Admincontrol Blog

Gids voor veilige Board Portal-opslag

Geschreven door Admincontrol | Dec 6, 2022 10:48:17 AM

Opslag van gegevens uit bestuursdocumenten in een tijd van verhoogd geopolitiek risico

 

Uw gids voor veilige board portal-software en de controles die u moet uitvoeren

Door de toenemende wereldwijde geopolitieke spanningen moeten organisaties zich beschermen tegen een grote verscheidenheid aan cyberaanvallen van steeds agressievere bronnen, waaronder nationale staten. 

De kwestie is vooral voor besturen zeer urgent. Kwaadwillende hackers hebben het lange tijd gemunt op bestuurders vanwege de zeer vertrouwelijke aard van de documenten waarmee zij werken. 

Dit betekent dat besturen niet alleen moeten nadenken over cyberbeveiliging als onderdeel van hun agenda voor bedrijfsrisicobeheer – ze moeten ook nadenken over hoe ze hun eigen werkterrein beveiligen.

Dit artikel helpt u begrijpen welke maatregelen nodig zijn om bestuursdocumenten binnen een board portal veilig op te slaan en te beschermen. Het zal u ook helpen na te gaan of de beveiligings- en gegevensbeschermingsmaatregelen in de board portal-software die u gebruikt of van plan bent te gebruiken, geschikt zijn voor de taak. In het bijzonder zal het u helpen om het volgende te begrijpen: 

  • Waarom een veilige board portal belangrijk is in het huidige geopolitieke klimaat
  • Welke maatregelen voor gegevensopslag en -beveiliging u moet zoeken in board portal-software 
  • Hoe u kunt controleren of u de juiste board portal-oplossing hebt voor het veilig delen van content

Met deze informatie kunt u de beveiliging van uw board portal-software controleren, mogelijke gaten in uw verdediging opsporen en uzelf in de best mogelijke situatie plaatsen om u te beschermen tegen een toenemende hoeveelheid en verscheidenheid aan risico's.  

Specifiek zullen we het hebben over 

  • De aard van de huidige geopolitieke dreiging
  • Wat board portal-software is en waarom het een belangrijke veiligheidsoverweging is
  • Wanneer board portal-software wordt gebruikt en op welke kwetsbaarheden u moet letten 
  • Hoe gegevens en documenten in een board portal worden opgeslagen - wat u moet controleren om veilig te blijven en aan de voorschriften te voldoen
  • Wat nodig is een board portal-oplossing voor het veilig delen van content
  • Andere factoren die in een veilige board portal moeten worden gezocht – personeelscontroles en fysieke beveiliging van faciliteiten

Wat is de aard van de huidige geopolitieke dreiging?

In 2021 bracht HP Wolf Security een baanbrekende studie uit waaruit bleek dat geopolitieke risico's een steeds grotere rol spelen bij cyberbeveiliging. In het rapport staat dat "cyberaanvallen op staten frequenter, gevarieerder en opener worden en ons dichter bij een punt van 'geavanceerd cyberconflict' brengen dan ooit tevoren sinds het ontstaan van het internet". 

Uit het onderzoek van HP blijkt dat het aantal incidenten de afgelopen jaren met 100% is toegenomen. Uit een nadere analyse van meer dan 200 cyberbeveiligingsincidenten die sinds 2009 verband houden met activiteiten van staten, blijkt dat bedrijven, met name grotere organisaties, nu het meest voorkomende doelwit zijn (35% van alle aanvallen). Dit was vóór defensieorganisaties, media- en communicatieorganisaties, overheden en leveranciers van kritieke infrastructuur. 

Sinds de publicatie van dat verslag in 2021 is het dreigingsniveau nog hoger geworden door het conflict in Oekraïne. Naast de toenemende cyberaanvallen tegen Oekraïne is er ook een toename van gecoördineerde aanvallen tegen Europese energie- bedrijven, financiële instellingen en communicatie-infrastructuur.  

Bedrijfsfuncties op alle niveaus binnen organisaties moeten zich nu één belangrijke vraag stellen: zijn we klaar om onze gegevens en activiteiten te beschermen tegen escalerende cyberrisico's in verband met geopolitieke spanningen? 

