Sicherheit in Führungsgremien
Täglich werden sensible elektronische Daten via Corporate-Governance-Software übermittelt: vertrauliche Strategiepapiere, M&A-Unterlagen, Besprechungen über Rechtsstreitigkeiten, Vergütung von Mitgliedern der Geschäftsleitung und vieles mehr.
Ein Datenleck oder ein Hackerangriff kann sich auf Aktienkurse und Reputation auswirken und Umsätze einbrechen lassen, ganz zu schweigen von den rechtlichen Konsequenzen sowohl für Unternehmen als auch Direktoren.
Die Anforderung: Sicherheitsmaßnahmen, die mit den aktuellen Entwicklungen Schritt halten
Die Aufrechterhaltung eines sicheren Board-Portals und einer sicheren Board-Software ist schwieriger als je zuvor.
Ausmaß, Umfang und Komplexität von Cyberbedrohungen nehmen verstärkt zu. Sie reichen vom Phishing-Betrug, bei dem Gmail-Benutzer zu gefälschten Anmeldebildschirmen geleitet wurden, bis zur WannaCry-Ransomware, die weltweit mehrere Hunderttausend Computer infizierte. Die Anzahl der Menschen, die diesem Thema zunehmend mehr Aufmerksamkeit widmet, steigt. Das gilt auch für die Aufsichtsbehörden.
So schreibt beispielsweise der Bundesstaat New York vor, dass alle dort tätigen Finanzdienstleistungsunternehmen (und auch alle ihre Kunden und Geschäftspartner) über Cybersecurity-Pläne verfügen müssen, die vom obersten Führungsgremium genehmigt sind und von Prüfpfaden bis hin zu Kundendaten alles abdecken.
Führungsgremien unterziehen Cybersecurity einer viel stärkeren Kontrolle und wenden diese Kontrolle auf ihre eigenen Aktivitäten an. Sind ihre Tagesordnungen, Protokolle, Berichte und Begleitdokumente vor den steigenden Online-Bedrohungen sicher geschützt?
Die Antwort: Schutz vor Cyberattacken, der die Arbeitsweise von Führungsgremien berücksichtigt
Aus der Sicht der Governance stützt sich ein sicheres Board-Portal auf die richtigen Personen (und nur auf die richtigen Personen), die ausnahmslos zum richtigen Zeitpunkt auf die richtigen Informationen zugreifen. Bei Kunden und Benutzern müssen die Berechtigungen für den Datenzugriff auf Benutzer- und Dokumentebene detailliert festgelegt sein und durch bestimmte.
Sicherheitsmaßnahmen muss eine unbefugte Weitergabe verhindert werden.
Geraten sensible Informationen in falsche Hände, bietet die Verschlüsselung zusätzliche Sicherheit. Dabei werden die Daten so verschlüsselt, dass nur autorisierte Parteien darauf zugreifen können. Bei sensiblen Daten der Führungsgremien muss die Verschlüsselung den branchenüblichen Best Practices entsprechen, die sich – genauso wie die Bedrohungen –kontinuierlich weiterentwickeln.
Kann das Board-Portal auf Smartphones, Laptops und Tablets verwendet werden? Achten Sie darauf, dass eine Möglichkeit für eine Fernlöschung integriert ist, falls ein Gerät verloren gehen oder kompromittiert werden sollte. Kommt für die Sicherheit des Führungsgremiums eine Cloud-Lösung zum Einsatz, müssen Sie die physische Einrichtung überprüfen, auf der die Daten gespeichert sind. Auch diese Einrichtung muss sicher sein und von überprüften und integeren Mitarbeitern betrieben werden.
Der Begriff „überprüfen“ ist hier von entscheidender Bedeutung.
Dies gilt insbesondere dann, wenn ein Unternehmen potenzielle Technologiepartner bewertet. Jeder Anbieter kann von sich behaupten, sichere Board-Software oder ein sicheres Board-Portal anzubieten. Aber ist das Produkt auch ISO-27001 zertifiziert? Und wird es strengen Tests durch externe Prüfer unterzogen?