📘 Guiden: Slik velger dere en sikker programvare til kontaktsenteret

Nettsikkerheten er helt avgjørende for alle organisasjoner som behandler kundeopplysninger.

Nettsikkerheten er helt avgjørende for alle organisasjoner som behandler kundeopplysninger.

Nettsikkerhet har tradisjonelt vært sett på som en teknisk utfordring, selv om den menneskelige faktoren har fått større oppmerksomhet de siste ti årene. Nettsikkerhet er imidlertid et stort tema som omfatter mye mer enn IT-teamet. Ifølge Det finske nasjonale senteret for nettsikkerhet er de viktigste fenomenene som på lang sikt påvirker nettsikkerheten:

🔹 internasjonal økonomisk og politisk ustabilitet

🔹 manglende informasjonsdeling i og mellom organisasjonene

🔹 ikke-utbedrede sårbarheter i enheter og tjenester som er koblet til internett

🔹 manglende diversifisert ekspertise på nettsikkerhet

🔹 stjålne adgangsrettigheter og innloggingsopplysninger.

Som listen viser er nettsikkerhet et komplekst tema. I lys av den enorme mengden av trusler og potensielle brudd vi i dag opplever mot nettsikkerheten, kan ingen organisasjoner være 100 % trygge. Med riktige systemer, god opplæring og sertifiserte prosesser er det imidlertid mulig å minimere effektene av angrep og brudd.

Nettsikkerhetens betydning for kontaktsenteret

Både utgående kontaktsentre og kundeservice-team behandler personopplysninger. Dette gjør dem til potensielle mål for nettangrep.

De fleste av dagens nettangrep er faktisk ikke rettet mot et spesifikt selskap. Det vanlige er at både grupper og individuelle hackere angriper så bredt som mulig ved å teste sikkerheten hos flere tusen organisasjoner samtidig.

For bedrifter og organisasjoner med virksomhet innenfor EØS er behandlingen av personopplysninger underlagt strenge lovkrav. Personverndirektivet (GDPR) gir store bøter til organisasjoner som ikke oppbevarer kundenes personopplysninger på en sikker måte, eller som ikke håndterer eventuelle brudd korrekt.

Disse tre faktorene er i seg selv grunn nok til å sette nettsikkerheten høyt på agendaen. For at risikoen skal bli lavest mulig, må verktøyene – for eksempel kontaktsenter-programvaren – og prosessene som brukes av kundeservice- og salgsteamene gjennomgås med tanke på nettsikkerhet.

Siden programvaren dere velger til kontaktsenteret er helt avgjørende for sikker drift, er denne guiden laget for å gjøre det enklere for deg og teamet ditt (f.eks. IT-avdelingen) å vurdere nettsikkerheten i kontaktsenter-systemene.

SOC 2-akkreditering

Historikk

SOC 2 har røtter helt tilbake til revisjonsstandardene som kom på 70-tallet. Den er utviklet av American Institute of Certified Public Accountants og fastsetter kriteriene for behandling av en organisasjons data. SOC 1 styrer kontroll av årsregnskap. SOC 2 gjør det samme for kundedata. SOC 2-standarden administreres i dag av International Standard on Assurance Engagement (ISAE).

Betydning

Systems and Organization Controls (SOC) er rapporter skrevet av en uavhengig revisor basert på hvordan de vurderer at en bedrift håndterer sensitive opplysninger i den daglige driften. SOC 2 bekrefter at en organisasjon har minimert sannsynligheten for lekkasje av kundedata og sikkerhetsbrudd.

SOC 2-rapporten er basert på de fem kriteriene for tillitstjenester for behandling av kundeopplysninger: Sikkerhet, konfidensialitet, behandlingsintegritet, personvern og tilgjengelighet. De er ment for organisasjoner som lagrer, behandler eller overfører enhver type kundeopplysninger, for eksempel SaaS-selskaper eller datahosting-selskaper.

Prinsipper for internkontroll og kriterier for tillitstjenester

SOC 2-akkrediteringen er basert på 17 obligatoriske prinsipper for internkontroll og fem frivillige tillitstjeneste-kriterier.

Prinsippene for interkontroll sørger for at selskapet har de riktige prosessene for å sikre informasjonen. Tilgangen til konfidensiell informasjon er begrenset kun til de som trenger det, risikoen minimeres ved kontinuerlig opplæring, systemene blir hele tiden overvåket og partnerne evalueres på løpende basis.

Et selskap som får SOC-akkrediteringen:

🔹 lærer opp alle ansatte i informasjonssikkerhet

🔹 sørger for at alle de kjøper tjenester fra, har tilsvarende informasjonssikkerhetsprotokoller

🔹 sørger for at alle kundedata er sikre og sikkerhetslagret

🔹 begrenser fysisk og digital tilgang til opplysningene og sletter dataen når kundeforholdet opphører

🔹 har prosedyrer for å respondere raskt på eventuelle hendelser

🔹 reviderer interne informasjonssikkerhetsprosedyrer og gjennomfører ekstern revisjon regelmessig.