Besturen zijn daarop geen uitzondering – en zij moeten nagaan of zij beschikken over de beste board portal-software voor veilige gegevensopslag en het delen van content. Als uw organisatie momenteel geen board portal gebruikt, zal het u ook helpen de markt te evalueren, uw business case op te bouwen en de meest veilige portal voor uw behoeften te kiezen. 

Wat is board portal-software – en waarom is het zo belangrijk voor de veiligheid?

De beste board portal-software biedt besturen en managementteams een digitaal platform voor het delen van documenten, samenwerking, een historisch digitaal archief en toegang tot bestuursdocumenten online en offline. De documenten die via board portals worden gedeeld en geraadpleegd zijn bijvoorbeeld financiële verslagen, budgetten, HR-updates, bedrijfsstrategieën, fusievoorstellen, veiligheidsupdates en beleidsverklaringen. Als zodanig is een board portal een essentieel communicatieknooppunt. Het is ook een belangrijke opslagplaats van vertrouwelijke informatie die van potentieel grote waarde is voor criminelen en bepaalde landen die organisaties te allen tijde moeten beschermen tegen aanvallen.

Wanneer wordt board portal-software gebruikt – voor welke potentiële kwetsbaarheden moet u uitkijken?

Bestuurders zoals bedrijfssecretarissen en bestuursleden gebruiken board portal-software in de periode voor, tijdens, na en tussen bestuursvergaderingen: 

Vóór de vergadering: herinneringen sturen over vergadertijd en -locatie, beschikbaarheid bevestigen, agenda's opstellen, bestuurspakketten met vertrouwelijke en vaak gevoelige informatie samenstellen en eerdere notulen of andere relevante updates sinds de laatste vergadering uploaden. 

Tijdens de vergadering: Notuleren binnen de portal, stemmingen en besluiten vastleggen, acties toewijzen en deadlines vaststellen.

Na de vergadering: notulen versturen, het ondertekenen van besluiten na een vergadering via e-handtekening faciliteren, herinneringen voor acties instellen, bestuurders op de hoogte brengen van nieuwe uploads en stemmen over zaken die nog openstaan of goedgekeurd moeten worden.  

Tussen vergaderingen door: bestuurders, administrators en de leidinggevende teams in staat stellen tussen vergaderingen door doeltreffender te communiceren en samen te werken door overal toegang te hebben tot vertrouwelijke bedrijfsinformatie. Zij moeten ook te allen tijde veilig kunnen communiceren met andere directeuren binnen de portal. 

Met deze processen in gedachten zijn de belangrijkste factoren om rekening mee te houden wanneer u nagaat of u over veilige board portal-software beschikt: 

  1. Waar en hoe de documenten in de portal worden opgeslagen en toegankelijk worden gemaakt
  2. Hoe documenten worden beschermd wanneer gebruikers ze verzenden en delen

Hoe gegevens en documenten in een board portal worden opgeslagen - waar u op moet letten om de veiligheid te behouden en aan de voorschriften te voldoen

Gegevensopslag 

Een van de belangrijkste beloften van gebruiksvriendelijke board portal-software is dat het bestuurders in staat stelt altijd en overal veilig toegang te krijgen tot vertrouwelijke documenten. Waar die gegevens ook worden opgeslagen, ze moeten waterdicht beveiligd zijn, dus het is belangrijk om eerst na te gaan of de aanbieder van board portal-software waarmee u in zee gaat, alleen speciaal toegewezen servers en opslag gebruikt. Alleen zo kan uw board portal-partner garanderen dat de documenten die hij voor u opslaat (en waartoe hij u toegang geeft) volledig beschermd zijn. 

U moet ook de procedures voor de verwijdering van opgeslagen gegevens bestuderen. Bij Admincontrol garanderen we bijvoorbeeld dat alle informatie wordt gewist en gebruiken we een gecertificeerde provider voor het wissen van gegevensdragers.

