📘 Guiden: Så väljer du säker programvara för kontaktcenter
Valet av programvara för kontaktcenter har en stor inverkan på den operativa säkerheten. Med den här guiden blir det lättare för dig och ditt team att utvärdera hur bra cybersäkerhet molnsystem för kontaktcenter har.
Läs mer om hur ni väljer säker programvara för kontaktcenter till er organisation 👉
Läs mer nedan ⬇️
Cybersäkerhet är helt avgörande för organisationer som hanterar kunddata.
Cybersäkerhet är helt avgörande för organisationer som hanterar kunddata.
Traditionellt sett har cybersäkerhet betraktas som en teknisk utmaning, även om den mänskliga faktorn var mer påtalad förr i tiden. Cybersäkerhet är dock ett brett ämne som sträcker sig bortom ICT-teamet. Enligt det finska Cybersäkerhetscentret har följande faktorer störst långsiktig inverkan på cyberhot:
🔹 internationell ekonomi och politisk instabilitet
🔹 otillräckligt utbyte av information inom och mellan organisationer
🔹 sårbarheter som inte patchas i enheter och tjänster anslutna till internet
🔹 brist på mångsidig expertis inom cybersäkerhet
🔹 stulna åtkomsträttigheter och inloggningsuppgifter.
Cybersäkerhet är, som listan ovan visar, ett komplext ämne. Idag finns det mängder med säkerhetsrisker och potentiella intrångsvägar, och ingen organisation är 100 % säker från alla hot. Med rätt system, utbildning och certifieringsprocesser kan ni dock minimera påverkan från attacker och intrång i er verksamhet.
Vad innebär cybersäkerhet i den operativa verksamheten på ett kontaktcenter?
Minimera säkerhetsrelaterade risker
Med en certifierad och säker programvara för kontaktcenter är er organisation skyddad mot cyberangrepp och dataförlust.
Följ alla säkerhetskrav
Du behöver inte oroa dig över EU, GDPR och andra juridiska krav då er kontaktcenterleverantör tar hand om dessa punkter redan innan ni får programvaran.
Undvik systemavbrott
En pålitlig kontaktcenterleverantör ska säkerställa >99,95 % drifttid, alltid.
Vikten av cybersäkerhet i kontaktcenter
På grund av verksamhetens natur hanterar kontaktcenter som ringer utgående samtal och kundtjänstteam personuppgifter. Dessa organisationer är därför potentiella mål för många olika typer av cybersäkerhetsangrepp.
Många cybersäkerhetsangrepp idag är inte heller utformade för ett specifikt företag. Hackargrupper och enskilda hackare kastar ett så stort nät som möjligt genom att testa säkerhetsåtgärderna för tusentals organisationer samtidigt.
För verksamheter och organisationer som är verksamma i det Europeiska ekonomiska samarbetsområdet finns det stränga regelverk för hur man får hantera personuppgifter. Allmänna dataskyddsförordningen (GDPR) ger stora böter till organisationer som inte skyddar kundernas personuppgifter eller som inte hanterar intrång på ett rimligt sätt om de väl uppstår.
Av dessa tre skäl bör cybersäkerhet ligga högt upp på er agenda. För att minimera cybersäkerhetsrisker måste verktygen (som programvara för kontaktcenter) och processerna som används av kundtjänstteam och team som sysslar med outboundförsäljning också utvärderas från ett säkerhetsperspektiv.
Eftersom programvaran för kontaktcenter som ni väljer är avgörande för att bedriva en säker verksamhet är den här guiden utformad för att hjälpa dig och ditt team (som ICT-teamet) att utvärdera hur bra säkerhet molnsystem för kontaktcenter har.
Säkerhetsstandarder och -certifikat
Det bästa man kan göra för att kontrollera att en leverantör tar cybersäkerhet på stort allvar är att kontrollera om leverantören är certifierad.
Certifieringarna SOC 2 och ISO 27001 är två av de bästa tecknen på att en organisation hanterar cybersäkerhet på ett systematiskt och omfattande sätt.
