📘 O guia: Como escolher um software seguro para contact center

A segurança cibernética é fundamental para as empresas que lidam com dados de clientes.

A segurança cibernética é fundamental para as empresas que lidam com dados de clientes.

Tradicionalmente, a cibersegurança é considerada um desafio técnico, embora na última década o fator humano se tenha tornado mais reconhecido. Contudo, a cibersegurança é um tema muito amplo que vai além da equipa informática. De acordo com o Centro Nacional de Cibersegurança da Finlândia, os principais fenómenos a longo prazo que têm impacto nas ameaças cibernéticas são:

🔹 Instabilidade económica e políticas internacionais

🔹 Intercâmbio insuficiente de informação dentro e entre organizações

🔹 Vulnerabilidades sem patches em dispositivos e nos serviços ligados à Internet

🔹 Falta de conhecimentos diversificados em matéria de cibersegurança

🔹 Roubo de direitos de acesso e credenciais.

Como a lista acima indica, a cibersegurança é um tema complexo. Devido ao grande número de riscos de segurança informática e possíveis violações que existem hoje em dia, nenhuma empresa está 100% a salvo das ameaças. No entanto, com os sistemas certos, uma formação adequada e procedimentos certificados, é possível reduzir ao mínimo o impacto dos ataques e violações de segurança na sua atividade.

A importância da cibersegurança nos contact centers

Devido à natureza do seu negócio, os contact center de chamadas outbound e as equipas de apoio ao cliente manuseiam informações pessoais. Estas organizações são, portanto, potenciais alvos de uma multiplicidade de ataques à segurança informática.

Além disso, a maioria dos ciberataques atuais não são concebidos contra uma empresa específica. Na maioria das vezes, grupos de hackers e hackers individuais lançam as suas redes o mais longe possível, testando as medidas de segurança de milhares de organizações simultaneamente.

Para as empresas e organizações que operam no Espaço Económico Europeu, existe uma regulamentação rigorosa sobre como tratar os dados pessoais. O Regulamento Geral de Proteção de Dados (RGPD) impõe pesadas multas às organizações que não mantenham a salvo os dados pessoais dos seus clientes ou que não resolvam de modo adequado as violações após a sua ocorrência.

Só por estas três razões, a segurança cibernética deve ser uma das suas prioridades. Para minimizar os riscos de cibersegurança, as ferramentas – por exemplo o software do contact center – e os procedimentos utilizados pelas equipas do apoio ao cliente e as equipas de vendas outbound devem ser avaliados do ponto de vista da segurança informática.

O software para contact center que escolher é fundamental para manter uma operação segura. Por conseguinte, este guia foi criado para o ajudar a si e à sua equipa (bem como à equipa de TIC) a avaliarem a preparação para a segurança cibernética dos sistemas de contact center na cloud.

Acreditação SOC 2

História

As raízes do SOC 2 remontam às normas de auditoria publicadas na década de 1970. Foi desenvolvido pelo American Institute of Certified Public Accountants e define os critérios para a gestão dos dados de uma organização. O SOC 1 determina os controlos das demonstrações financeiras. O SOC 2 faz o mesmo com os dados dos clientes. Atualmente, a norma SOC 2 é gerida pela International Standard on Assurance Engagement (ISAE).

Importância

Os controlos de sistemas e organizações (SOC, Systems and Organization Controls) são relatórios redigidos por um auditor independente com base na sua avaliação da forma como uma empresa gere dados sensíveis nos seus procedimentos diários. O SOC 2 certifica que uma organização minimizou a possibilidade de fugas de dados de clientes e de violações de segurança.

O relatório SOC 2 baseia-se nos cinco critérios dos serviços de confiança para o tratamento de dados dos clientes: segurança, confidencialidade, integridade do tratamento, privacidade e disponibilidade. Foi concebido para organizações que armazenam, tratam ou transmitem todo o tipo de dados de clientes, por exemplo, empresas SaaS ou de alojamento de dados.

Princípios de controlo interno e critérios de serviços de confiança

A acreditação SOC 2 é baseada em 17 princípios de controlo interno obrigatórios e cinco critérios de serviços de confiança facultativos.

Os princípios de controlo interno asseguram que a empresa dispõe dos processos adequados para manter a informação em segurança. O acesso à informação confidencial está limitado aos empregados relevantes, os riscos são minimizados graças à formação contínua, os sistemas são constantemente monitorizados e os parceiros são avaliados de forma consistente.

Em suma, uma empresa que recebe a acreditação SOC 2:

🔹 Dá formação aos empregados em matéria de segurança da informação

🔹 Certifica-se de que todos os fornecedores de serviços têm protocolos de segurança de informação similares

🔹 Garante que todos os dados dos clientes estão seguros e salvaguardados

🔹 Restringe o acesso físico e digital a esses dados e elimina-os no final da relação com o cliente

🔹 Dispõe de procedimentos para responder rapidamente a quaisquer incidentes

🔹 Verifica regularmente os procedimentos de segurança da informação internamente e por auditoria externa.

