Zeit sich zu fragen: Wie compliant und sicher ist ihr Boardportal?

Warum ist ein Boardportal wichtig?

Laut Russell Reynolds Studie¹, befinden sich 88% der volldigitalisierten Vorstände in den USA. In Europa hinken die Vorstände im Digitalisierungsprozess weit hinterher. Die Implementierung von digitalen Board-Portalen hat sich als mehr als nur eine praktische Lösung für bessere und effektivere Meetings erwiesen. Es ist auch eine wichtige Maßnahme, um sicherzustellen, dass die Integrität und Verfügbarkeit kritischer Informationen des Vorstands geschützt bleiben.

Wie kann man ein Boardportal wählen, das sowohl compliant als auch sicher ist?

Wenn Sie diese 5 Kriterien befolgen, können Sie sich sicher sein, für einen sicheren und compliant Anbieter entschieden zu haben:

1. Sicherstellung der Compliance mit den geltenden Gesetzen 
   
   Während Compliance in der Regel nicht das Erste ist, das in den Sinn kommt, wenn man über Sicherheit spricht, ist es zweifellos ein sehr wichtiger Bestandteil der Sicherheit. Die Auslagerung eines Geschäftsfelds beseitigt nicht die damit verbundenen regulatorischen Anforderungen. In den meisten Fällen fügt sie sogar zusätzliche Verantwortlichkeiten hinzu. Daher sollte bei der Auswahl eines Anbieters von Sitzungsmanagement Software die Einhaltung der geltenden Gesetze nicht nur im Kontext Ihres Unternehmens, sondern auch im Kontext des bewerteten Anbieters berücksichtigt werden. 
   
   Je nach Situation (z.B. Standort, Branche) von Ihnen und Ihrem Provider kann Compliance zur Herausforderung werden. Hier ist ein Beispiel für zwei Verordnungen, die in bestimmten Situationen ein großes Risiko für betroffene Unternehmen darstellen können:
   
   Die EU-DSGVO (Datenschutz Grundverordnung) ist ein europäisches Gesetz, das aus einer Reihe von Vorschriften über den Schutz und die Sicherheit personenbezogener Daten besteht. Mit dieser Gesetzgebung soll das Schutzniveau für EU-Bürger vor personenbezogenen Daten erhöht werden.
   
   Der CLOUD Act ist jedoch eine US-Verordnung, die es den amerikanischen Behörden ermöglicht, Zugang zu Daten von in den USA ansässigen Cloud-Anbietern zu erhalten, einschließlich der von ihren Tochtergesellschaften im Ausland gespeicherten Daten.
   
   Wenn Sie und Ihr Anbieter beiden Gesetzen unterliegen, könnten Sie in die Situation geraten, in der Sie sich zwischen der Verletzung der DSGVO oder dem US CLOUD Act entscheiden müssen. Dies stellt ein enormes Risiko dar, da die Bußgelder massiv sind.
   
   Daher ist es wichtig, bei der Wahl eines Anbieter von Boardportal die Nationalität des Anbieters und den Standort des Hostings zu berücksichtigen, da dies Auswirkungen auf die geltenden Vorschriften hat.
    
2. Bewertung der Sicherheit des Rechenzentrums
   
   Es ist wichtig zu verstehen, dass die Sicherheit Ihrer wertvollen Daten nicht nur durch Bedrohungen im Cyberspace beeinträchtigt werden, sondern auch durch die physische Umgebung, wo die Daten gehostet werden. Daher ist die Wahl des Rechenzentrums unerlässlich, wenn ein hohes Sicherheitsniveau erforderlich ist. Die drei Hauptkriterien sollten sein:
    

   Business continuity capability:
     • Sind Umweltgefahren berücksichtigt wie z.B. Überschwemmungen, Erdbeben etc.)?
     • Sind Redundanzen für kritische Komponenten vorhanden (Elektrizität, ISPs etc.)?

   Physische Zugangskontrolle:
     • Ist der physische Zugang nach dem "Need-to-Know"-Prinzip eingeschränkt?
     • Wird der physische Zugang kontrolliert und überwacht?
     • Werden Authentifizierung und Autorisierung durch formale Prozesse durchgeführt?
   
   Informationssicherheit:
     • Ist das Rechenzentrum nach den neuesten Standards (ISO, ISAE, SOC) zertifiziert?
    
3. Bewertung der Cyber-Resilienz
   
   Cyber-Resilienz ist oft der Schwerpunkt jeder Sicherheitsbewertung. Dies hat einen einfachen Grund: Die Durchführung eines Cyber-Angriffs erfordert keinen physischen Zugriff auf ein System, daher ist die Anzahl potentieller Risikofaktoren wesentlich höher. Eine Bewertung der Cyber-Resilienz sollte mindestens Folgendes umfassen:
   
   Verschlüsselung:
     • Sind die Daten im Ruhezustand jederzeit verschlüsselt?
     • Sind die Daten im Transfer immer verschlüsselt?
     • Werden starke Verschlüsselungsmethoden verwendet?
   