Särskilt myndigheter och stora företag kräver att deras samarbetspartners och leverantörer har SOC 2 eller ISO 27001 som ett minimum.
Om ni är orolig över er kunddatas säkerhet bör ni endast välja tjänster som har minst en av dessa certifieringar.
Läs mer i guidenCybersäkerhet är ett konstant problem.
Det är därför som cybersäkerhetsledning bör vara en fortlöpande process. Den ska tydligt dokumenteras och bland annat omfatta regelbundna riskutvärderingar och tester för informationssäkerhet.
SOC 2-certifiering
Historia
SOC 2 har rötter ända från 1970-talet då revisionsstandarder lanserades. Det har utvecklats av American Institute of Certified Public Accountants och fastställer kriterierna för hantering av en organisations data. SOC 1 fastställer kontroller för ekonomiska rapporter. SOC 2 fastställer detsamma för kunddata. Nu för tiden hanteras SOC 2-standarden av International Standard on Assurance Engagement (ISAE).
Hur viktigt det är
Systems and Organization Controls (SOC) är rapporter som skrivs av en oberoende revisor baserat på deras utvärdering av hur ett företag hanterar känsliga data i den dagliga verksamheten. SOC 2 certifierar att en organisation har minimerat risken för läckage av kunddata och säkerhetsintrång.
SOC 2-rapporten baseras på de fem kriterierna för pålitliga tjänster för hantering av kunddata: Säkerhet, konfidentialitet, behandlingsintegritet, integritet och tillgänglighet. Dessa är utformade för organisationer som lagrar, behandlar eller överför kunddata, som exempelvis SaaS-företag eller datavärdföretag.
Principer för interna kontroller och kriterier för pålitliga tjänster
SOC 2-certifieringen baseras på 17 obligatoriska principer för intern kontroll och fem frivilliga kriterier för pålitliga tjänster.
Principerna för interna kontroller säkerställer att företaget har rätt processer på plats för att skydda information. Åtkomst till konfidentiell information begränsas till anställda som behöver informationen, risker minimeras via fortlöpande utbildning, system övervakas konstant och partners utvärderas kontinuerligt.
Ett företag som får SOC 2-certifikatet håller sig i regel till följande:
🔹 utbildar alla anställda om informationssäkerhet
🔹 ser till att alla som de köper tjänster från har liknande rutiner för informationssäkerhet
🔹 säkerställer att alla kunddata är säkra och säkerhetskopierade
🔹 begränsar fysisk och digital åtkomst till dessa data och tar bort data när kundrelationen avslutas
🔹 har rutiner på plats för att snabbt hantera tillbud
🔹 granskar regelbundet rutiner för informationssäkerhet internt, och utför externa revisioner.
Certifieringsprocess
SOC 2-rapporten granskas av en certifierad extern revisor. Personen bedömer i vilken utsträckning en leverantör följer kriterierna för pålitliga tjänster. SOC 2 har två olika rapporttyper, typ I och typ II. Typ I beskriver företagets system, och revisorn bekräftar att systemens konstruktion uppfyller relevanta kriterier för pålitliga tjänster. En typ II-rapport går steget längre genom att studera systemens operativa effektivitet, bland annat med tester för att säkerställa att systemen fungerar enligt beskrivning.
De frivilliga kriterierna för pålitliga tjänster är byggklossar inom cybersäkerhet
Säkerhet
Hur skyddas systemet mot angrepp?
Tillgänglighet
Hur kan vi säkerställa att systemet fungerar dygnet runt?
Behandlingsintegritet
Funkar systemet som det ska?
Konfidentialitet
Hur kan vi begränsa åtkomst till, lagra och använda konfidentiell information?
Integritet
Hur kan vi skydda känsliga personuppgifter mot obehörig åtkomst?
ISO 27001-certifiering
Historia
ISO 27001 publicerades första gången 2005. Revisioner har utförts genom åren och den senaste versionen är från 2018. Standarden har utvecklats och publicerats av Internationella standardiseringsorganisationen.