Het is ook van vitaal belang dat u de door uw board portal-software getroffen regelingen voor "multitenancy" controleert, de methode waarmee provider van board portal-software een logische scheiding van gegevens tussen meerdere huurders (d.w.z. u en de andere klanten van uw provider) binnen hun opslagomgeving creëren. Op technisch niveau moeten de beveiligingsmechanismen die voor volledige isolatie binnen multitenancy-regelingen zorgen, worden ingebouwd in de database en de toepassingslogica van de board portal. Multitenancy-regelingen moeten ook worden geverifieerd door middel van regelmatige beveiligingstests door derden. Er moeten ook gegevensversleutelingsmechanismen aanwezig zijn ter ondersteuning van volledige scheiding door het gebruik van unieke versleutelingssleutels voor elke klant.

Beveiligingsbeheerprocessen en naleving 

Het is niet alleen belangrijk om te weten hoe en waar uw gegevens worden opgeslagen. U moet ook weten dat uw provider van board portal-software over robuuste beveiligingsprocessen beschikt die het hele bedrijf, het proces en de producten bestrijken. Het is met name van belang dat de provider zich inzet voor testprocedures van derden en door de industrie erkende certificeringen. 

De belangrijkste elementen waarop moet worden gecontroleerd zijn regelmatige penetratietests, een SOC 2-rapport en naleving van ISO 27001-2103. 

Penetratietesten 

De mobiele en webapplicaties van elke board portal moeten een sterk schild hebben tegen hackers dat wordt gecontroleerd door regelmatige penetratie- en beveiligingstests. Dergelijke tests moeten regelmatig worden uitgevoerd door externe beveiligingsdeskundigen die systematisch proberen binnen te dringen in het systeem en beveiligingslekken vinden die een hacker zou kunnen uitbuiten. Vraag de  provider van uw board portal-software wie deze tests namens hen uitvoert en hoe vaak. U moet ook nagaan of ze testen in overeenstemming met het Open Web Application Security Project® (OWASP). OWASP is een stichting zonder winstoogmerk die werkt aan de verbetering van de veiligheid van software. Het produceert ook de OWASP Top 10, een standaard bewustmakingsdocument voor ontwikkelaars en beveiliging van webapplicaties dat een brede consensus vertegenwoordigt over de meest kritieke beveiligingsrisico's voor webapplicaties.

Zo zorgt Admincontrol ervoor dat zijn externe testpartner tests uitvoert volgens de OWASP methodologie en tegen de OWASP Top 10 criteria. Daarnaast verifiëren we jaarlijks onze service tegen OWASP ASVS L2..

Externe audit via SOC 2 Type II-rapporten

SOC 2 is ontwikkeld door de AICPA (American Institute of CPA's) en definieert criteria voor het beheer van gegevens van gebruikersorganisaties op basis van de Trust Service Criteria. Deze criteria hebben betrekking op de met beveiliging, beschikbaarheid, vertrouwelijkheid en privacy verband houdende controles. 

Vraag altijd of uw board portal-provider aan deze criteria voldoet. Een SOC 2-rapport garandeert dat de provider van uw board portal-software gegevens privé en veilig houdt tijdens de verwerking of opslag, gegevens te allen tijde toegankelijk maakt en specifieke controles uitvoert met betrekking tot de vertrouwelijkheid en privacy van informatie.

ISO 27001- 2013 certificering 

ISO 27001- 2013 is de internationale norm die de beste praktijken beschrijft voor een ISMS (Information Security Management System). 

Een ISMS is een doeltreffende manier om te zorgen voor een goed beheer van de informatiebeveiliging en voor voldoende controles om het risico van inbreuken op de gegevens te beperken. Het biedt ook een solide basis voor het bereiken van naleving van de relevante regelgeving inzake gegevensbescherming en privacy, zoals de AVG. 

De ISO 27001:2013-certificering is een kritische test voor elke provider van board portals, omdat ze het hele bedrijf, het proces en de producten bestrijkt en aantoont dat de onderneming zich inzet voor een uitstekende beveiliging in elk aspect van haar dienstverlening.  

Bij Admincontrol wordt onze ISO 27001- 2013 beoordeling en certificering uitgevoerd door DNV GL, een van de toonaangevende wereldwijde leveranciers van geaccrediteerde managementsysteemcertificering. 

