ASIAKASVIESTINT√ĄKESKUKSEN KYBERTURVALLISUUS

ūüďė Opas: Tietoturvallisen asiakasviestint√§keskuksen ohjelmiston valinta

Asiakasviestintäkeskuksen ohjelmistolla on suuri vaikutus toiminnan turvallisuuteen. Tämä opas auttaa sinua ja tiimiäsi arvioimaan käytössä olevien asiakasviestintäkeskusten pilvijärjestelmien kyberturvallisuusominaisuuksia.

Lue, miten valitset organisaatiollesi aidosti tietoturvallisen asiakasviestint√§keskuksen ohjelmiston ūüĎČ

Lis√§tietoja saat alta ‚¨áÔłŹ

Rekisteröitymällä vahvistat hyväksyväsi sen, että LeadDesk tallentaa ja käsittelee henkilötietojasi tietosuojakäytännön mukaisesti.

Kyberturvallisuus on tärkeää kaikille organisaatioille, jotka käsittelevät asiakkaiden tietoja

Kyberturvallisuus on tärkeää kaikille organisaatioille, jotka käsittelevät asiakkaiden tietoja.

Kyberturvallisuutta on perinteisesti pidetty teknisenä haasteena, mutta inhimilliseenkin tekijään on ryhdytty kiinnittämään huomiota viimeisten kymmenen vuoden aikana. Kyberturvallisuus on kuitenkin laajamittainen aihe, joka koskee muitakin kuin IT-tiimiä. Kyberturvallisuuskeskuksen mukaan tärkeimmät kyberuhkiin vaikuttavat pitkän aikavälin ilmiöt ovat:

ūüĒĻ kansainv√§linen taloudellinen ja poliittinen ep√§vakaus

ūüĒĻ riitt√§m√§t√∂n tiedonvaihto organisaatioiden sis√§ll√§ ja v√§lill√§

ūüĒĻ internetiin yhteydess√§ olevien laitteiden ja palveluiden haavoittuvuudet

ūüĒĻ monipuolisen kyberturvallisuusasiantuntemuksen puute

ūüĒĻ varastetut k√§ytt√§j√§tunnukset.

Kuten edellä olevasta luettelostakin voi päätellä, kyberturvallisuus on monitahoinen aihe. Kyberturvallisuusriskejä ja tietoturvaloukkausten mahdollisuuksia on nykyään niin paljon, ettei yksikään organisaatio ole täysin suojassa uhilta. Oikeiden järjestelmien, asianmukaisen koulutuksen ja sertifioitujen prosessien avulla hyökkäysten ja tietomurtojen vaikutukset toimintaan voidaan kuitenkin minimoida.

Mitä kyberturvallisuus tarkoittaa asiakasviestintäkeskuksen toiminnan kannalta?

Kyberturvallisuusriskien minimointi

Sertifioitu ja turvallinen asiakasviestintäkeskuksen ohjelmisto suojaa organisaatiotasi kyberhyökkäyksiltä ja tietojen menetyksiltä.

Tietoturvavaatimusten noudattaminen

Kun asiakasviestintäkeskuksen ohjelmistosi toimittaja pitää huolen lakisääteisistä vaatimuksista, sinun ei tarvitse huolehtia yleisestä tietosuoja-asetuksesta ja muista lakivaatimuksista.

Käyttöajan maksimointi

Luotettava asiakasviestintäkeskuksen ohjelmisto toimii aina yli 99,95 % ajasta.

Kyberturvallisuuden merkitys asiakasviestintäkeskuksissa

Sekä outbound-viestintäkeskuksissa että asiakaspalvelutiimeissä käsitellään henkilötietoja. Siksi ne ovat alttiita monenlaisille kyberturvallisuushyökkäyksille.

Useimmat nykypäivän kyberturvallisuushyökkäyksistä eivät kohdistu tiettyyn yritykseen. Yleensä hakkerit ja hakkeriryhmät heittävät verkkonsa mahdollisimman laajalle ja testaavat samaan aikaan tuhansien organisaatioiden tietoturvatoimia.

Euroopan talousalueella toimivia yrityksiä ja organisaatioita koskevat tiukat säädökset, joilla säädellään henkilötietojen käsittelyä. Yleisen tietosuoja-asetuksen (GDPR) nojalla voidaan määrätä kovia sakkoja organisaatioille, jotka eivät pidä huolta asiakkaidensa henkilötietojen turvallisuudesta tai jotka eivät toimi edellytetyllä tavalla tietoturvaloukkauksen sattuessa.