Processo de certificação

O relatório SOC 2 é verificado por um auditor externo certificado. Este avalia até que ponto um fornecedor cumpre os critérios dos serviços de confiança. O SOC 2 inclui dois tipos de relatórios: Tipo I e Tipo II. O Tipo I descreve os sistemas da empresa, e o auditor confirma que a conceção dos sistemas cumpre os critérios dos serviços de confiança relevantes. Um relatório de Tipo II vai mais além e estuda a eficácia operacional desses sistemas, ou seja, realiza testes para assegurar que o sistema funciona como indicado.

Certificação ISO 27001

História

A norma ISO 27001 foi inicialmente publicada em 2005. Foram efetuadas revisões ao longo dos anos e a última versão data de 2018. A norma foi desenvolvida e publicada pela Organização Internacional de Normalização.

Importância

A ISO 27001 é uma norma de gestão da segurança da informação que estabelece os requisitos relativos a um sistema de gestão da segurança da informação (SGSI). Este conjunto de requisitos determina como as organizações podem gerir a segurança dos seus ativos de informação, como a propriedade intelectual, os dados de clientes ou a informação de terceiros.

Uma proteção absoluta contra todas as ameaças à cibersegurança é impossível, mas a ISO 27001 é um sinal internacionalmente reconhecido de que uma organização segue os mais elevados padrões de segurança.

Controlos de segurança e como são construídos

Um controlo de segurança é uma medida que visa reforçar a cibersegurança de uma organização. A maior parte das organizações utiliza várias: firewalls, atualizações automáticas, palavras-passe, protocolos de gestão de incidentes, etc.

O objetivo do SGSI é garantir que os controlos de segurança de uma organização são geridos eficazmente e que esses controlos cobrem a totalidade de possíveis ameaças à cibersegurança.

O SGSI deve examinar sistematicamente os riscos de segurança da organização, implementar controlos de segurança adicionais se necessário e assegurar que os controlos satisfazem as necessidades da organização de forma contínua.

Processo de certificação

O primeiro passo para obter a certificação ISO 27001 consiste em adquirir a norma e estudar os requisitos nela estabelecidos em matéria de segurança da informação. Na primeira vez, costuma ser necessário acrescentar e modificar os controlos de segurança para cumprir os requisitos da norma. Naturalmente, todos os controlos de segurança devem ser documentados.

Assim que o SGSI cumprir os requisitos da norma, o agente de registo acreditado é convidado a realizar a auditoria. É possível realizar uma auditoria preliminar de fase 1 para verificar se foram implementados os processos e os sistemas adequados. Uma auditoria de fase 2 é uma auditoria formal e completa.

O auditor examina a documentação para garantir que cumpre os requisitos estabelecidos na norma. Só então poderá conceder a certificação.

Para manter a conformidade com a norma, são necessárias revisões contínuas. A auditoria da norma ISO 27001 é atualizada regularmente, embora também possa ser realizada internamente. Por exemplo, um auditor interno pode examinar a organização anualmente, enquanto um auditor externo é solicitado a cada três anos.

Auditor externo

A ISO 27001 é baseada em normas: longas listas de diretrizes de cibersegurança a seguir. Algumas organizações optam por seguir as diretrizes e as boas práticas sem obterem a certificação, uma vez que esta não é obrigatória. Embora isto seja perfeitamente aceitável, só uma auditoria externa e a certificação resultante constituem a verdadeira garantia para os clientes e os parceiros de que as medidas descritas na norma são efetivamente seguidas pela organização.

Resumo

Os contact centers são alvos potenciais de ataques à segurança informática. Tratam e armazenam dados de clientes, dados esses que são extremamente lucrativos para os cibercriminosos. No entanto, os ataques direcionados não são o único risco, uma vez que os ataques cegos que aproveitam simultaneamente as brechas de segurança em milhares de empresas se tornaram correntes.

As organizações preocupadas com a cibersegurança devem certificar-se de que os seus fornecedores de software possuem a acreditação SOC 2 e/ou a certificação ISO 27001. Estes são sinais geralmente aceites e verificados externamente que indicam que uma organização leva a sério a segurança informática.

Ao enviar um pedido de informação ou um pedido de proposta para um sistema de contact center ou ao avaliar os sistemas de diferentes fornecedores, certifique-se de incluir estas certificações nos seus critérios de avaliação. Por exemplo, peça ao fornecedor que:

🔹 Faça um apanhado dos seus controlos de segurança

🔹 Enumere as certificações relevantes relativas a esses controlos

🔹 Enumere outras auditorias externas ou relatórios que tenha efetuado.