Midt i stigende globale geopolitiske spændinger er organisationer nødt til at beskytte sig mod en lang række cyberangreb fra stadigt mere aggressive kilder, som omfatter nationalstater.
Problemet er særligt vigtigt for bestyrelser. Ondsindede hackere har i lang tid rettet deres angreb mod bestyrelsesmedlemmer på grund af den meget fortrolige karakter af de dokumenter, de arbejder med.
Det betyder, at bestyrelser ikke kun skal overveje cybersikkerhed som en del af deres dagsorden for virksomhedens risikostyring – de skal også tænke over, hvordan de sikrer deres arbejdsområde.
Denne artikel vil hjælpe dig med at forstå de foranstaltninger, der skal være på plads for at opbevare og beskytte dokumenter i en bestyrelsesportal på en sikker måde. Den vil også hjælpe dig med at kunne tjekke, om tiltagene inden for sikkerhed og databeskyttelse i den bestyrelsesportalsoftware, som du bruger eller har til hensigt at indføre, er passende til opgaven. Den vil især hjælpe dig til at forstå:
Med disse oplysninger kan du gennemgå sikkerheden i din bestyrelsesportalsoftware, identificere potentielle huller i dit forsvar og sætte dig selv i den bedst mulige situation til at beskytte dig selv mod en stigende mængde forskellige risici.
Vi vil især dække
I 2021 udgav HP Wolf Security en skelsættende undersøgelse, som fremhævede, at geopolitisk risiko er ved at blive en stigende faktor i forhold til cybersikkerhed. I rapporten står der, at "cyberangreb mod nationalstater bliver hyppigere, mere varierede og mere åbne, og at de bringer os tættere på et punkt med ’avanceret cyberkonflikt’, end vi nogensinde har haft siden internettets start".
HP-undersøgelsen viste, at der har været en stigning på 100 % i antallet af nationalstatslige hændelser i de seneste år. Yderligere analyse af over 200 cybersikkerhedshændelser i forbindelse med nationalstatsaktivitet siden 2009 viste, at virksomheder, især større organisationer, nu er det mest almindelige mål (35 % af alle angreb). Dette var forud for forsvarsorganisationer, medie- og kommunikationsorganisationer, myndigheder og leverandører af kritisk infrastruktur.
Siden rapporten blev udgivet i 2021, er trusselsniveauet vokset endnu mere efter konflikten i Ukraine. Udover de stigende cyberangreb mod Ukraine er der også sket en stigning i antallet af samordnede angreb mod europæiske energivirksomheder, finansinstitutter og kommunikationsinfrastruktur.
Forretningsfunktioner på alle niveauer i organisationerne er nødt til at stille sig ét centralt spørgsmål: er vi klar til at beskytte vores data og drift mod eskalerende cyberrisici relateret til geopolitiske spændinger?
Bestyrelser er ingen undtagelse – og de er nødt til at begynde med at gennemgå, om de har den bedstebestyrelsesportalsoftware til sikker opbevaring af data og indholdsdeling. Hvis din organisation ikke anvender en bestyrelsesportal i øjeblikket, vil det også hjælpe dig med at evaluere markedet, opbygge din business case og vælge den sikreste portal til dine behov.
Den bedste bestyrelsesportalsoftware giver bestyrelser og ledelsesteams en digital platform til dokumentdeling, samarbejde, et historisk digitalt arkiv samt adgang til dokumenter online og offline. De dokumenter, der deles og tilgås via bestyrelsesportaler, kan omfatte økonomiske rapporter, budgetter, HR-opdateringer, virksomhedsstrategier, fusionsforslag, sikkerhedsopdateringer og erklæringer om politikker. På den måde er en bestyrelsesportal et vigtigt omdrejningspunkt for kommunikation. Det er også et vigtigt lager af fortrolige oplysninger, der potentielt er af stor værdi for kriminelle og visse lande, som organisationer altid skal beskytte mod angreb.
Administratorer som f.eks. virksomhedssekretærer og bestyrelsesmedlemmer bruger bestyrelsesportalsoftware i perioden før, under, efter og mellem bestyrelsesmøder:
Før mødet: til at udsende påmindelser om mødetid og -sted, bekræfte tilgængelighed, oprette dagsordener, udarbejde bestyrelsespakker med fortrolige og ofte følsomme oplysninger samt uploade tidligere mødereferater eller andre relevante opdateringer, siden sidste møde fandt sted.
