📘 De gids: Veilige contactcentersoftware kiezen

Cybersecurity is cruciaal voor iedere organisatie die klantgegevens verwerkt.

Cybersecurity is cruciaal voor iedere organisatie die klantgegevens verwerkt.

Cybersecurity wordt van oudsher gezien als een technische uitdaging, maar in de afgelopen tien jaar is er meer erkenning voor de menselijke factor ontstaan. Cybersecurity is echter een breed onderwerp dat veel verder gaat dan het ICT-team. Volgens het Finse National Cyber Security Centre zijn de belangrijkste langetermijnfenomenen die invloed hebben op digitale dreigingen:

🔹 Internationale instabiliteit op economisch en politiek vlak;

🔹 Onvoldoende uitwisseling van informatie binnen en tussen organisaties;

🔹 Onopgeloste kwetsbaarheden in apparaten en services die met internet zijn verbonden;

🔹 Gebrek aan gediversifieerde expertise in cybersecurity;

🔹 Gestolen toegangsrechten en aanmeldgegevens.

Zoals de bovenstaande lijst duidelijk maakt, is cybersecurity is een complex onderwerp. Vanwege de enorme hoeveelheid risico’s en mogelijke schendingen van de cybersecurity die vandaag de dag actueel zijn, is geen enkele organisatie 100% beveiligd tegen alle bedreigingen. Maar met de juiste systemen, de juiste scholing en gecertificeerde processen kunt u de impact van aanvallen op en schendingen van uw bedrijf minimaliseren.

Het belang van cybersecurity in contactcenters

Vanwege de aard van hun activiteiten verwerken zowel outbound contactcenters als klantenservices persoonlijke gegevens. Deze organisaties zijn daarom het potentiële doelwit voor allerlei vormen van digitale aanvallen.

Bovendien zijn de meeste digitale aanvallen tegenwoordig niet gemaakt voor één specifiek bedrijf. Meestal werpen hackergroepen en individuele hackers hun netten zo breed mogelijk uit door de beveiligingsmaatregelen van duizenden organisaties tegelijkertijd op de proef te stellen.

Voor bedrijven en organisaties die in de Europese Economische Ruimte handelen, is strikte regelgeving van kracht voor de omgang en verwerking van persoonlijke gegevens. De Algemene verordening gegevensbescherming (AVG) legt hoge boetes op aan organisaties die de persoonlijke gegevens van hun klanten niet veilig houden of niet genoeg doen wanneer er sprake is van schendingen van beveiliging.

Alleen al om die drie redenen, zou cybersecurity hoog op uw agenda moeten staan. Om de risico’s voor cybersecurity te minimaliseren, moeten de tools, zoals de contactcentersoftware, en de processen die klantenservices en outbound sales-teams gebruiken, worden geëvalueerd vanuit het standpunt van cybersecurity.

De contactcentersoftware die u kiest speelt een cruciale rol in het veilig houden van uw bedrijf. Deze gids is dan ook bedoeld om u en uw team (zoals het ICT-team) te helpen te bepalen in hoeverre uw contactcentersystemen in de cloud klaar zijn voor cybersecurity.

SOC 2-accreditatie

Achtergrond

De oorsprong van SOC 2 gaat helemaal terug naar de controlestandaarden die in de jaren zeventig zijn uitgebracht. Het is opgezet door het American Institute of Certified Public Accountants en definieert de criteria voor het beheer van de gegevens van een organisatie. SOC 1 bepaalt de controles van de jaarrekeningen. SOC 2 doet hetzelfde voor klantgegevens. Tegenwoordig wordt de SOC 2-standaard beheerd door de International Standard on Assurance Engagement (ISAE).

Belang

Systems and Organization Controls (SOC) zijn rapporten die door een onafhankelijke auditor worden geschreven op basis van diens evaluatie van de manier waarop een bedrijf vertrouwelijke gegevens in hun alledaagse procedures beheert. SOC 2 certificeert dat een organisatie de kans op lekken van klantgegevens en schending van gegevensbeveiliging tot een minimum heeft beperkt.

Het SOC 2-rapport is gebaseerd op de vijf Trust Services Criteria voor het verwerken van klantgegevens: Beveiliging, vertrouwelijkheid, integriteit van verwerking, privacy en beschikbaarheid. Ze zijn opgezet voor organisaties die klantgegevens opslaan, verwerken of verzenden, zoals SaaS-bedrijven of datahosts.

Principes van interne controle en Trust Services Criteria

De SOC 2-accreditatie wordt gebaseerd op 17 verplichte principes van interne controle en vijf optionele Trust Service Criteria.

De principes van interne controle waarborgen dat het bedrijf de juiste processen hanteert om gegevens veilig te houden. Toegang tot vertrouwelijke informatie wordt beperkt tot alleen de relevante werknemers, risico’s worden geminimaliseerd door continue scholing, systemen worden continu bewaakt en partners worden steeds weer opnieuw geëvalueerd.

Kortom, een bedrijf dat de SOC 2-accreditatie krijgt:

🔹 Schoolt al diens werknemers op het gebied van gegevensbeveiliging;

🔹 Zorgt ervoor dat iedereen bij wie het bedrijf services aanschaft, vergelijkbare protocollen inzake gegevensbeveiliging hanteert;

🔹 Zorgt dat alle klantgegevens veilig zijn en dat er een back-up van is gemaakt;

🔹 Beperkt fysieke en digitale toegang tot die gegevens en verwijdert de gegevens aan het einde van een klantrelatie;

🔹 Hanteert procedures om snel op incidenten te kunnen reageren;

🔹 Voert regelmatig interne audits uit van gegevensbeveiliging, met een externe audit.