Sertifiseringsprosess

SOC 2-rapporten revideres av en ekstern autorisert revisor. De vurderer i hvilken grad en leverandør oppfyller tillitstjeneste-kriteriene. SOC 2 har to typer rapporter, Type I og Type II. Type I beskriver selskapets systemer, og revisoren bekrefter at systemene har et oppsett som oppfyller de aktuelle tillitstjeneste-kriteriene. En Type II-rapport går lenger ved å studere den operasjonelle effektiviteten i disse systemene, f.eks. ved å teste at de fungerer som angitt.

ISO 27001-sertifisering

Historikk

ISO 27001 ble opprinnelig publisert i 2005. Den har i årenes løp blitt revidert flere ganger, og siste versjon er fra 2018. Standarden er utarbeidet og publisert av Den internasjonale standardiseringsorganisasjonen.

Betydning

ISO 27001 er en standard for informasjonssikkerhetsstyring som bestemmer kravene for et informasjonssikkerhetsstyringssystem (ISMS). Kravene avgjør hvordan organisasjoner kan administrere sikkerheten for informasjon de besitter, som immaterielle rettigheter, kundedata eller tredjepartsopplysninger.

Det er umulig å beskytte seg mot alle trusler mot nettsikkerheten, men ISO 27001 er et internasjonalt anerkjent tegn på en organisasjon som følger de strengeste sikkerhetsstandardene.

Sikkerhetskontroller og hvordan de er bygget

En sikkerhetskontroll er et hvilket som helt tiltak som er ment å øke organisasjonens nettsikkerhet. De fleste bruker flere: brannmurer, automatiske oppdateringer, passord, protokoller for administrasjon av hendelser osv.

Formålet med ISMS er å sørge for at organisasjonens sikkerhetskontroller administreres effektivt, og at kontrollene dekker hele spekteret av potensielle trusler mot nettsikkerheten.

ISMS må undersøke organisasjonens sikkerhetsrisikoer systematisk, sette opp ytterligere sikkerhetskontroller der det er nødvendig og sørge for at kontrollene til enhver tid oppfyller organisasjonens behov.

Sertifiseringsprosess

Første trinn for å bli ISO 27001-sertifisert er å kjøpe standarden og studere kravene den setter for informasjonssikkerhet. Første gang dette gjøres, er det vanligvis nødvendig å legge til og endre sikkerhetskontrollene slik at de skal oppfylle standarden. Alle sikkerhetskontroller må selvsagt dokumenteres.

Når ISMS oppfyller kravene i standarden, inviteres en akkreditert registrator for å gjennomføre revisjonen. Det er mulig å gjennomføre en innledende revisjon av trinn 1 for å se om de riktige prosessene og systemene er på plass. Trinn 2 er en formell, fullstendig revisjon.

Revisoren vil gjennomgå dokumentasjonen for å dokumentere at den oppfyller standardens krav. Først da kan revisoren utstede et sertifikat.

Det kreves regelmessige revisjoner i etterkant for å oppfylle standarden. ISO 27001-revisjonen oppdateres regelmessig, men revisjonen kan også gjøres internt. Det kan for eksempel gjøres en årlig internrevisjon, mens det inviteres en ekstern revisor hvert tredje år.

Ekstern revisor

ISO 27001 er basert på standarder – lange lister av retningslinjer for nettsikkerhet som må følges. Noen organisasjoner velger å følge retningslinjene og beste praksis uten sertifisering, ettersom sertifisering ikke er obligatorisk. Dette er helt greit, men en ekstern revisjon med påfølgende sertifisering er det eneste som virkelig garanterer kunder og partnere at organisasjonen i realiteten etterlever tiltakene standarden krever.

Sammendrag

Kontaktsentrene er potensielle mål for nettangrep. De behandler og lagrer kundeopplysninger som er ekstremt lukrative for nettkriminelle. Målrettede angrep er imidlertid ikke den eneste risikoen – det har blitt vanlig med blinde angrep som utforsker sikkerhetshull i tusenvis av selskaper samtidig.

Sikkerhetsbevisste organisasjoner må forsikre seg om at programvareleverandøren er SOC 2-akkreditert og/eller ISO 27001-sertifisert. Dette er generelt aksepterte og eksternt reviderte tegn på at en organisasjon tar nettsikkerheten på alvor.

Når det lages en RFI eller RFP for et kontaktsentersystem, eller når man vurderer systemer fra ulike leverandører, er det viktig at disse sertifiseringene er en del av vurderingskriteriene. Be for eksempel leverandøren om å:

🔹 gi en oversikt over sikkerhetskontrollene sine

🔹 presentere de aktuelle sertifiseringene for disse kontrollene

🔹 fremlegge eventuelle andre eksterne revisjoner eller rapporteringer som er gjort.