Hur viktigt det är
ISO 27001 är en ledningsstandard för informationssäkerhet som fastställer kraven för ett ledningssystem för informationssäkerhet (ISMS, Information Security Management System). Kraven fastställer hur organisationer kan hantera säkerheten för sina informationstillgångar, som immateriell egendom, kunddata eller information från tredje part.
Det är omöjligt att skydda sig från alla cybersäkerhetshot, men ISO 27001 är ett internationellt erkänt tecken på att en organisation följer de högsta säkerhetsstandarderna.
Säkerhetskontroller och hur de är uppbyggda
En säkerhetskontroll är en åtgärd vars syfte är att stärka cybersäkerheten i en organisation. De flesta organisationer använder flera olika åtgärder: brandväggar, automatiska uppdateringar, lösenord, rutiner för tillbudshantering, etc.
Syftet med ISMS är att säkerställa att säkerhetskontrollerna i en organisation hanteras på ett effektivt sätt och att kontrollerna täcker alla potentiella cybersäkerhetshot.
ISMS behöver systematiskt utvärdera organisationens säkerhetsrisker, implementera ytterligare säkerhetskontroller vid behov och säkerställa att kontrollerna uppfyller organisationens behov på fortlöpande basis.
Certifieringsprocess
Det första steget mot att få ISO 27001-certifikatet är att köpa standarden och gå igenom kraven som anges för informationssäkerhet. När man gör detta för första gången behöver man oftast lägga till och ändra säkerhetskontroller för att uppfylla standardens krav. Varje säkerhetskontroll måste också dokumenteras.
När ISMS uppfyller kraven i standarden bjuder man in ett ackrediterat certifieringsorgan till att utföra revisionen. I steg 1 utförs en preliminär revision för att se om rätt processer och system finns på plats. I steg 2 utförs en formell, heltäckande revision.
Revisorn granskar dokumentationen för att säkerställa att de uppfyller kraven i standarden. Om de gör detta kan revisorn utfärda ett certifikat.
För att uppfylla standarden måste man genomföra regelbundna uppföljningsgranskningar. ISO 27001-revisionen uppdateras regelbundet även om revisionen också kan utföras internt. En intern revisor kan till exempel utvärdera organisationen årligen medan en extern revisor anlitas vart tredje år.
Extern revisor
ISO 27001 baseras på olika standarder – långa listor med cybersäkerhetsriktlinjer som ska följas. Vissa organisationer väljer att följa riktlinjerna och bästa praxis utan att bli certifierade, då certifieringen inte är obligatorisk. Även om åtgärderna implementeras helt felfritt så är det endast en extern revision och efterföljande certifiering som är en garanti för kunder och partners om att åtgärderna i standarden följs till punkt och pricka inom organisationen.
LeadDesk är betrodd av säkerhetsmedvetna organisationer – inklusive organisationer inom sjukvårds- och finansbranschen.
LeadDesk har både SOC 2- och ISO 27001-certifiering. LeadDesk har också utvärderats mot de tre kriterierna för pålitliga tjänster som är mest tillämpbara: säkerhet, tillgänglighet och konfidentialitet.
Läs mer om LeadDesk:
sales@leaddesk.com
+44 203 8080 414
Sammanfattning
Kontaktcenter är potentiella mål för cybersäkerhetsangrepp. De hanterar och lagrar kunddata, och dessa data är extremt lukrativa för cyberbrottslingar. Riktade angrepp är dock inte den enda risken. Blindangrepp som utnyttjar säkerhetsbrister som tusentals företag påverkas av har blivit allt vanligare.
Organisationer som är medvetna om cybersäkerhet bör säkerställa att deras programvaruleverantörer har SOC 2- och/eller ISO 27001-certifiering. Dessa är de allmänt accepterade och externt granskade tecknen på att en organisation tar cybersäkerhet på allvar.
När du skapar en RFI eller RFPR för ett kontaktcentersystem, eller när du utvärderar olika leverantörer, ska du inkludera certifieringarna i utvärderingskriterierna. Du kan till exempel be leverantören att göra följande:
🔹 ge en översikt av säkerhetskontrollerna
🔹 lista relevanta certifieringar kopplade till kontrollerna
🔹 lista andra externa revisioner eller rapporter som de har utfört.