Pelk√§st√§√§n n√§ist√§ syist√§ kyberturvallisuus on syyt√§ asettaa t√§rkeysj√§rjestyksess√§ korkealle. Kyberturvallisuusriskien minimoimiseksi asiakaspalvelutiimien sek√§ outbound-myyntitiimien k√§ytt√§m√§t ty√∂kalut ja prosessit ‚Äď kuten asiakasviestint√§keskuksen ohjelmisto ‚Äď t√§ytyy arvioida kyberturvallisuuden n√§k√∂kulmasta.

Käytössä olevalla asiakasviestintäkeskuksen ohjelmistolla on siis olennainen vaikutus toiminnan turvallisuuteen. Tämän oppaan tarkoitus on auttaa sinua ja tiimiäsi arvioimaan asiakasviestintäkeskuksen pilvijärjestelmien kyberturvallisuutta.

Tietoturvasertifioinnit ja ‚ÄĎhyv√§ksynn√§t

Jos haluat varmistaa, että myyjäorganisaatio ottaa kyberturvallisuuden vakavasti, tarkista, että organisaatiolla on asianmukainen sertifiointi.

SOC 2– ja ISO 27001 ‚ÄĎsertifiointi ovat luotettavia merkkej√§ siit√§, ett√§ organisaatio huolehtii kyberturvallisuudesta kattavasti ja j√§rjestelm√§llisesti.

Etenkin valtion virastojen ja suurten yritysten tarjouspyynn√∂iss√§ SOC 2- tai ISO 27001 ‚ÄĎsertifiointi on yleens√§ v√§himm√§isvaatimuksensa.

Jos olet huolissasi asiakkaidesi tietojen tietoturvasta, käytä vain palveluita, joilla on vähintään jompikumpi näistä sertifioinneista.

Lue lisää oppaasta

Kyberturvallisuudesta täytyy pitää jatkuvaa huolta.

Siksi kyberturvallisuuden hallinnointi on jatkuva prosessi, joka täytyy dokumentoida huolella. Esimerkiksi tietoturvaan liittyvät riskiarvioinnit ja testit ovat olennainen osa prosessia.

SOC 2 ‚ÄĎsertifiointi

Historia

SOC 2 ‚ÄĎsertifiointi juontaa juurensa 1970-luvulla julkaistuihin auditointistandardeihin. Sen on kehitt√§nyt American Institute of Certified Public Accountants (Yhdysvaltain sertifioitujen tilintarkastajien ammattij√§rjest√∂) ja siin√§ m√§√§ritet√§√§n organisaation datan hallintaa koskevat kriteerit. SOC 1 koskee tilinp√§√§t√∂sten hallintaa. SOC 2 puolestaan koskee asiakasdataa. Nyky√§√§n SOC 2 ‚ÄĎstandardia hallinnoi International Standard on Assurance Engagement (ISAE).

Merkitys

Systems and Organization Controls (SOC) ‚ÄĎraportit laatii riippumaton auditoija, joka arvioi, miten arkaluonteisia tietoja hallinnoidaan yrityksen p√§ivitt√§isess√§ toiminnassa. SOC 2 ‚ÄĎsertifiointi kertoo, ett√§ organisaatio on minimoinut asiakastietojen vuotamisen ja tietoturvaloukkausten riskin.

SOC 2 ‚ÄĎraportissa huomioidaan viisi asiakastietojen k√§sittely√§ ja luottamuspalveluita koskevaa vaatimusta (Trust Services Criteria): turvallisuus, luottamuksellisuus, loukkaamaton k√§sittely, yksityisyys ja saatavuus. Raportti on suunniteltu organisaatioille, jotka s√§ilytt√§v√§t, k√§sittelev√§t tai siirt√§v√§t mit√§ tahansa asiakasdataa esim. SaaS-yrityksille ja palvelinpalveluyrityksille.

Sis√§isen valvonnan ja Trust Services Criteria ‚ÄĎvaatimusten periaatteet

SOC 2 ‚ÄĎhyv√§ksynt√§ perustuu 17¬†pakolliseen sis√§isen valvonnan vaatimukseen sek√§ viiteen vapaaehtoiseen Trust Services Criteria ‚ÄĎvaatimukseen.

Sisäisen valvonnan vaatimuksilla varmistetaan, että yritys suojaa tiedot asianmukaisilla menettelyillä. Luottamuksellisiin tietoihin saavat päästä käsiksi vain työntekijät, jotka tarvitsevat kyseisiä tietoja. Riskit täytyy minimoida jatkuvan koulutuksen kautta, järjestelmiä täytyy valvoa jatkuvasti, ja yhteistyökumppaneita täytyy arvioida johdonmukaisesti.