Wat nodig is een board portal-oplossing voor het veilig delen van content

Naast het bekijken van voorzieningen voor gegevensopslag en beveiligingsbeheercertificaten is het ook van cruciaal belang dat u nagaat of de provider van board portal-software specifieke maatregelen heeft getroffen om gegevens tijdens het transport te beschermen en ervoor te zorgen dat alleen bevoegde gebruikers toegang hebben tot de gegevens. 

Dit betekent minimaal dat de board portal die uw organisatie gebruikt, het volgende moet omvatten:

Afgeschermde communicatie via beveiligde communicatiekanalen binnen de portal 

Beveiligde portals zorgen ervoor dat alle communicatie binnen de beveiligde grenzen van de portal blijft, zodat deze nooit verloopt via onveilige en kwetsbare kanalen zoals e-mail.

Rolgebaseerde machtigingen om de toegang tot vertrouwelijke documenten te beperken 

Gebruiksvriendelijke beveiligde board portal-software biedt aanpasbare machtigingsinstellingen, zodat alleen bepaalde gebruikers toegang hebben tot bepaalde documenten met verschillende vertrouwelijkheidsniveaus, afhankelijk van hun rol. 

Apparaatcontrole om te voorkomen dat informatie in verkeerde handen valt

Een van de grote efficiëntievoordelen van digitale board portals is dat ze toegankelijk zijn op mobiele apparaten via een native app. Er zijn echter gevaren waar u op moet letten. Een provider van beveiligde portals moet uw IT-beheerders in staat stellen de inhoud van de app op afstand te wissen als het apparaat verloren of gestolen is. Bovendien moet u kunnen beheren op welk apparaat de gebruiker toegang heeft tot de board portal. De technologie moet ook bescherming bieden tegen jailbreaking – het proces waarmee softwarebeperkingen die door de fabrikant van het apparaat zijn opgelegd, worden opgeheven.

Een andere kwestie is dat mensen tegenwoordig veel apparaten gebruiken die worden gedeeld met familieleden, dus het is belangrijk om de toegang te beperken tot een bepaald aantal goedgekeurde apparaten. 

In al deze scenario's – en voor uw benadering van beveiliging in het algemeen – is het van cruciaal belang dat het beveiligingsniveau centraal door de organisatie en niet door de eindgebruikers wordt gecontroleerd en beheerd.

Beveiligde elektronische ondertekening voor goedkeuring op afstand van bestuursdocumenten 

E-handtekeningen zijn een bijzonder belangrijke functie binnen veilige portals omdat ze bestuurders in staat stellen de notulen van bestuursvergaderingen en andere bedrijfsdocumenten op afstand, veilig en in overeenstemming met bedrijfs- en officiële richtlijnen te ondertekenen. 

Om ervoor te zorgen dat de elektronische ondertekening in uw board portal-software volledig veilig is, moet u nagaan of de provider van uw board portal-software een oplossing van derden gebruikt en wat hun referenties zijn. Bij Admincontrol werken we samen met Signicat AS, en als zodanig zijn we een van de weinige bedrijven die het EU Trustmark kunnen gebruiken en deel uitmaken van de EU vertrouwenslijst

Alle gegevensverwerking van Admincontrol vindt plaats in Noorwegen en zowel Signicat als het datacenter dat voor de verwerking wordt gebruikt, is ISO 27001 gecertificeerd.

Naleving van de Algemene Verordening Gegevensbescherming (AVG) 

De AVG-verordeningen van de EU en het VK bevatten specifieke vereisten voor bedrijven en organisaties om te voldoen aan belangrijke doelstellingen op het gebied van gegevensbescherming (waarbij gegevensbescherming wordt gedefinieerd als het proces van bescherming van belangrijke informatie tegen corruptie, compromittering of verlies). Zij stellen ook duidelijke eisen aan de beveiliging van persoonsgegevens. Wanneer u nagaat of de door u gekozen board portal-oplossing voldoet aan deze vereisten, zal een beveiligingscertificatie zoals ISO 27001 of een betrouwbaarheidsrapport van een derde zoals SOC 2 het bewijs leveren dat er voldoende beveiliging en het juiste niveau van gegevensbescherming is.