Under mødet: til at tage referat i portalen, registrere afstemninger og beslutninger, tildele handlinger og angive deadlines.
Efter mødet: til at udsende referater, lette godkendelse af beslutninger efter mødet med e-signatur, indstille påmindelser om handlinger, underrette bestyrelsen om nye uploads og muliggøre afstemninger om forretningsanliggender, der stadig er åbne eller kræver godkendelse.
Mellem møder: til at gøre det muligt for bestyrelse, administratorer og ledelsesteams at interagere med hinanden og samarbejde mere effektivt mellem møderne ved at få adgang til fortrolige virksomhedsoplysninger hvor som helst. De skal også til enhver tid kunne kommunikere sikkert med andre i bestyrelsen i portalen.
Med disse processer i tankerne, er de vigtigste faktorer, du skal overveje, når du tjekker, om du har sikker bestyrelsesportalsoftware:
En af de vigtigste opgaver for brugervenlig bestyrelsesportalsoftware er, at den skal give bestyrelsesmedlemmer sikker adgang til fortrolige dokumenter når som helst og hvor som helst. Uanset hvor dataene lagres, skal det være et fuldkomment sikkert sted, så først er det vigtigt at kontrollere, om den leverandør af bestyrelsesportalsoftware, du er i kontakt med, kun bruger dedikerede servere og lagerplads. Kun på den måde kan din bestyrelsesportalpartner sikre, at de dokumenter, de opbevarer for dig (og giver dig adgang til), er fuldt beskyttede.
Du bør også spørge til procedurerne for bortskaffelse af lagrede data. Hos Admincontrol kan vi f.eks. garantere, at alle oplysninger slettes, og at vi bruger en certificeret leverandør til at slette datalagringsmedier.
Det er også vigtigt, at du gennemgår de ordninger, som din bestyrelsesportalsoftware har lavet for 'multiarkitektur'. Det er den metode, som leverandører af bestyrelsesportaler bruger til at skabe en logisk adskillelse af data mellem flere lejere (dvs. dig og din leverandørs andre kunder) i deres lagringsmiljø. På et teknisk plan bør de sikkerhedsmekanismer, der sikrer fuld isolation inden for multiarkitektur-ordninger, indbygges i bestyrelsesportalens database og applikationslogik. Multiarkitektur-ordninger bør også verificeres ved regelmæssige sikkerhedstests foretaget af tredjepart. Der bør også værre datakrypteringsmekanismer, som kan understøtte fuld adskillelse ved hjælp af unikke krypteringsnøgler for hver kunde.
Det er ikke kun vigtigt at vide, hvordan og hvor jeres data opbevares. Du skal også vide, at din leverandør af bestyrelsesportalsoftware har robuste sikkerhedsprocesser, der dækker hele virksomheden, processen og produkterne. Det er især vigtigt, at leverandøren involverer sig i testprocedurer fra tredjepart og brancheanerkendte certificeringer.
De vigtigste ting der skal tjekkes for her, er regelmæssige penetrationstest, en SOC 2-rapport og ISO 27001-2103-overensstemmelse.
Alle bestyrelsesportalens mobil- og webprogrammer bør have et stærkt skjold mod hackere, der kontrolleres ved regelmæssig penetrations- og sikkerhedstest. Denne type test skal udføres regelmæssigt af sikkerhedseksperter fra tredjepart, som systematisk forsøger at trænge ind i systemet og finde sikkerhedshuller, som en hacker potentielt kan udnytte. Spørg din bestyrelsesportalsoftware-leverandør, hvem der udfører testarbejdet på deres vegne og hvor ofte. Du skal også kontrollere, om de tester i overensstemmelse med Open Web Application Security Project® (OWASP). OWASP er et almennyttigt fond, der arbejder for at forbedre sikkerheden i software. Det udarbejder også OWASP Top 10, et standarddokument om sikkerhedsbevidsthed til brug for udviklere og webprogramsikkerhed, som udgør en bred konsensus vedrørende de mest kritiske sikkerhedsrisici ved webprogrammer.
For eksempel sikrer Admincontrol, at dets testpartner fra tredjepart udfører test ved hjælp af OWASP-metoden og ud fra OWASP Top 10-kriterierne. Derudover kontrollerer vi årligt vores tjeneste i forhold til OWASP ASVS L2.
SOC 2 er udviklet af AICPA (American Institute of CPA's) og definerer kriterier for administration af brugerorganisationernes data baseret på Trust Service Criteria. Disse kriterier vedrører sikkerhed, tilgængelighed, fortrolighed og kontroller relateret til beskyttelse af personlige oplysninger.
Spørg altid, om din leverandør af bestyrelsesportal opfylder disse kriterier. En SOC 2-rapport sikrer, at din leverandør af bestyrelsesportalsoftware holder data beskyttede og sikre under behandling eller opbevaring, gør data tilgængelige når som helst og implementerer specifikke kontroller vedrørende fortrolighed og beskyttelse af oplysninger.
ISO 27001-2013 er den internationale standard, der beskriver best practice for et ISMS (Information Security Management System).
Et ISMS er en effektiv metode til at sikre en korrekt administration af informationssikkerheden og tilstrækkelig kontrol til at reducere risikoen for databrud. Det giver også et solidt grundlag for at opfylde de relevante bestemmelser om databeskyttelse og beskyttelse af personlige oplysninger såsom persondataforordningen.
ISO 27001:2013-certificeringen er en vigtig test for enhver leverandør af bestyrelsesportaler, fordi den dækker hele virksomheden, processen og produkterne og demonstrerer en stærk forpligtelse til at levere fremragende sikkerhed.
Hos Admincontrol gennemføres vores ISO 27001-2013-evaluering og -certificering af DNV GL, som er en af de førende globale leverandører af akkrediteret certificering af ledelsessystemer.
Ud over at se på bestemmelser for certificeringer til datalagring og sikkerhedsadministration er det også vigtigt, at du undersøger, om din leverandør af bestyrelsesportalsoftware har specifikke forholdsregler på plads til at beskytte data under overførsel og sikre, at kun autoriserede brugere kan få adgang til dem.
Det betyder som minimum, at den bestyrelsesportal, som din organisation vedtager, skal omfatte:
Sikre portaler garantere, at al kommunikation forbliver inden for portalens sikre grænser, så den aldrig foregår via usikre og sårbare kanaler som f.eks. e-mail.
Brugervenlig og sikker bestyrelsesportalsoftware indeholder tilladelsesindstillinger, der kan tilpasses, så kun visse brugere kan få adgang til bestemte dokumenter med forskellige fortrolighedsniveauer alt efter deres roller.
En af de store effektivitetsfordele ved digitale bestyrelsesportaler er, at de er tilgængelige på mobile enheder via en indbygget app. Der er dog farer, man skal være opmærksom på her. En leverandør af sikre portaler bør give dine IT-administratorer mulighed for at fjernslette indholdet i appen, hvis enheden mistes eller bliver stjålet. Derudover bør portalen give dig mulighed for at administrere, på hvilken enhed brugeren kan få adgang til bestyrelsesportalen. Teknologien bør også omfatte beskyttelse mod jailbreaking – den proces, der bruges til at fjerne softwarebegrænsninger, der er indført af producenten af enheden.
Et andet problem er, at folk bruger mange enheder i dag, som deles mellem familiemedlemmer, så det er vigtigt at begrænse adgangen til et vist antal godkendte enheder.
I alle disse scenarier – og i forhold til din tilgang til sikkerhed generelt – er det afgørende, at sikkerhedsniveauet kontrolleres og styres centralt af organisationen og ikke af slutbrugerne.
E-signaturer er en særlig vigtig funktion inden for sikre portaler, fordi de gør det muligt for en bestyrelse at underskrive referater af bestyrelsesmøder og andre virksomhedsdokumenter eksternt, sikkert og i overensstemmelse med virksomhedens og officielle retningslinjer.
Hvis du vil sikre dig, at den elektroniske signering i din bestyrelsesportalsoftware er helt sikker, skal du tjekke, om din leverandør af bestyrelsesportaler bruger en tredjepartsløsning, og hvilke legitimationsoplysninger de har. Hos Admincontrol har vi indgået et samarbejde med Signicat AS og er som sådan en af de få virksomheder, der kan benytte EU-tillidsmærket og er en del af EU's tillidsliste.