SOC 2 ‚ÄĎsertifioitu yritys siis

ūüĒĻ kouluttaa kaikki ty√∂ntekij√§ns√§ tietoisiksi tietoturvasta

ūüĒĻ varmistaa, ett√§ kaikilla sen palvelutoimittajilla on k√§yt√∂ss√§ vastaavat tietoturvaprotokollat

ūüĒĻ pit√§√§ huolen kaiken asiakasdatan tietoturvasta ja varmuuskopioinnista

ūüĒĻ rajoittaa datan k√§ytt√∂√§ fyysisesti ja digitaalisesti ja poistaa datan asiakassuhteen p√§√§tytty√§

ūüĒĻ noudattaa prosesseja, jotka mahdollistavat nopean reagoinnin tietoturvah√§iri√∂ihin

ūüĒĻ auditoi tietoturvak√§yt√§nt√∂j√§√§n s√§√§nn√∂llisesti sek√§ sis√§isesti ett√§ ulkoisen auditoijan avulla.

Sertifiointiprosessi

SOC 2 ‚ÄĎraportin laatii sertifioitu ulkoinen auditoija. Auditoija arvioi, miss√§ laajuudessa myyj√§ t√§ytt√§√§ Trust Services Criteria ‚ÄĎvaatimukset. SOC 2 ‚ÄĎraportteja on kahta tyyppi√§, Type I ja Type II. Type I ‚ÄĎraportissa keskityt√§√§n yrityksen j√§rjestelmiin, ja auditoija vahvistaa, ett√§ ne t√§ytt√§v√§t asianmukaiset Trust Services Criteria ‚ÄĎvaatimukset. Type II ‚ÄĎraportissa perehdyt√§√§n j√§rjestelmien toimintatehoon. Testeill√§ varmistetaan esimerkiksi, ett√§ j√§rjestelm√§t toimivat kuvatulla tavalla.

Vapaaehtoiset Trust Services Criteria ‚ÄĎvaatimukset ovat kyberturvallisuuden perusta

Turvallisuus

Miten järjestelmä on suojattu hyökkäyksiltä?

Saatavuus

Miten järjestelmän ympärivuorokautinen toiminta varmistetaan?

Loukkaamaton käsittely

Toimiiko järjestelmä suunnitellusti?

Luottamuksellisuus

Miten luottamuksellisten tietojen tarkastelua, tallennusta ja käyttöä voidaan rajoittaa?

Yksityisyys

Miten arkaluonteiset henkilötiedot voidaan suojata valtuuttamattomalta käytöltä?

ISO 27001 ‚ÄĎsertifiointi

Historia

ISO 27001 ‚ÄĎstandardi julkaistiin alunperin vuonna 2005. Sit√§ on muokattu vuosien saatossa, ja uusin versio on vuodelta 2018. Standardin on kehitt√§nyt ja julkaissut kansainv√§linen standardisoimisj√§rjest√∂ International Organization for Standardization.

Merkitys

ISO 27001 ‚ÄĎstandardissa esitet√§√§n tietoturvan hallintaj√§rjestelmi√§ koskevat vaatimukset. Siin√§ kerrotaan, miten organisaatiot voivat hallita immateriaaliomaisuuden, asiakasdatan, kolmansien osapuolten tietojen ja muiden tietoresurssiensa turvallisuutta.

Kaikilta kyberturvallisuusuhilta ei ole mahdollista suojautua t√§ysin, mutta ISO 27001 ‚ÄĎsertifiointia pidet√§√§n kansainv√§lisesti merkkin√§ siit√§, ett√§ organisaatio noudattaa tiukkoja turvallisuusvaatimuksia.

Kyberturvallisuus käytännössä

Organisaation kyberturvallisuuteen vaikuttavat monet tekijät. Useimmat organisaatiot käyttävät useita menetelmiä, esimerkiksi palomuureja, automaattisia päivityksiä, salasanoja ja tietoturvapoikkeamien hallintaprotokollia.

Tietoturvan hallintajärjestelmien avulla pyritään varmistamaan, että organisaatioiden kyberturvallisuuteen vaikuttavia tekijöitä hallitaan tehokkaasti ja että ne kattavat kaikki mahdolliset kyberturvallisuusuhat.

Organisaation turvallisuusriskejä täytyy seurata aktiivisesti, ja uusia kyberturvallisuutta tukevia menetelmiä on otettava käyttöön tarpeen mukaan.

