Midt i økende globale geopolitiske spenninger, må organisasjoner beskytte seg selv mot et bredt spekter av nettangrep fra stadig mer aggressive kilder, inkludert nasjonalstater.
Problemet er spesielt presserende for styrer. I lang tid har ondsinnede hackere rettet seg mot styremedlemmer, siden dokumentene de jobber med er svært konfidensielle.
Dette betyr at styrer ikke bare må tenke på nettsikkerhet som en del av agendaen for risikostyring for virksomheten – de må også tenke på hvordan de sikrer sitt eget arbeidsområde.
Denne artikkelen vil hjelpe deg til å forstå tiltakene som må være på plass for å lagre og beskytte styredokumenter i en styreportal på en sikker måte. Den vil også hjelpe deg med å sjekke om sikkerhets- og databeskyttelsestiltakene i styreportalprogramvaren du bruker eller har tenkt å ta i bruk, passer til oppgaven. Artikkelen vil spesielt hjelpe deg til å forstå:
Med denne informasjonen vil du kunne gjennomgå sikkerheten til styreportalprogramvaren din, identifisere potensielle hull i forsvarsverkene dine og posisjonere deg best mulig for å beskytte deg mot risikoer som blir stadig flere og mer mangfoldige.
Spesifikt vil vi dekke
I 2021 ga HP Wolf Security ut en banebrytende studie som fremhevet at geopolitisk risiko blir en stadig viktigere faktor for nettsikkerhet. Rapporten fastslo at «nasjonalstatlige nettangrep blir hyppigere, mer varierte og åpne; og fører oss nærmere mot en ‘avansert cyberkonflikt’ enn vi noen gang har vært siden Internetts begynnelse».
HP-undersøkelsen viste at det har vært en økning i nasjonalstatsrelaterte hendelser på 100 % i løpet av de siste årene. Videre analyse av over 200 nettsikkerhetshendelser knyttet til nasjonalstatlig aktivitet siden 2009 indikerte at bedrifter, spesielt større organisasjoner, nå er det vanligste målet (35 % av alle angrep). Dette er mer enn forsvarsorganisasjoner, medie- og kommunikasjonsorganisasjoner, myndigheter og leverandører av kritisk infrastruktur.
Siden denne rapporten ble utgitt i 2021, har trusselnivået vokst til et enda større nivå etter konflikten i Ukraina. I tillegg til økende cyberangrep mot Ukraina, har det også vært en økning i samordnede angrep mot europeiske energiselskaper, finansinstitusjoner og kommunikasjonsinfrastruktur.
Forretningsfunksjoner på alle nivåer i organisasjoner må nå stille seg ett avgjørende spørsmål: Er vi klare til å beskytte dataene og operasjonene våre mot økende cyberrisikoer i forbindelse med geopolitiske spenninger?
Styrer er ikke et unntak – og de må starte med å vurdere om de har den beste styreportalprogramvaren for sikker datalagring og deling av innhold. Hvis organisasjonen din for øyeblikket ikke bruker en styreportal, vil den også hjelpe deg med å evaluere markedet, bygge en prosjektbegrunnelse og velge den sikreste portalen for dine behov.
Den beste styreportalprogramvaren gir styrer og ledergrupper en digital plattform for deling av dokumenter, samarbeid, et historisk digitalt arkiv og tilgang til styredokumenter online og offline. Dokumentene som deles og gis tilgang til via styreportaler kan inkludere økonomiske rapporter, budsjetter, HR-oppdateringer, bedriftsstrategier, fusjonsforslag, sikkerhetsoppdateringer og policyerklæringer. En styreportal er derfor et avgjørende senter for kommunikasjon. Det er også et sentralt lagringssted for konfidensiell informasjon som potensielt er av høy verdi for kriminelle og visse land, som organisasjoner til enhver tid må beskytte mot angrep.
Administratorer, slik som selskapssekretærer og styremedlemmer, bruker styreportalprogramvare før, under, etter og mellom styremøter:
Før møtet: for å sende påminnelser om møtetidspunkt og -sted, bekrefte tilgjengelighet, opprette agendaer, sette sammen styrepakker med konfidensiell og ofte sensitiv informasjon, samt laste opp tidligere referater eller andre relevante oppdateringer siden siste møte fant sted.
Under møtet: for å notere referater i portalen, registrere stemmer og beslutninger, tildele handlinger og sette tidsfrister.
Etter møtet: for å sende referater, legge til rette for signering på beslutninger med e-signatur, sette påminnelser om handlinger, varsle styremedlemmer om nye opplastinger og gjøre det mulig å stemme over punkter som fortsatt er åpne eller krever godkjenning.
Mellom møtene: for å gjøre det mulig for styremedlemmer, administratorer og ledergrupper å samhandle med hverandre og samarbeide mer effektivt mellom møter, ved å ha tilgang til konfidensiell selskapsinformasjon fra hvor som helst. De bør også når som helst kunne kommunisere på en sikker måte med andre styremedlemmer i portalen.
Med disse prosessene i tankene, er de viktigste faktorene du må vurdere når du sjekker om du har en sikker styreportalprogramvare:
En av de viktigste egenskapene ved en brukervennlig styreportalprogramvare er at den gjør det mulig for styremedlemmer å få tilgang til konfidensielle dokumenter på en sikker måte, når som helst og fra hvor som helst. Uansett hvor data lagres må sikkerheten være vanntett, så først er det viktig å sjekke om leverandøren av styreportalprogramvare du er i kontakt med kun bruker dedikerte servere og lagringsplass. Bare på denne måten kan styreportalpartneren din sikre at dokumentene de lagrer for deg (og gir deg tilgang til) er fullstendig beskyttet.
Du bør også forhøre deg om prosessene for avhending av lagrede data. Hos Admincontrol garanterer vi for eksempel at all informasjon slettes, og vi bruker en sertifisert leverandør for sletting av datalagringsmedier.
Det er også svært viktig at du evaluerer oppsett i styreportalprogramvaren for «multitenancy» eller «multi-instans», som er metoden styreportalleverandører bruker til å opprette en logisk segregering av data mellom flere leietakere (dvs. deg og leverandørens andre kunder) i lagringsmiljøet deres. På et teknisk nivå bør sikkerhetsmekanismene som sikrer full isolasjon innen multitenancy-ordninger, bygges inn i styreportalens database- og applikasjonslogikk. Multitenancy-ordninger bør også verifiseres gjennom jevnlige tredjeparts sikkerhetstester. Datakrypteringsmekanismer bør også være til stede for å støtte full segregering ved å bruke unike krypteringsnøkler for hver kunde.
Det er ikke bare viktig å vite hvordan og hvor dataene dine lagres. Du må også være sikker på at leverandøren din av styreportalprogramvare har robuste sikkerhetsprosesser som dekker hele virksomheten, prosessen og produktene. Det er spesielt viktig at leverandøren deltar i tredjeparts testprosedyrer og anerkjente sertifiseringsprosesser for bransjen.
De viktigste elementene å se etter her er regelmessig penetrasjonstesting, en SOC 2-rapport og samsvar med ISO 27001:2103.
Enhver styreportals mobiltelefon- og webapplikasjoner bør ha en solid beskyttelse mot hackere, som bør verifiseres av regelmessig penetrasjons- og sikkerhetstesting. Slike tester bør utføres regelmessig av tredjeparts sikkerhetseksperter som systematisk forsøker å trenge inn i systemet og finne sikkerhetshull som en hacker potensielt kan utnytte. Spør din leverandør av styreportalprogramvare om hvem som utfører denne testingen på deres vegne, og hvor ofte. Du bør også sjekke om de tester i tråd med Open Web Application Security Project® (OWASP). OWASP er en ideell stiftelse som arbeider for å forbedre programvaresikkerhet. Den gir også ut OWASP Top 10, et standard bevissthetsdokument for utviklere og webapplikasjonssikkerhet som representerer en bred konsens om de mest kritiske sikkerhetsrisikoene for webapplikasjoner.
Admincontrol sørger for eksempel for at deres tredjeparts testpartner utfører tester med OWASP-metodikk og i henhold til OWASPs Top 10-kriterier. I tillegg verifiserer vi tjenesten vår mot OWASP ASVS L2 hvert år.
SOC 2 er utviklet av AICPA (American Institute of CPA’s) og definerer kriterier for administrering av brukerorganisasjoners data basert på Trust Service Criteria. Disse kriteriene gjelder kontroller i forbindelse med sikkerhet, tilgjengelighet, konfidensialitet og personvern.
Spør alltid om styreportalleverandøren din oppfyller disse kriteriene. En SOC 2-rapport sikrer at din leverandør av styreportalprogramvare sørger for at data er private og sikre under behandling eller lagring, gjør data tilgjengelige når som helst og implementerer spesifikke kontroller knyttet til konfidensialitet og personvern for informasjon.
ISO 27001: 2013 er den internasjonale standarden som beskriver beste praksis for en ISMS (Information Security Management System – styringssystem for informasjonssikkerhet).
En ISMS er en effektiv måte å sikre riktig administrering av informasjonssikkerhet og tilstrekkelige kontroller for å redusere risikoen for datainnbrudd. Den gir også et solid grunnlag for overholdelse av de relevante forskriftene for datasikkerhet og personvern, som for eksempel GDPR.
ISO 27001:2013-sertifiseringen er en avgjørende test for enhver styreportalleverandør, siden den dekker hele virksomheten og alle prosesser og produkter og viser en solid forpliktelse til å levere en utmerket sikkerhet gjennom alle aspekter av tjenesten.
Hos Admincontrol er vurderingene og sertifiseringene våre i henhold til ISO 27001- 2013 utført av DNV GL, som er en av de ledende globale leverandørene av akkreditert sertifisering av styringssystemer.
I tillegg til å se på bestemmelser for datalagring og sertifiseringer av sikkerhetsstyring, er det også avgjørende å gjennomgå hvorvidt leverandøren din av styreportalprogramvare har innført spesifikke tiltak for å beskytte data under overføring og sikre at kun autoriserte brukere har tilgang til dem.
På grunn av dette bør styreportalen som organisasjonen din innfører, som et minimum inkludere disse faktorene:
Sikre portaler sikrer at all kommunikasjon forblir innen portalens sikre grenser, slik at den aldri gjøres gjennom usikre og sårbare kanaler som e-post.
Sikker styreportalprogramvare som er enkel å bruke gir tilpassbare innstillinger for rettigheter, slik at kun enkelte brukere kan få tilgang til spesifikke dokumenter med ulike nivåer av konfidensialitet i henhold til rollene deres.
En av de store fordelene for effektivitet ved digitale styreportaler, er at de er tilgjengelige på mobile enheter via en integrert app. Det finnes imidlertid farer man må være klar over. En sikker styreportalleverandør bør gjøre det mulig for dine IT-administratorer å nullstille innholdet i appen eksternt hvis enheten går tapt eller blir stjålet. I tillegg bør den la deg styre hvilken enhet brukeren kan få tilgang til styreportalen med. Teknologien bør også inkludere beskyttelse mot jailbreaking – prosessen som brukes for å fjerne programvarebegrensninger som er definerte av produsenten av enheten.
Et annet problem er at folk bruker mange enheter i dag som deles med familiemedlemmer, og derfor er det viktig å begrense tilgangen til et visst antall godkjente enheter.
I alle disse scenarioene – og for tilnærmingen din til sikkerhet generelt – er det avgjørende at sikkerhetsnivået kontrolleres og administreres sentralt av organisasjonen og ikke av sluttbrukere.
E-signaturer er en spesielt viktig funksjon i sikre styreportaler fordi de gjør det mulig for styremedlemmer å signere referatene fra styremøter og andre selskapsdokumenter eksternt, sikkert og i samsvar med selskapets retningslinjer og offisielle regler.
For å sikre at den elektroniske signeringen i din styreportalprogramvare er helt sikker, må du sjekke om styreportalleverandøren bruker en tredjepartsløsning og hvilke akkreditiver de har. Hos Admincontrol har vi inngått et partnerskap med Signicat AS, og er dermed ett av få selskaper som kan bruke EUs Trustmark og som er på EUs «Trusted List».
All Admincontrols databehandling utføres i Norge, og både Signicat og datasenteret som benyttes for behandling er ISO 27001-sertifiserte.
EUs og Storbritannias GDPR-forordning fastsetter spesifikke krav bedrifter og organisasjoner må overholde for å oppfylle nøkkelmål i forbindelse med databeskyttelse (hvor databeskyttelse defineres som prosessen for å beskytte viktig informasjon mot forfalskning, farer og tap). Den stiller også klare krav til sikkerhet for personopplysninger. Når du sjekker om styreportalløsningen du har valgt oppfyller disse kravene, vil alle ordninger for sikkerhetssertifisering – som ISO 27001 eller en tredjeparts rapport som SOC 2 – gi beviser for at tilstrekkelig sikkerhet og et riktig nivå av databeskyttelse er på plass.
Gjennom årene har det vist seg at 90 % av passord kan knekkes på under seks timer, at to tredjedeler av personer bruker samme passord overalt, og at 57 % av personer som allerede har blitt lurt i phishing-angrep fortsatt ikke har endret passordene sine.
Tofaktorautentisering (2FA) hjelper med å løse dette problemet, fordi det er et ekstra lag av sikkerhet som sikrer at kun godkjente brukere får tilgang til en nettbasert konto. I utgangspunktet vil en bruker skrive inn brukernavnet og passordet sitt som vanlig. Istedenfor å få tilgang med en gang, vil de deretter bli pålagt å gi ytterligere informasjon. Denne andre faktoren kan komme fra én av disse kategoriene:
Tofaktorautentisering er grunnleggende for sikkerheten for enhver styreportal. Det bør leveres som et alternativ av enhver styreportalleverandør som tar sikkerhet på alvor. Hvis alternativet er tilgjengelig, må du sørge for å håndheve bruken av det i retningslinjene for sikkerhet.
Det er utførlig bevist at disse tiltakene er effektive: Microsoft har uttalt at 2FA effektivt fungerer for å hindre 99,9 % av angrep på kontoer.
I tillegg til å evaluere tilnærmingen leverandøren av styreportalprogramvare har til datalagring og beskyttelse av systemer gjennom tekniske metoder, anbefaler vi også at du sjekker leverandørens tilnærming til ansatte og beskyttelse av fysiske ressurser.
De viktigste områdene å gjennomgå her inkluderer:
Screener leverandøren din alle nyansatte før ansettelse i selskapet tilbys? Screeningen bør inkludere bakgrunnssjekker av den ansattes tidligere roller (inkludert gjennomgang av offentlig informasjon om at den ansatte har vært involvert i forsømmelser eller straffbare hendelser).
Produksjonsmiljøet til leverandøren din av styreportalprogramvare bør være sikret for å hindre uautorisert fysisk tilgang til eller skade på organisasjonens informasjon og systemer for informasjonsbehandling. Målet her er å forhindre tap, skade, tyveri eller kompromittering av eiendeler eller forstyrrelser av organisasjonens drift.
Sikre områder bør beskyttes av hensiktsmessige adgangskontroller for å sikre at kun autorisert personell har tilgang.
Den riktige leverandøren bør være åpen om alle sine fysiske og ikke-fysiske sikkerhetstiltak og være villig til å lytte til spørsmålene dine og til å gi deg forsikringer om at alle mulige prosesser er på plass for å sikre dine data og beskytte dem på alle mulige sårbarhetspunkter.
Styreportalprogramvare er en nødvendighet for alle organisasjoner som ønsker å forbedre effektiviteten og kvaliteten av kommunikasjoner på toppledernivå, samtidig som de sparer tid og penger og akselererer beslutningstaking.
Å gjennomgå retningslinjene i denne artikkelen vil hjelpe deg til å fastslå om leverandøren du har valgt oppfyller alle disse kravene, samtidig som sikkerheten for dine konfidensielle styredata opprettholdes.
Hos Admincontrol er spørsmålet om sikkerhet en av våre viktigste prioriteringer, og vi svarer gjerne på eventuelle spørsmål du måtte ha om noen av sikkerhetsordningene våre – du kan kontakte oss her.
Vi anbefaler også denne bredere veiledningen om Evaluering av dine investeringer i styreteknologi