Twee-factorenverificatie om zwakheden in gebruikerswachtwoorden te ondervangen, de toegang te beperken en een strenge gebruikersverificatie te garanderen 

In de loop der jaren is bewezen dat 90% van de wachtwoorden in minder dan zes uur kan worden gekraakt, dat tweederde van de mensen overal hetzelfde wachtwoord gebruikt en dat 57% van de mensen die al zijn opgelicht bij phishing-aanvallen, hun wachtwoorden nog steeds niet hebben veranderd.  

Twee-factorenverificatie helpt dit probleem op te lossen omdat het een extra beveiligingslaag is die ervoor zorgt dat alleen geauthenticeerde gebruikers toegang krijgen tot een online account. Aanvankelijk voert een gebruiker zoals gebruikelijk zijn gebruikersnaam en wachtwoord in. In plaats van meteen toegang te krijgen, moeten zij dan aanvullende informatie verstrekken. Deze tweede factor kan afkomstig zijn uit een van de volgende categorieën:  

  • Een code van een Authenticator-app op een telefoon, of een code die per sms naar een telefoon wordt gestuurd.  
  • Een biometrische indicator, zoals de 's vingerafdruk van de gebruiker (Touch ID) of gezichtsherkenning (Face ID) 

Twee-factorenverificatie is fundamenteel voor de beveiliging van elke board portal. Het zou als optie moeten worden aangeboden door elk board portal-bedrijf dat veiligheid serieus neemt. Als de optie beschikbaar is, zorg er dan voor dat u het gebruik ervan afdwingt binnen uw beveiligingsbeleid. 

De doeltreffendheid van deze maatregelen is ruimschoots bewezen: Microsoft heeft verklaard dat 2FA effectief is in het voorkomen van 99,9% van de aanvallen op accounts.

 

Andere factoren die u moet zoeken in een provider van  veilige board portal-software

Naast de evaluatie van de aanpak van de provider van board portal-software voor de opslag van gegevens en de bescherming van systemen met technische middelen, raden wij u ook aan de aanpak van de provider voor medewerkers en de bescherming van fysieke middelen te controleren.  

De belangrijkste gebieden die hier moeten worden herzien zijn: 

Screening en achtergrondcontroles

Screent uw provider alle nieuwe werknemers voordat er een baan binnen het bedrijf wordt aangeboden? De screening moet een achtergrondcontrole van de vorige functies van de werknemer omvatten (inclusief het bekijken van openbare informatie over de betrokkenheid van de werknemer bij nalatige of criminele incidenten).

Beveiligde gebieden

De productieomgeving bij de provider van uw board portal-software moet beveiligd zijn om onbevoegde fysieke toegang of schade aan de informatie en informatieverwerkingsfaciliteiten van de organisatie te voorkomen. Doel is verlies, beschadiging, diefstal of compromittering van activa of onderbreking van de activiteiten van de organisatie te voorkomen.

Fysieke toegangscontroles

Beveiligde gebieden moeten ook worden beschermd door passende toegangscontroles om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.

De juiste leverancier moet open zijn over al zijn fysieke en niet-fysieke beveiligingsmaatregelen, bereid zijn naar uw vragen te luisteren en u de verzekering geven dat alle mogelijke processen aanwezig zijn om uw gegevens veilig en beschermd te houden op alle potentiële kwetsbaarheden.

 

Ontdek meer

Board portal-software is essentieel voor elke organisatie die de efficiëntie en kwaliteit van de communicatie op hoog niveau wil verbeteren en tegelijkertijd tijd en geld wil besparen en de besluitvorming wil versnellen. 

Door de richtsnoeren in dit artikel door te nemen, kunt u vaststellen of de door u gekozen leverancier aan al deze eisen voldoet, terwijl uw vertrouwelijke bestuursgegevens veilig blijven. 

Bij Admincontrol is veiligheid een van onze topprioriteiten en we beantwoorden graag al uw vragen over onze veiligheidsregelingen – u kunt hier contact opnemen.  

Wij bevelen ook deze bredere gids aan over de evaluatie van uw investeringen in bestuurstechnologie.