Sertifiointiprosessi

ISO 27001 ‚ÄĎsertifiointiprosessin ensimm√§inen vaihe on standardin hankkiminen ja siin√§ esitettyihin tietoturvavaatimuksiin perehtyminen. Yleens√§ t√§ss√§ vaiheessa todetaan, ett√§ turvallisuusvalvontaa t√§ytyy tehostaa ja mukauttaa vaatimusten t√§ytt√§miseksi. Kaikki turvatoimet t√§ytyy tietysti dokumentoida.

Kun tietoturvan hallintajärjestelmä täyttää standardin vaatimukset, paikalle kutsutaan valtuutettu auditoija. Ensin voidaan suorittaa alustava vaiheen 1 auditointi, jossa varmistetaan, että asianmukaiset prosessit ja järjestelmät ovat käytössä. Vaiheen 2 auditointi on virallinen ja täydellinen auditointi.

Auditoija käy dokumentaation läpi ja varmistaa, että se täyttää standardin vaatimukset. Vasta sitten hän voi myöntää sertifioinnin.

Sertifioinnin s√§ilytt√§minen edellytt√§√§ s√§√§nn√∂llisi√§ jatkotarkastuksia. ISO 27001 ‚ÄĎtarkastusta p√§ivitet√§√§n jatkuvasti, mutta auditointi voidaan suorittaa my√∂s sis√§isesti. Sis√§inen tarkastaja voi esimerkiksi auditoida organisaation vuosittain, ja ulkoinen auditoija suorittaa tarkastuksen kolmen vuoden v√§lein.

Ulkoinen auditoija

ISO 27001 ‚ÄĎsertifiointi perustuu pitk√§√§n luetteloon noudatettavia kyberturvallisuusohjeita. Sertifiointi ei ole pakollinen, ja jotkin organisaatiot noudattavatkin ohjeita ja hyvi√§ k√§yt√§nt√∂j√§ hankkimatta sertifiointia. Vaikka t√§m√§ on t√§ysin sallittua, vain ulkoinen auditointi ja sertifiointi takaavat, ett√§ organisaatio tosiaan noudattaa standardin vaatimuksia.

Turvallisuustietoiset organisaatiot luottavat LeadDeskiin. Asiakkaidemme joukossa on esimerkiksi terveydenhoito- ja talousalan organisaatioita.

LeadDeskill√§ on sek√§ SOC 2- ett√§ ISO 27001 ‚ÄĎsertifiointi. LeadDesk on arvioitu my√∂s kolmen olennaisimman Trust Services Criteria ‚ÄĎvaatimuksen ‚Äď turvallisuuden, saatavuuden ja luottamuksellisuuden ‚Äď osalta.

Lisätietoja LeadDeskistä:
sales@leaddesk.com
+44 203 8080 414

Yhteenveto

Asiakasviestintäkeskukset ovat alttiita kyberhyökkäyksille. Niissä käsitellään ja säilytetään henkilötietoja, jotka houkuttelevat kyberrikollisia. Kohdennetut hyökkäykset eivät kuitenkaan ole ainoa riski, sillä nykyään ovat yleisiä myös hyökkäykset, joissa hyödynnetään samalla kertaa tuhansien yritysten tietoturva-aukkoja.

Kyberturvallisuustietoisten organisaatioiden kannattaa varmistaa, ett√§ niiden ohjelmistotoimittajilla on SOC 2 ‚ÄĎhyv√§ksynt√§ ja/tai ISO 27001 ‚ÄĎsertifiointi. Ne osoittavat, ett√§ organisaatio ottaa kyberturvallisuuden vakavasti.

Kun pyydät tietoja tai tarjousta asiakasviestintäjärjestelmästä tai arvioit eri myyjien järjestelmiä, muista siis ottaa huomioon myös nämä sertifioinnit. Pyydä myyjää esimerkiksi

ūüĒĻ esitt√§m√§√§n yleiskatsaus yrityksen turvamenetelmist√§

ūüĒĻ listaamaan menetelmiin liittyv√§t sertifioinnit

ūüĒĻ kertomaan, mit√§ muita ulkoisia tarkastuksia on suoritettu ja raportteja laadittu.

Lataa asiakasviestintäkeskusten kyberturvallisuusopas:

Rekisteröitymällä vahvistat hyväksyväsi sen, että LeadDesk tallentaa ja käsittelee henkilötietojasi tietosuojakäytännön mukaisesti.