturvallisuushyökkäyksistä eivät kohdistu tiettyyn yritykseen. Yleensä hakkerit ja hakkeriryhmät heittävät verkkonsa mahdollisimman laajalle ja testaavat samaan aikaan tuhansien organisaatioiden tietoturvatoimia.
Euroopan talousalueella toimivia yrityksiä ja organisaatioita koskevat tiukat säädökset, joilla säädellään henkilötietojen käsittelyä. Yleisen tietosuoja-asetuksen (GDPR) nojalla voidaan määrätä kovia sakkoja organisaatioille, jotka eivät pidä huolta asiakkaidensa henkilötietojen turvallisuudesta tai jotka eivät toimi edellytetyllä tavalla tietoturvaloukkauksen sattuessa.
Pelkästään näistä syistä kyberturvallisuus on syytä asettaa tärkeysjärjestyksessä korkealle. Kyberturvallisuusriskien minimoimiseksi asiakaspalvelutiimien sekä outbound-myyntitiimien käyttämät työkalut ja prosessit – kuten asiakasviestintäkeskuksen ohjelmisto – täytyy arvioida kyberturvallisuuden näkökulmasta.
Käytössä olevalla asiakasviestintäkeskuksen ohjelmistolla on siis olennainen vaikutus toiminnan turvallisuuteen. Tämän oppaan tarkoitus on auttaa sinua ja tiimiäsi arvioimaan asiakasviestintäkeskuksen pilvijärjestelmien kyberturvallisuutta.
Tietoturvasertifioinnit ja ‑hyväksynnät
Jos haluat varmistaa, että myyjäorganisaatio ottaa kyberturvallisuuden vakavasti, tarkista, että organisaatiolla on asianmukainen sertifiointi.
SOC 2– ja ISO 27001 ‑sertifiointi ovat luotettavia merkkejä siitä, että organisaatio huolehtii kyberturvallisuudesta kattavasti ja järjestelmällisesti.
Etenkin valtion virastojen ja suurten yritysten tarjouspyynnöissä SOC 2- tai ISO 27001 ‑sertifiointi on yleensä vähimmäisvaatimuksensa.
Jos olet huolissasi asiakkaidesi tietojen tietoturvasta, käytä vain palveluita, joilla on vähintään jompikumpi näistä sertifioinneista.
Lue lisää oppaastaKyberturvallisuudesta täytyy pitää jatkuvaa huolta.
Siksi kyberturvallisuuden hallinnointi on jatkuva prosessi, joka täytyy dokumentoida huolella. Esimerkiksi tietoturvaan liittyvät riskiarvioinnit ja testit ovat olennainen osa prosessia.
SOC 2 ‑sertifiointi
Historia
SOC 2 ‑sertifiointi juontaa juurensa 1970-luvulla julkaistuihin auditointistandardeihin. Sen on kehittänyt American Institute of Certified Public Accountants (Yhdysvaltain sertifioitujen tilintarkastajien ammattijärjestö) ja siinä määritetään organisaation datan hallintaa koskevat kriteerit. SOC 1 koskee tilinpäätösten hallintaa. SOC 2 puolestaan koskee asiakasdataa. Nykyään SOC 2 ‑standardia hallinnoi International Standard on Assurance Engagement (ISAE).
Merkitys
Systems and Organization Controls (SOC) ‑raportit laatii riippumaton auditoija, joka arvioi, miten arkaluonteisia tietoja hallinnoidaan yrityksen päivittäisessä toiminnassa. SOC 2 ‑sertifiointi kertoo, että organisaatio on minimoinut asiakastietojen vuotamisen ja tietoturvaloukkausten riskin.
SOC 2 ‑raportissa huomioidaan viisi asiakastietojen käsittelyä ja luottamuspalveluita koskevaa vaatimusta (Trust Services Criteria): turvallisuus, luottamuksellisuus, loukkaamaton käsittely, yksityisyys ja saatavuus. Raportti on suunniteltu organisaatioille, jotka säilyttävät, käsittelevät tai siirtävät mitä tahansa asiakasdataa esim. SaaS-yrityksille ja palvelinpalveluyrityksille.
