📘 Guiden: Slik velger dere en sikker programvare til kontaktsenteret
Valget av programvare til kontaktsenteret er avgjørende for sikker drift. Denne guiden er laget for å hjelpe deg og teamet ditt med å vurdere nettsikkerhetsberedskapen i de skybaserte kontaktsentersystemene som er i bruk.
Lær hvordan dere velger en helt sikker kontaktsenterprogramvare til bedriften 👉
Les mer nedenfor ⬇️
Nettsikkerheten er helt avgjørende for alle organisasjoner som behandler kundeopplysninger.
Nettsikkerheten er helt avgjørende for alle organisasjoner som behandler kundeopplysninger.
Nettsikkerhet har tradisjonelt vært sett på som en teknisk utfordring, selv om den menneskelige faktoren har fått større oppmerksomhet de siste ti årene. Nettsikkerhet er imidlertid et stort tema som omfatter mye mer enn IT-teamet. Ifølge Det finske nasjonale senteret for nettsikkerhet er de viktigste fenomenene som på lang sikt påvirker nettsikkerheten:
🔹 internasjonal økonomisk og politisk ustabilitet
🔹 manglende informasjonsdeling i og mellom organisasjonene
🔹 ikke-utbedrede sårbarheter i enheter og tjenester som er koblet til internett
🔹 manglende diversifisert ekspertise på nettsikkerhet
🔹 stjålne adgangsrettigheter og innloggingsopplysninger.
Som listen viser er nettsikkerhet et komplekst tema. I lys av den enorme mengden av trusler og potensielle brudd vi i dag opplever mot nettsikkerheten, kan ingen organisasjoner være 100 % trygge. Med riktige systemer, god opplæring og sertifiserte prosesser er det imidlertid mulig å minimere effektene av angrep og brudd.
Dette betyr nettsikkerheten for driften av kontaktsenteret
Minimer risikoen knyttet til nettsikkerhet
Med en sertifisert og sikker programvare for kontaktsenteret er dere beskyttet mot nettangrep og tap av data.
Etterlev alle sikkerhetskrav
Dere slipper å bekymre dere over krav fra EU, GDPR og andre juridiske krav selv, fordi kontaktsenterleverandøren tar seg av det juridiske.
Unngå nedetid
En pålitelig kontaktsenterleverandør bør sørge for at oppetid til enhver tid er >99,95 %.
Nettsikkerhetens betydning for kontaktsenteret
Både utgående kontaktsentre og kundeservice-team behandler personopplysninger. Dette gjør dem til potensielle mål for nettangrep.
De fleste av dagens nettangrep er faktisk ikke rettet mot et spesifikt selskap. Det vanlige er at både grupper og individuelle hackere angriper så bredt som mulig ved å teste sikkerheten hos flere tusen organisasjoner samtidig.
For bedrifter og organisasjoner med virksomhet innenfor EØS er behandlingen av personopplysninger underlagt strenge lovkrav. Personverndirektivet (GDPR) gir store bøter til organisasjoner som ikke oppbevarer kundenes personopplysninger på en sikker måte, eller som ikke håndterer eventuelle brudd korrekt.
Disse tre faktorene er i seg selv grunn nok til å sette nettsikkerheten høyt på agendaen. For at risikoen skal bli lavest mulig, må verktøyene – for eksempel kontaktsenter-programvaren – og prosessene som brukes av kundeservice- og salgsteamene gjennomgås med tanke på nettsikkerhet.
Siden programvaren dere velger til kontaktsenteret er helt avgjørende for sikker drift, er denne guiden laget for å gjøre det enklere for deg og teamet ditt (f.eks. IT-avdelingen) å vurdere nettsikkerheten i kontaktsenter-systemene.
Sikkerhetsakkrediteringer og sertifikater
Den beste måten å kontrollere at en leverandør tar nettsikkerheten på alvor på, er å sjekke at de er sertifisert.
Akkrediteringen SOC 2 og ISO 27001-sertifiseringen er to av de beste bekreftelsene på at en organisasjon har en systematisk og bred tilnærming til nettsikkerhet.
Myndigheter og større selskaper setter gjerne enten SOC 2-akkreditering eller ISO 27001-sertifisering som minimumskrav i sine anbudsinnbydelser.