Certificeringsproces

Het SOC 2-rapport wordt gecontroleerd door een gecertificeerde, externe auditor. Hij of zij beoordeelt de mate waarin een leverancier voldoet aan de Trust Services Criteria. De SOC 2 kent twee typen rapporten: Type I en Type II. Type I beschrijft de systemen van het bedrijf en de auditor bevestigt dat de opzet van de systemen voldoet aan de relevante Trust Services Criteria. Een Type II-rapport gaat verder en bestudeert de operationele effectiviteit van deze systemen, door te toetsen of het systeem werkt zoals verklaard.

ISO 27001-certificering

Achtergrond

De ISO 27001-norm werd voor het eerst in 2005 gepubliceerd. Sindsdien zijn er revisies uitgevoerd en de nieuwste versie dateert uit 2018. De norm is ontwikkeld en gepubliceerd door de Internationale Organisatie voor Standaardisatie.

Belang

De ISO 27001 is een norm voor het beheer van informatiebeveiliging en bepaalt de vereisten voor een Information Security Management System (ISMS). De reeks vereisten bepaalt hoe organisaties de beveiliging van hun informatie-assets kunnen beheren, zoals intellectueel eigendom, klantgegevens of gegevens van externe partijen.

Absolute bescherming tegen alle digitale bedreigingen is onmogelijk, maar ISO 27001-certificering is een internationaal erkend signaal voor een organisatie die de hoogst mogelijke normen voor beveiliging volgt.

Beveiligingsmaatregelen en hoe ze tot stand komen

Een beveiligingsmaatregel is bedoeld om de cybersecurity van organisaties te vergroten. De meeste organisaties passen diverse maatregelen toe: firewalls, automatische updates, wachtwoorden, protocollen voor incidentenbeheer, enzovoort.

Het doel van het ISMS is om ervoor te zorgen dat de beveiligingsmaatregelen van een organisatie op effectieve wijze worden beheerd én dat ze het gehele spectrum van mogelijke digitale bedreigingen dekken.

Het ISMS moet de beveiligingsrisico’s van de organisatie systematisch onderzoeken, zo nodig extra maatregelen nemen en ervoor zorgen dat de maatregelen altijd blijven voldoen aan de behoeften van de organisatie.

Certificeringsproces

De eerste stap in het verkrijgen van de ISO 27001-certificering is om de norm aan te schaffen en de vereisten die in de norm zijn uiteengezet, te bestuderen. Als dit voor het eerst gebeurt, moeten er vaak meer beveiligingsmaatregelen worden toegevoegd of moeten ze worden aangepast om te voldoen aan de vereisten van de norm. Uiteraard dient iedere beveiligingsmaatregel te worden gedocumenteerd.

Zodra het ISMS voldoet aan de vereisten van de norm, wordt er een geaccrediteerde instelling uitgenodigd om de audit uit te voeren. Er kan een preliminaire fase 1-audit worden uitgevoerd om te kijken of de juiste processen en systemen zijn geïmplementeerd. De fase 2-audit is een formele en volledige audit.

De auditor controleert de documentatie om er zeker van te zijn dat deze voldoet aan de vereisten die in de norm zijn gesteld. Alleen dan kan de auditor een certificaat toewijzen.

Om te voldoen aan de norm, zijn doorlopende follow-upcontroles verplicht. De ISO 27001-audit wordt regelmatig bijgewerkt, al kan de audit ook intern worden uitgevoerd. Een interne auditor kan de organisatie jaarlijks controleren. Een externe auditor wordt om de drie jaar uitgenodigd.

Externe auditor

ISO 27001 is gebaseerd op standaarden, lange lijsten van richtlijnen voor cybersecurity die moeten worden opgevolgd. Sommige organisaties kiezen ervoor de richtlijnen en best practices op te volgen zonder te worden gecertificeerd. Certificering is niet verplicht. Dit is uiteraard acceptabel, maar alleen een externe audit en de daaruit voortkomende certificering zijn een werkelijke garantie voor klanten en partners dat de maatregelen die in de norm uiteengezet zijn, daadwerkelijk in de organisatie worden opgevolgd.

Samenvatting

Contactcenters zijn potentiële doelwitten voor cybersecurity-aanvallen. Ze verwerken klantgegevens en slaan deze op, en deze gegevens zijn extreem lucratief voor cybercriminelen. Gerichte aanvallen zijn echter niet het enige risico. Blinde aanvallen buiten de beveiligingshiaten bij duizenden bedrijven tegelijkertijd komen tegenwoordig vaak voor.

Organisaties die zich bewust zijn van cybersecurity dienen te controleren of hun softwareproviders SOC 2-geaccrediteerd en/of ISO 27001-gecertificeerd zijn. Deze worden breed geaccepteerd en extern geauditeerd en duiden erop dat een organisatie cybersecurity serieus neemt.

As u een offerte-aanvraag voor een contactcentersysteem opstelt of wanneer u systemen van verschillende leveranciers evalueert, is het goed deze certificeringen toe te voegen aan uw evaluatiecriteria. Vraag de leverancier bijvoorbeeld om:

🔹 Een overzicht van diens beveiligingsmaatregelen;

🔹 Een lijst van de relevante certificeringen met betrekking tot die maatregelen;

🔹 Een lijst van eventuele andere, externe audits of rapporten die men heeft laten uitvoeren.