Sisäisen valvonnan ja Trust Services Criteria ‑vaatimusten periaatteet
SOC 2 ‑hyväksyntä perustuu 17 pakolliseen sisäisen valvonnan vaatimukseen sekä viiteen vapaaehtoiseen Trust Services Criteria ‑vaatimukseen.
Sisäisen valvonnan vaatimuksilla varmistetaan, että yritys suojaa tiedot asianmukaisilla menettelyillä. Luottamuksellisiin tietoihin saavat päästä käsiksi vain työntekijät, jotka tarvitsevat kyseisiä tietoja. Riskit täytyy minimoida jatkuvan koulutuksen kautta, järjestelmiä täytyy valvoa jatkuvasti, ja yhteistyökumppaneita täytyy arvioida johdonmukaisesti.
SOC 2 ‑sertifioitu yritys siis
🔹 kouluttaa kaikki työntekijänsä tietoisiksi tietoturvasta
🔹 varmistaa, että kaikilla sen palvelutoimittajilla on käytössä vastaavat tietoturvaprotokollat
🔹 pitää huolen kaiken asiakasdatan tietoturvasta ja varmuuskopioinnista
🔹 rajoittaa datan käyttöä fyysisesti ja digitaalisesti ja poistaa datan asiakassuhteen päätyttyä
🔹 noudattaa prosesseja, jotka mahdollistavat nopean reagoinnin tietoturvahäiriöihin
🔹 auditoi tietoturvakäytäntöjään säännöllisesti sekä sisäisesti että ulkoisen auditoijan avulla.
Sertifiointiprosessi
SOC 2 ‑raportin laatii sertifioitu ulkoinen auditoija. Auditoija arvioi, missä laajuudessa myyjä täyttää Trust Services Criteria ‑vaatimukset. SOC 2 ‑raportteja on kahta tyyppiä, Type I ja Type II. Type I ‑raportissa keskitytään yrityksen järjestelmiin, ja auditoija vahvistaa, että ne täyttävät asianmukaiset Trust Services Criteria ‑vaatimukset. Type II ‑raportissa perehdytään järjestelmien toimintatehoon. Testeillä varmistetaan esimerkiksi, että järjestelmät toimivat kuvatulla tavalla.
Vapaaehtoiset Trust Services Criteria ‑vaatimukset ovat kyberturvallisuuden perusta
Turvallisuus
Miten järjestelmä on suojattu hyökkäyksiltä?
Saatavuus
Miten järjestelmän ympärivuorokautinen toiminta varmistetaan?
Loukkaamaton käsittely
Toimiiko järjestelmä suunnitellusti?
Luottamuksellisuus
Miten luottamuksellisten tietojen tarkastelua, tallennusta ja käyttöä voidaan rajoittaa?
Yksityisyys
Miten arkaluonteiset henkilötiedot voidaan suojata valtuuttamattomalta käytöltä?
ISO 27001 ‑sertifiointi
Historia
ISO 27001 ‑standardi julkaistiin alunperin vuonna 2005. Sitä on muokattu vuosien saatossa, ja uusin versio on vuodelta 2018. Standardin on kehittänyt ja julkaissut kansainvälinen standardisoimisjärjestö International Organization for Standardization.
Merkitys
ISO 27001 ‑standardissa esitetään tietoturvan hallintajärjestelmiä koskevat vaatimukset. Siinä kerrotaan, miten organisaatiot voivat hallita immateriaaliomaisuuden, asiakasdatan, kolmansien osapuolten tietojen ja muiden tietoresurssiensa turvallisuutta.
Kaikilta kyberturvallisuusuhilta ei ole mahdollista suojautua täysin, mutta ISO 27001 ‑sertifiointia pidetään kansainvälisesti merkkinä siitä, että organisaatio noudattaa tiukkoja turvallisuusvaatimuksia.
Kyberturvallisuus käytännössä
Organisaation kyberturvallisuuteen vaikuttavat monet tekijät. Useimmat organisaatiot käyttävät useita menetelmiä, esimerkiksi palomuureja, automaattisia päivityksiä, salasanoja ja tietoturvapoikkeamien hallintaprotokollia.