Hvis du er bekymret for kundenes personopplysninger, bør du utelukkende velge tjenester som har minst én av disse sertifiseringene.
Lær mer i guidenNettsikkerhet krever kontinuerlig oppmerksomhet
Arbeidet med nettsikkerhet bør derfor være en kontinuerlig prosess. Prosessen bør dokumenteres tydelig og blant annet omfatte regelmessige risikovurderinger og tester.
SOC 2-akkreditering
Historikk
SOC 2 har røtter helt tilbake til revisjonsstandardene som kom på 70-tallet. Den er utviklet av American Institute of Certified Public Accountants og fastsetter kriteriene for behandling av en organisasjons data. SOC 1 styrer kontroll av årsregnskap. SOC 2 gjør det samme for kundedata. SOC 2-standarden administreres i dag av International Standard on Assurance Engagement (ISAE).
Betydning
Systems and Organization Controls (SOC) er rapporter skrevet av en uavhengig revisor basert på hvordan de vurderer at en bedrift håndterer sensitive opplysninger i den daglige driften. SOC 2 bekrefter at en organisasjon har minimert sannsynligheten for lekkasje av kundedata og sikkerhetsbrudd.
SOC 2-rapporten er basert på de fem kriteriene for tillitstjenester for behandling av kundeopplysninger: Sikkerhet, konfidensialitet, behandlingsintegritet, personvern og tilgjengelighet. De er ment for organisasjoner som lagrer, behandler eller overfører enhver type kundeopplysninger, for eksempel SaaS-selskaper eller datahosting-selskaper.
Prinsipper for internkontroll og kriterier for tillitstjenester
SOC 2-akkrediteringen er basert på 17 obligatoriske prinsipper for internkontroll og fem frivillige tillitstjeneste-kriterier.
Prinsippene for interkontroll sørger for at selskapet har de riktige prosessene for å sikre informasjonen. Tilgangen til konfidensiell informasjon er begrenset kun til de som trenger det, risikoen minimeres ved kontinuerlig opplæring, systemene blir hele tiden overvåket og partnerne evalueres på løpende basis.
Et selskap som får SOC-akkrediteringen:
🔹 lærer opp alle ansatte i informasjonssikkerhet
🔹 sørger for at alle de kjøper tjenester fra, har tilsvarende informasjonssikkerhetsprotokoller
🔹 sørger for at alle kundedata er sikre og sikkerhetslagret
🔹 begrenser fysisk og digital tilgang til opplysningene og sletter dataen når kundeforholdet opphører
🔹 har prosedyrer for å respondere raskt på eventuelle hendelser
🔹 reviderer interne informasjonssikkerhetsprosedyrer og gjennomfører ekstern revisjon regelmessig.
Sertifiseringsprosess
SOC 2-rapporten revideres av en ekstern autorisert revisor. De vurderer i hvilken grad en leverandør oppfyller tillitstjeneste-kriteriene. SOC 2 har to typer rapporter, Type I og Type II. Type I beskriver selskapets systemer, og revisoren bekrefter at systemene har et oppsett som oppfyller de aktuelle tillitstjeneste-kriteriene. En Type II-rapport går lenger ved å studere den operasjonelle effektiviteten i disse systemene, f.eks. ved å teste at de fungerer som angitt.
De frivillige tillitstjenestekriteriene er nettsikkerhetens byggeklosser
Sikkerhet
Hvordan er systemet beskyttet mot angrep?
Tilgjengelighet
Hvordan kan vi sikre at systemet fungerer 24/7?
Prosessintegritet
Fungerer systemet slik det er ment å gjøre?
Konfidensialitet
Hvordan kan vi begrense tilgangen til, lagringen og bruken av konfidensiell informasjon?
Personvern
Hvordan kan vi sikre sensitive personopplysninger mot uvedkommende tilgang?
ISO 27001-sertifisering
Historikk
ISO 27001 ble opprinnelig publisert i 2005. Den har i årenes løp blitt revidert flere ganger, og siste versjon er fra 2018. Standarden er utarbeidet og publisert av Den internasjonale standardiseringsorganisasjonen.
Betydning
ISO 27001 er en standard for informasjonssikkerhetsstyring som bestemmer kravene for et informasjonssikkerhetsstyringssystem (ISMS). Kravene avgjør hvordan organisasjoner kan administrere sikkerheten for informasjon de besitter, som immaterielle rettigheter, kundedata eller tredjepartsopplysninger.