   Netzwerksicherheit:
     • Werden modernste Intrusion-Prevention-Lösungen eingesetzt?
     • Werden modernste Intrusion-Detection-Lösungen eingesetzt?
     • Sind die Systeme (gehärtet) sicher konfiguriert?
     • Gibt es einen formalen Patch-Management-Prozess?
   
   Protokollierung und Überwachung:
     • Gibt es einen dokumentierten Audit-Trail?
     • Werden Protokolle analysiert und überwacht?
     • Besteht das Risiko, dass Administratoren Protokolle manipulieren?
     • Werden kritische Komponenten angemessen überwacht?
    
4. Analyse von Authentifizierungsprozessen
   
   Authentifizierung ist ein sehr zentrales Konzept der Sicherheit. Bei der Arbeit mit sensiblen Informationen in der heutigen Zeit sollte eine Lösung starke Authentifizierungsmethoden bieten. Die Stärke/Sicherheit von Authentifizierungsmethoden kann anhand der folgenden Kriterien bewertet werden:
   
     • Werden Mindestanforderungen (Länge, Komplexität etc.) für Passwörter auferlegt?
     • Werden Passwörter im Klartext gespeichert oder übertragen (unverschlüsselt)?
     • Kann die Multi-Faktor-Authentifizierung aktiviert oder erzwungen werden?
   
   Nebenbemerkung: Da die SMS-Technologie veraltet ist, wird SMS als zweiter Authentifizierungsfaktor nun als unsicher angesehen. Deshalb sollten vor allem die Finanzindustrie und ihre Anbieter anfangen, diese Technologie zu vermeiden. Während im Zusammenhang mit sensiblen Informationen eine mehrstufige Authentifizierung mit SMS als zweitem Faktor immer noch besser ist als nur die Verwendung eines Passworts, sollten sicherere Alternativen, wie zum Beispiel die SoundProof-Lösung in Betracht gezogen werden.
    
5. Überprüfen Sie die Zertifizierungen
   
   Ryan Ettridge, PwC Partner in Digital Trust and Risk Assurance, erklärt, dass "Die Zertifizierung eine solide Möglichkeit ist, um zu zeigen, dass Sie investiert haben und weiterhin investieren, um ein angemessenes Sicherheitsniveau auf der Grundlage anerkannter Risiken aufrechtzuerhalten."²  
   
   Ein Anbieter, der vorgibt, eine sichere Lösung anzubieten, sollte seine Behauptung mit unabhängiger Assurance unterstützen. Wenn ein Unternehmen die Qualität seines Sicherheitsrahmens überprüfen möchte, gibt es viele gute und schlechte Optionen. Hier sind zwei Best-Practice-Assurances, die ein ausgezeichnetes Management der Informationssicherheit darstellen und weit verbreitet sind:
   
     • ISO 27001 zeigt, dass ein Unternehmen die höchsten Sicherheitsstandards einhält und bietet eine unabhängige, fachkundige Überprüfung, dass die Informationssicherheit in Übereinstimmung mit internationalen Best Practices verwaltet wird. Die Zertifizierung nach ISO 27001 sollte über die Rechenzentren hinausgehen und auch die Entwicklung sowie Wartung und den Betrieb der Plattform des Anbieters umfassen.
   
     • ISAE 3000 ist ein Sicherheitsstandard für Compliance-, Nachhaltigkeits- und Outsourcing-Audits. Serviceorganisationen berichten mit einem ISAE 3000-Bericht, der Informationen zu internen Prozessen und Kontrollen enthält, wie sie mit Sicherheit, Datenschutz oder Betrug umgehen. Der Bericht ISAE 3000 wird von professionellen Prüfungsgesellschaften geprüft, um sicherzustellen, dass die enthaltenen Kontrollen tatsächlich vorhanden sind und effektiv funktionieren.
   
   Ein Anbieter eines sicheren Boardportals sollte auch regelmäßige Penetrationstests durchführen. Ein Penetrationstest ist ein technisches Sicherheitsaudit, bei dem Sicherheitsspezialisten versuchen, Schwachstellen in der Software selbst zu finden. Diese Audits sollten mindestens einmal im Jahr durchgeführt werden und die Anbieter (der Penetrationstests) sollten regelmäßig wechseln. Aus Gründen der Transparenz ist es üblich, die Ergebnisse der Pentests an Kunden oder Interessenten weiterzugeben.

Wenn Sie diese Kriterien für sehr wichtig halten und überprüfen möchten, wie konform und sicher Ihr Boardportal ist, dann empfehlen wir Ihnen, die Checkliste intern mit Ihren Kollegen zu teilen. Möchten Sie gerne mehr erfahren?

1. Russell Reynolds, Digital Economy, Analog Boards: The 2013 Study of Digital Directors,2014.
2. PwC, ISO 27001 – Why is it important?, Auditor Training Blog.

 

Marc Walzer

Sicherheits- und Datenschutzbeauftragter bei Sherpany

Marc Walzer verfügt über einen MSc für angewandte Wissenschaften (FFHS) im Bereich ‘Information System Research’. Bei Sherpany ist er verantwortlich für Informationssicherheit und die angemessene Verarbeitung von personenbezogenen Daten.

Weitere Beiträge von Marc Walzer Weak TLS Encryption: a wide-spread risk

Besuchen Sie die Webseite