Al administration af data hos Admincontrol foregår i Norge, og både Signicat og det datacenter, der anvendes til behandling, er ISO 27001-certificeret.
GDPR-forordningerne i EU og UK indeholder specifikke krav til virksomheder og organisationer om at opfylde de vigtigste målsætninger for databeskyttelse (hvor databeskyttelse defineres som processen med at beskytte vigtige oplysninger mod korruption, kompromittering eller tab). De stiller også klare krav til sikkerheden af persondata. Når du tjekker, om din valgte bestyrelsesportalløsning overholder disse krav, vil enhver sikkerhedscertificeringsordning såsom ISO 27001 eller en tredjeparts-sikkerhedsrapport såsom SOC 2 give bevis for, at der er tilstrækkelig sikkerhed, og at det rette niveau for databeskyttelse er på plads.
Gennem årene er det blevet bevist, at 90 % af alle adgangskoder kan knækkes på mindre end seks timer, to tredjedele af alle bruger den samme adgangskode overalt, og 57 % af de personer, der allerede er blevet snydt i phishing-angreb, har stadig ikke ændret deres adgangskoder.
Tofaktorgodkendelse bidrager til at løse dette problem, fordi det er et ekstra sikkerhedslag, der skal sikre, at kun godkendte brugere får adgang til en onlinekonto. Først skal en bruger indtaste sit brugernavn og en adgangskode som normalt. I stedet for at få adgang med det samme bliver brugeren derefter bedt om at skaffe yderligere oplysninger. Denne anden faktor kan komme fra en af følgende kategorier:
Tofaktorgodkendelse er grundlæggende for sikkerheden i enhver bestyrelsesportal. Det bør tilbydes som mulighed af ethvert bestyrelsesportalfirma, der tager sikkerhed alvorligt. Hvis muligheden er tilgængelig for dig, skal du sørge for at håndhæve brugen af den i jeres sikkerhedspolitikker.
Effektiviteten af disse foranstaltninger er veldokumenteret: Microsoft hævder, at 2FA effektivt forhindrer 99,9 % af angrebene på konti.
Ud over at evaluere din bestyrelsesportalsoftware-leverandørs tilgang til datalagring og beskyttelse af systemer med tekniske midler anbefaler vi også, at du tjekker leverandørens tilgang til medarbejdere og beskyttelse af fysiske ressourcer.
De vigtigste områder, der skal gennemgås her, er:
Screener din leverandør alle nye medarbejdere, før de tilbydes ansættelse i virksomheden? Screening skal omfatte baggrundstjek af medarbejderens tidligere roller (herunder gennemgang af offentlige oplysninger om, hvorvidt medarbejderen er eller har været involveret i uagtsomme eller kriminelle handlinger).
Produktionsmiljøet hos leverandøren af din bestyrelsesportalsoftware skal være sikret for at forhindre uautoriseret fysisk adgang til eller beskadigelse af organisationens informationer og informationsbehandlingsfaciliteter. Formålet her er at forhindre tab, beskadigelse, tyveri eller kompromittering af aktiver eller afbrydelse af organisationens aktiviteter.
Sikre områder bør også være beskyttet med passende indgangskontrol for at sikre, at kun autoriseret personale har adgang.
Den rette leverandør bør være åben omkring alle deres fysiske og ikke-fysiske sikkerhedsforanstaltninger, lytte villigt til dine spørgsmål og give dig sikkerhed for, at alle mulige processer er på plads for at holde dine data sikre og beskyttede på alle potentielle sårbarhedspunkter.
Læs mere
bestyrelsesportalsoftware er vigtig for alle organisationer, der gerne vil forbedre effektiviteten og kvaliteten af kommunikation på øverste ledelsesniveau og samtidig spare tid og penge og træffe beslutninger hurtigere.
Gennemgang af vejledningen i denne artikel vil hjælpe dig med at finde ud af, om din valgte leverandør opfylder alle disse krav, samtidig med at dine fortrolige bestyrelsesdata holdes sikre.
Hos Admincontrol gør vi spørgsmålet om sikkerhed til en af vores topprioriteter, og vi vil med glæde besvare alle spørgsmål, du måtte have om vores sikkerhedsordninger – du kan kontakte os her
Vi anbefaler også denne bredere guide til gennemgang af dine investeringer i bestyrelsesteknologi.