Det er umulig å beskytte seg mot alle trusler mot nettsikkerheten, men ISO 27001 er et internasjonalt anerkjent tegn på en organisasjon som følger de strengeste sikkerhetsstandardene.
Sikkerhetskontroller og hvordan de er bygget
En sikkerhetskontroll er et hvilket som helt tiltak som er ment å øke organisasjonens nettsikkerhet. De fleste bruker flere: brannmurer, automatiske oppdateringer, passord, protokoller for administrasjon av hendelser osv.
Formålet med ISMS er å sørge for at organisasjonens sikkerhetskontroller administreres effektivt, og at kontrollene dekker hele spekteret av potensielle trusler mot nettsikkerheten.
ISMS må undersøke organisasjonens sikkerhetsrisikoer systematisk, sette opp ytterligere sikkerhetskontroller der det er nødvendig og sørge for at kontrollene til enhver tid oppfyller organisasjonens behov.
Sertifiseringsprosess
Første trinn for å bli ISO 27001-sertifisert er å kjøpe standarden og studere kravene den setter for informasjonssikkerhet. Første gang dette gjøres, er det vanligvis nødvendig å legge til og endre sikkerhetskontrollene slik at de skal oppfylle standarden. Alle sikkerhetskontroller må selvsagt dokumenteres.
Når ISMS oppfyller kravene i standarden, inviteres en akkreditert registrator for å gjennomføre revisjonen. Det er mulig å gjennomføre en innledende revisjon av trinn 1 for å se om de riktige prosessene og systemene er på plass. Trinn 2 er en formell, fullstendig revisjon.
Revisoren vil gjennomgå dokumentasjonen for å dokumentere at den oppfyller standardens krav. Først da kan revisoren utstede et sertifikat.
Det kreves regelmessige revisjoner i etterkant for å oppfylle standarden. ISO 27001-revisjonen oppdateres regelmessig, men revisjonen kan også gjøres internt. Det kan for eksempel gjøres en årlig internrevisjon, mens det inviteres en ekstern revisor hvert tredje år.
Ekstern revisor
ISO 27001 er basert på standarder – lange lister av retningslinjer for nettsikkerhet som må følges. Noen organisasjoner velger å følge retningslinjene og beste praksis uten sertifisering, ettersom sertifisering ikke er obligatorisk. Dette er helt greit, men en ekstern revisjon med påfølgende sertifisering er det eneste som virkelig garanterer kunder og partnere at organisasjonen i realiteten etterlever tiltakene standarden krever.
LeadDesk benyttes av sikkerhetsbevisste organisasjoner – også i helse- og finansbransjen.
LeadDesk er både SOC 2- og ISO 27001-sertifisert. LeadDesk har også blitt evaluert opp mot tre av de mest aktuelle tillitstjenestekriteriene: sikkerhet, tilgjengelighet og konfidensialitet.
Les mer om LeadDesk:
sales@leaddesk.com
+44 203 8080 414
Sammendrag
Kontaktsentrene er potensielle mål for nettangrep. De behandler og lagrer kundeopplysninger som er ekstremt lukrative for nettkriminelle. Målrettede angrep er imidlertid ikke den eneste risikoen – det har blitt vanlig med blinde angrep som utforsker sikkerhetshull i tusenvis av selskaper samtidig.
Sikkerhetsbevisste organisasjoner må forsikre seg om at programvareleverandøren er SOC 2-akkreditert og/eller ISO 27001-sertifisert. Dette er generelt aksepterte og eksternt reviderte tegn på at en organisasjon tar nettsikkerheten på alvor.
Når det lages en RFI eller RFP for et kontaktsentersystem, eller når man vurderer systemer fra ulike leverandører, er det viktig at disse sertifiseringene er en del av vurderingskriteriene. Be for eksempel leverandøren om å:
🔹 gi en oversikt over sikkerhetskontrollene sine
🔹 presentere de aktuelle sertifiseringene for disse kontrollene
🔹 fremlegge eventuelle andre eksterne revisjoner eller rapporteringer som er gjort.
Last ned nettsikkerhetsguiden for kontaktsentre:
Ved å registrere deg bekrefter du at du godtar at LeadDesk lagrer og behandler personopplysningene dine som beskrevet i personvernerklæringen.