Tietoturvan hallintajärjestelmien avulla pyritään varmistamaan, että organisaatioiden kyberturvallisuuteen vaikuttavia tekijöitä hallitaan tehokkaasti ja että ne kattavat kaikki mahdolliset kyberturvallisuusuhat.
Organisaation turvallisuusriskejä täytyy seurata aktiivisesti, ja uusia kyberturvallisuutta tukevia menetelmiä on otettava käyttöön tarpeen mukaan.
Sertifiointiprosessi
ISO 27001 ‑sertifiointiprosessin ensimmäinen vaihe on standardin hankkiminen ja siinä esitettyihin tietoturvavaatimuksiin perehtyminen. Yleensä tässä vaiheessa todetaan, että turvallisuusvalvontaa täytyy tehostaa ja mukauttaa vaatimusten täyttämiseksi. Kaikki turvatoimet täytyy tietysti dokumentoida.
Kun tietoturvan hallintajärjestelmä täyttää standardin vaatimukset, paikalle kutsutaan valtuutettu auditoija. Ensin voidaan suorittaa alustava vaiheen 1 auditointi, jossa varmistetaan, että asianmukaiset prosessit ja järjestelmät ovat käytössä. Vaiheen 2 auditointi on virallinen ja täydellinen auditointi.
Auditoija käy dokumentaation läpi ja varmistaa, että se täyttää standardin vaatimukset. Vasta sitten hän voi myöntää sertifioinnin.
Sertifioinnin säilyttäminen edellyttää säännöllisiä jatkotarkastuksia. ISO 27001 ‑tarkastusta päivitetään jatkuvasti, mutta auditointi voidaan suorittaa myös sisäisesti. Sisäinen tarkastaja voi esimerkiksi auditoida organisaation vuosittain, ja ulkoinen auditoija suorittaa tarkastuksen kolmen vuoden välein.
Ulkoinen auditoija
ISO 27001 ‑sertifiointi perustuu pitkään luetteloon noudatettavia kyberturvallisuusohjeita. Sertifiointi ei ole pakollinen, ja jotkin organisaatiot noudattavatkin ohjeita ja hyviä käytäntöjä hankkimatta sertifiointia. Vaikka tämä on täysin sallittua, vain ulkoinen auditointi ja sertifiointi takaavat, että organisaatio tosiaan noudattaa standardin vaatimuksia.
Turvallisuustietoiset organisaatiot luottavat LeadDeskiin. Asiakkaidemme joukossa on esimerkiksi terveydenhoito- ja talousalan organisaatioita.
LeadDeskillä on sekä SOC 2- että ISO 27001 ‑sertifiointi. LeadDesk on arvioitu myös kolmen olennaisimman Trust Services Criteria ‑vaatimuksen – turvallisuuden, saatavuuden ja luottamuksellisuuden – osalta.
Lisätietoja LeadDeskistä:
sales@leaddesk.com
+44 203 8080 414
Yhteenveto
Asiakasviestintäkeskukset ovat alttiita kyberhyökkäyksille. Niissä käsitellään ja säilytetään henkilötietoja, jotka houkuttelevat kyberrikollisia. Kohdennetut hyökkäykset eivät kuitenkaan ole ainoa riski, sillä nykyään ovat yleisiä myös hyökkäykset, joissa hyödynnetään samalla kertaa tuhansien yritysten tietoturva-aukkoja.
Kyberturvallisuustietoisten organisaatioiden kannattaa varmistaa, että niiden ohjelmistotoimittajilla on SOC 2 ‑hyväksyntä ja/tai ISO 27001 ‑sertifiointi. Ne osoittavat, että organisaatio ottaa kyberturvallisuuden vakavasti.
Kun pyydät tietoja tai tarjousta asiakasviestintäjärjestelmästä tai arvioit eri myyjien järjestelmiä, muista siis ottaa huomioon myös nämä sertifioinnit. Pyydä myyjää esimerkiksi
🔹 esittämään yleiskatsaus yrityksen turvamenetelmistä
🔹 listaamaan menetelmiin liittyvät sertifioinnit
🔹 kertomaan, mitä muita ulkoisia tarkastuksia on suoritettu ja raportteja laadittu.
Lataa asiakasviestintäkeskusten kyberturvallisuusopas:
