Admincontrol Blogg

Guide till säker lagring i styrelseportalen

Skriven av Admincontrol | Dec 6, 2022 10:44:59 AM

Lagring av data och styrelsehandlingar i en tid av ökad geopolitisk risk

 

Din guide till säker styrelseportalmjukvara och de kontroller du behöver göra

De ökande globala geopolitiska spänningarna gör att organisationer måste skydda sig mot en mängd olika cyberattacker från alltmer aggressiva källor, även nationalstater. 

Frågan är särskilt angelägen för styrelserna. Under lång tid har hackare riktat in sig på styrelseledamöter på grund av den mycket konfidentiella karaktären hos de dokument som de arbetar med. 

Detta innebär att styrelser inte bara behöver överväga cybersäkerhet som en punkt på riskhanteringsagendan – de måste också tänka på hur de skyddar sin egen kommunikation.

Den här artikeln hjälper dig att förstå de åtgärder som måste vidtas för att lagra och skydda styrelsedokument i en styrelseportal på ett säkert sätt. Den tipsar dig också om hur du kontrollerar om säkerhets- och dataskyddsåtgärderna i styrelseportalmjukvaran ditt företag använder, eller har planer på att använda, är lämpliga för uppgiften. Artikeln tar bland annat upp följande: 

  • Varför en säker styrelseportal är viktig i det nuvarande geopolitiska klimatet
  • Vilka datalagrings- och skyddsåtgärder man bör leta efter i styrelseportalmjukvaran 
  • Hur man kan kontrollera att man har rätt styrelseportallösning för säker innehållsdelning

Med den här informationen kommer du att kunna granska säkerheten hos styrelseportalmjukvaran, identifiera potentiella luckor i företagets säkerhetsbarriärer och ge organisationen bästa möjliga förutsättningar att skydda sig mot allt ett växande antal risker.  

Vi tar specifikt upp följande: 

  • Det nuvarande geopolitiska hotets karaktär 
  • Vad styrelseportalmjukvara är och varför det är en viktig säkerhetsfaktor
  • När styrelseportalmjukvara används och sårbarheterna att se upp med 
  • Hur data och dokument i en styrelseportal lagras – vad man ska titta efter för att hålla sig skyddad och följa reglerna
  • Vad man bör titta efter i en styrelseportallösning för säker innehållsdelning
  • Andra egenskaper att leta efter i en säker styrelseportal – medarbetarkontroller och fysiskt skydd av anläggningar

Hur ser det aktuella geopolitiska hotet ut?

HP Wolf Security presenterade 2021 en studie som visar att geopolitiken spelar allt större roll inom cybersäkerhet. I rapporten hävdas att ”nationalstatliga cyberattacker blir allt vanligare, varierade och öppna, och vi är närmare en ’avancerad cyberkonflikt’ än någonsin sedan internets början". 

HP-undersökningen visade att det har skett en hundraprocentig ökning av nationalstatsincidenter de senaste åren. Ytterligare analyser av över 200 cybersäkerhetsincidenter kopplade till nationalstatsaktiviteter sedan 2009 visade att företag, särskilt större organisationer, numera är det vanligaste målet (35 % av alla attacker). Utsattheten var större än för försvarsorganisationer, medie- och kommunikationsorganisationer, myndigheter och leverantörer av kritisk infrastruktur. 

Sedan rapporten släpptes 2021 har hotnivån stigit ytterligare efter krigsutbrottet i Ukraina. Förutom de ökande cyberattackerna mot Ukraina har det också skett en ökning av samordnade attacker mot europeiska energiföretag, finansinstitut och kommunikationsinfrastruktur.  

Affärsfunktioner på alla nivåer inom organisationer måste nu ställa sig en viktig fråga: är vi redo att skydda våra data och vår verksamhet mot eskalerande cyberrisker som följer med geopolitiska spänningar? 

Styrelser är inget undantag – och de måste börja med att granska om de har den bästa styrelseportalmjukvaran för säker datalagring och innehållsdelning. Om styrelsen ännu inte använder en styrelseportal fungerar den här guiden också för att utvärdera marknaden, bygga business case och välja den säkraste portalen för behoven. 

Vad är styrelseportalmjukvara och varför är det så viktigt för säkerheten?

Den bästa programvaran för styrelseportaler ger styrelser och ledningsgrupper en digital plattform för dokumentdelning, samarbete, ett historiskt digitalt arkiv och tillgång till styrelsedokument online och offline. De dokument som delas och nås via styrelseportaler kan innehålla finansiella rapporter, budgetar, HR-uppdateringar, företagsstrategier, fusionsförslag, säkerhetsuppdateringar och policyuttalanden. Styrelseportalen är alltså ett betydande kommunikationsnav. Den är också ett viktigt arkiv med konfidentiell information som är av potentiellt högt värde för brottslingar och vissa länder. Den måste alltid vara skyddad mot attacker.

När används styrelseportalmjukvara – vilka potentiella sårbarheter behöver man se upp med?

Styrelseportalmjukvara används av administratörer som styrelsesekreterare och styrelseledamöter före, under och efter styrelsemöten. 

Före mötet: för att skicka påminnelser om tid och plats för mötet, bekräfta tillgänglighet, skapa dagordningar, sammanställa mötespaket och ladda upp tidigare protokoll eller andra relevanta uppdateringar sedan det senaste styrelsemötet. 

Under mötet: för att skapa protokoll i portalen, registrera omröstningar och beslut, tilldela åtgärder och ange tidsfrister.

Efter mötet: för att säkert skicka protokoll, underlätta signering av protokoll och beslut efter mötet via e-signering, ställa in påminnelser om åtgärder, meddela chefer om nya uppladdningar och aktivera omröstningar om frågor som fortfarande är öppna eller kräver godkännande.  

Mellan möten: gör det möjligt för styrelseledamöter, administratörer och de ledningsgrupper de interagerar med att samarbeta mer effektivt mellan möten genom att behöriga personer kan komma åt konfidentiell företagsinformation var som helst ifrån. De bör också kunna kommunicera säkert med andra styrelseledamöter när som helst inom portalen. 

Med dessa processer i åtanke finns det några viktiga faktorer att tänka på när man kontrollerar om man har en säker styrelseportalmjukvara: 

  1. Var och hur dokumenten i portalen lagras och görs tillgängliga för åtkomst
  2. Hur dokument skyddas när användare skickar och delar dem

Hur data och dokument i en styrelseportal lagras – vad man ska titta efter för att hålla sig skyddad och följa reglerna

Lagring av data 

En av de viktigaste funktionerna för en lättanvänd styrelseportalmjukvara är att styrelseledamöter säkert kan komma åt konfidentiella dokument när som helst och var som helst. Oavsett var data lagras måste vara det vara helt säkert, så först är det viktigt att kontrollera om leverantören av styrelseportalmjukvaran endast använder dedikerade servrar och lagring. Endast på det sättet kan leverantören säkerställa att de dokument de lagrar åt er (och ger er åtkomst till) är helt skyddade. 

Man bör också kontrollera vilka rutiner som finns för radering av lagrade data. På Admincontrol garanterar vi till exempel att all information raderas och vi använder en certifierad leverantör för radering av datalagringsmedia.

Det är också viktigt att man granskar styrelseportalmjukvarans upplägg för multitenans, alltså den metod som används för att skapa en logisk uppdelning av data mellan flera klienter (dvs. er organisation och leverantörens övriga kunder) i deras lagringsmiljö. På teknisk nivå bör de säkerhetsmekanismer som säkerställer fullständig isolering inom lösningar med flera användare vara inbyggt i styrelseportalens databas och programlogik. Multitenans bör också verifieras genom regelbundna säkerhetstester som utförs av tredje part. Dessutom bör det finnas datakrypteringsmekanismer för att stödja fullständig separering med hjälp av unika krypteringsnycklar för varje kund.

Processer och regelefterlevnad för säkerhetshantering 

Det är inte bara viktigt att veta hur och var data lagras. Man måste också veta att leverantören av styrelseportalmjukvaran har robusta säkerhetsprocesser som omfattar hela verksamheten, alla processer och produkter. I synnerhet är det viktigt att leverantören tillämpar testförfaranden från tredje part och har erkända branschcertifieringar. 

De viktigaste elementen att kontrollera här är att det görs regelbundna penetrationstester, att det finns en SOC 2-rapport och att mjukvaran överensstämmer med ISO 27001:2103. 

Penetrationstester 

Mobil- och webbapplikationer i en styrelseportal bör ha en stark sköld mot hackare som verifieras genom penetrations- och säkerhetstester. Sådana tester bör utföras regelbundet av säkerhetsexperter från tredje part som systematiskt försöker ta sig in i systemet och hitta säkerhetshål som en hackare skulle kunna utnyttja. Fråga leverantören av styrelseportalmjukvaran vem som gör dessa tester för deras räkning och hur ofta. Kontrollera också om de testar i enlighet med OWASP (Open Web Application Security Project®). OWASP är en ideell stiftelse som arbetar för att förbättra säkerheten i programvaror. Stiftelsen tar fram OWASP Top 10, ett dokument för utvecklare och webbapplikationssäkerhet som listar de största säkerhetsproblemen för webbapplikationer.

Till exempel säkerställer Admincontrol att vår testpartner utför tester med OWASP-metodik och mot OWASP Top 10-kriterier. Dessutom verifierar vi vår tjänst mot OWASP ASVS L2 varje år.

Extern revision via SOC 2 typ II-rapporter

SOC 2 är utvecklat av AICPA (American Institute of Certified Public Accountants) och definierar kriterier för hantering av användarorganisationers data baserat på Trust Service Criteria. Dessa kriterier avser kontroller som är kopplade till säkerhet, tillgänglighet, sekretess och integritet. 

Fråga alltid om styrelseportalleverantören uppfyller dessa kriterier. En SOC 2-rapport säkerställer att leverantören för styrelseportalmjukvaran håller data privata och säkra under bearbetning och lagring, ser till att data ständigt är tillgängliga och implementerar specifika kontroller av informationssekretess och integritet.

ISO 27001:2013-certifiering 

ISO 27001:2013 är den internationella standarden som beskriver bästa praxis för ett ISMS (Information Security Management System). 

Ett ISMS är ett effektivt sätt att säkerställa en korrekt hantering av informationssäkerhet och tillräckliga kontroller för att minska risken för dataintrång. Standarden är också en bra utgångspunkt för att uppnå överensstämmelse med gällande bestämmelser om dataskydd och sekretess, exempelvis GDPR. 

ISO 27001:2013-certifieringen är ett viktigt test av styrelseportalleverantörer eftersom den omfattar hela verksamheten, processer och produkter, och tyder på ett genuint engagemang hos leverantörerna att tillhandahålla utmärkt säkerhet för alla aspekter av sina tjänster.  

På Admincontrol utförs bedömningen och ISO 27001:2013-certifieringen av DNV, en av de ledande globala leverantörerna av ackrediterade certifikat för managementsystem. 

Vad man bör titta efter i en styrelseportallösning för säker innehållsdelning

rutom att granska bestämmelser för datalagring och säkerhetshanteringscertifieringar är det också viktigt att kontrollera om leverantören av styrelseportalmjukvaran har särskilda åtgärder för att skydda data under överföring och ser till att endast behöriga användare kan komma åt dem. 

Den styrelseportal man väljer bör inkludera följande:

Avgränsad kommunikation via säkra kommunikationskanaler inom portalen 

Säkra portaler säkerställer att all kommunikation förblir innanför portalens säkra gränser så att den aldrig sker via osäkra och sårbara kanaler som e-post.

Rollbaserade behörigheter för att begränsa åtkomsten till konfidentiella dokument 

Lättanvända och säkra styrelseportalmjukvaror har anpassningsbara behörighetsinställningar så att endast vissa användare kan komma åt vissa dokument på olika sekretessnivåer, beroende på vilken roll de har. 

Enhetskontroll för att förhindra att information hamnar i fel händer

En av de stora effektivitetsfördelarna med digitala styrelseportaler är att de är tillgängliga på mobila enheter via en app. Det finns dock faror att vara uppmärksam på. En säker portalleverantör bör göra det möjligt för era IT-administratörer att fjärradera innehållet i appen om enheten försvinner eller blir stulen. Dessutom bör man kunna hantera på vilken enhet användaren kan komma åt styrelseportalen. Tekniken bör också innehålla skydd mot jailbreaking – en process som används för att ta bort programvarubegränsningar som lagts in av enhetstillverkaren.

Ett annat problem är att många enheter idag delas med familjemedlemmar, så det är viktigt att begränsa åtkomsten till ett visst antal godkända enheter. 

I alla dessa scenarier – och när det gäller säkerhetsinställningar i allmänhet – är det avgörande att säkerhetsnivån styrs och hanteras centralt av organisationen och inte av slutanvändarna.

Säker elektronisk signering för distansgodkännande av styrelsedokument 

E-signering är en särskilt viktig funktion i säkra portaler eftersom de möjliggör för ledamöter att underteckna protokoll från styrelsemöten och andra företagsdokument på distans, säkert och i enlighet med företagets och myndigheternas riktlinjer. 

För att säkerställa att den elektroniska signeringen i styrelseportalmjukvaran är helt säker måste man kontrollera om styrelseportalleverantören använder en tredjepartslösning och vad deras autentiseringsuppgifter är. På Admincontrol samarbetar vi med Signicat AS och är därmed ett av få företag som kan använda märkningen EU Trustmark och som finns med på EU trust list

All databehandling som Admincontrol utför sker i Norge och både Signicat och datacentret som används för behandlingen är ISO 27001-certifierade.

Efterlevnad av den allmänna dataskyddsförordningen (GDPR) 

EUs och Storbritanniens dataskyddsförordningar har specifika villkor för företag och organisationer som måste uppfylla viktiga krav för dataskydd (där dataskydd definieras som processen att skydda viktig information mot korruption, kompromettering eller förlust). De ställer också tydliga krav på säkerheten kring personuppgifter. När man kontrollerar om styrelseportallösningen uppfyller dessa krav kommer alla säkerhetscertifieringsstandarder som ISO 27001 eller en tredjeparts bestyrkanderapporter som SOC 2 att bevisa att tillräcklig säkerhet och rätt nivå av dataskydd finns på plats.

Tvåfaktorautentisering för att minska riskerna med svaga användarlösenord, begränsa åtkomst och säkerställa strikt användarverifiering 

Det har visat sig att 90 % av lösenorden kan knäckas på mindre än sex timmar, två tredjedelar av människor använder samma lösenord överallt och 57 % av dem som tidigare blivit lurade i nätfiskeattacker har ännu inte ändrat sina lösenord.  

Tvåfaktorautentisering bidrar till att lösa det här problemet eftersom det tillför ett extra säkerhetslager som säkerställer att endast autentiserade användare har åtkomst till onlinekonton. Först anger användaren användarnamn och lösenord som vanligt. Istället för att få åtkomst direkt måste man ange ytterligare information. Denna information kan vara något av följande:  

  • En kod från en Authenticator-app på telefonen, eller en kod som skickas via SMS till telefonen  
  • En biometrisk indikator, t.ex. fingeravtryck (Touch ID) eller ansiktsigenkänning (Face ID) 

Tvåfaktorautentisering är grundläggande för säkerheten för alla styrelseportaler. Det bör erbjudas som ett alternativ av alla styrelseportaleverantörer som tar säkerheten på allvar. Om alternativet är tillgängligt, se till att implementera det i era säkerhetspolicyer. 

Effektiviteten hos dessa åtgärder är väl beprövad: Enligt Microsoft är tvåfaktorautentisering effektivt för att förhindra 99,9 % av alla attacker mot konton

Andra egenskaper  att leta efter hos en säker leverantör av styrelseportalmjukvara

Utöver att utvärdera leverantörens metod för datalagring och systemskydd i styrelseportalmjukvaran via tekniska lösningar, rekommenderar vi att man också kontrollerar leverantörens hantering av anställda och skyddet av fysiska resurser.  

De viktigaste områdena att granska här inkluderar: 

Screening och bakgrundskontroller

Screenar leverantören alla nyanställda innan de erbjuds anställning inom företaget? Screeningen bör omfatta kontroll av den anställdes tidigare roller (inklusive granskning av offentlig information om den anställde varit inblandad i incidenter som innefattar vårdslöshet eller kriminella handlingar).

Skyddade anläggningar

Produktionsmiljön för leverantören av styrelseportalmjukvaran bör vara skyddad för att förhindra obehörig fysisk åtkomst eller skada på organisationens information och informationsbehandlingsanläggningar. Syftet är att förhindra förlust, skada, stöld eller kompromettering av tillgångar eller avbrott i organisationens verksamhet.

Fysiska inpasseringskontroller

Säkerhetsområden bör också skyddas genom lämpliga inpasseringskontroller för att säkerställa att endast behörig personal får tillträde.

En leverantör bör vara öppen om alla sina fysiska och icke-fysiska säkerhetsåtgärder, vara villig att lyssna på frågor och kunna ge en försäkran om att alla processer är på plats för att hålla era data säkra och skyddade vid alla potentiella sårbarhetspunkter.

Läs mer

Styrelseportalmjukvara är viktigt för organisationer som vill förbättra effektiviteten och kvaliteten på kommunikationen på ledningsnivå samtidigt som de sparar tid, pengar och snabbar upp beslutsfattandet. 

Med hjälp av råden i den här artikeln kan man fastställa om en tilltänkt leverantör uppfyller alla nödvändiga krav, samtidigt som konfidentiella styrelsedata skyddas. 

På Admincontrol är säkerhetsaspekten en av våra högsta prioriteringar och vi svarar gärna på frågor om våra säkerhetsarrangemang – kontakta oss här.  

Vi rekommenderar också den här bredare guiden till hur man ser över styrelsens tekniklösningar.