Säkerhet

Eposten – styrelsens säkerhetshål

Ett styrelseuppdrag är en uppgift som bör tas på största allvar, för såväl din egen som övriga kollegors och företagets skull. Enligt aktielagen omfattas styrelsearbete av strikta aktsamhetskrav. Alla företag, stora som små, bör därför nogrannt överväga sina olika arbetssätt och arbetsmetoder. Dessutom bör ni regelbundet, eller åtminstone en gång om året, utvärdera ert arbete och de olika arbetssätt/metoder ni använder er av. Systematik och ordning är två andra viktiga faktorer. Har ni t.ex. inrättat en arbetsordning i styrelsen? Finns det någon arbetsplan? Det är viktigt att alla ledamöter är medvetna om vilka uppgifter styrelsen har i företaget.



Många glömmer att informationssäkerheten är en viktig faktor i styrelsens arbete. Många chefer är säkert medvetna om och har en relation till företagets informationssäkerhet, men säkerhetstänket bör även vara en aktiv del av styrelsens riskbild och en del av företagets IT-strategi. Idag läggs alldeles för lite fokus på informationssäkerheten i styrelsen och riskerna med detta. Styrelsens arbete är oftast konfidentiellt och en överträdelse av säkerheten kan få allvarliga konsekvenser och vara extremt skadligt för företaget.
 
Vad menar jag då med risk? Jo, möjligheten att förlora eller lida skada till följd av överträdelse av säkerheten. Riskfaktorn har två dimensioner – omfattningen/effekten av förlusten eller skadan samt sannolikheten för att en säkerhetsöverträdelse kommer att inträffa.
 

Epost är oerhört viktigt, men inte tillräckligt säkert!

 

 

Epost är ett mycket användbart verktyg och är fortfarande det kommunikationsverktyg som används mest i företagsvärlden, trots konkurrens från sociala medier, chatt och andra verktyg. Den viktigaste frågan handlar egentligen inte om epostens vara eller inte vara, utan snarare vad e-posten används och framför allt inte används till. 
 
När det gäller informationssäkerhet bör följande tre krav uppfyllas:
  • Konfidentialitet. Känslig eller sekretssbelagd information bör endast vara tillgänglig för behörig personal (dvs. personer med särskild behörighet) och bör föregås av identifiering och autentisering mot systemet.
  • Informationskvalitet/integritet. Informationen ska vara fullständig, korrekt och uppdaterad, som ett resultat av auktoriserade och kontrollerade aktiviteter.
  • Tillgänglighet. Definierade krav ska vara uppfyllda för att säkerställa att aktuell information finns tillgänglig vid behov. De krav som avses gäller systemens tillförlitlighet och stabilitet. 
Standardiserade e-postsystem, som t.ex. Outlook Exchange, uppfyller inte kraven på konfidentialitet när det gäller säker kommunikation av informaion från styrelsen. Samma sak gäller för informationkvaliteten eller integriteten. E-posten kommer fram, men om meddelandet behållit sin integritet sedan den lämnade avsändaren är högst osäkert. För att bibehålla konfidentialiteten måste e-postmeddelanden krypteras, vilket försämrar användarvänligheten avsevärt och motiverar övergången till andra kommunikationsformer och verktyg för utbyte av data. 
 
Dessutom är tillgängligheten när det gäller epost begränsad till användaren och dennes förmåga att hålla ordning på informationen. Med e-post är det upp till den enskilde användaren att säkerställa att all information från styrelseordföranden eller VD sparas och är lättöverskådlig. Att det är upp till den enskilde att hålla ordning på informationen skapar utrymme för missförstånd och ökar risken för ineffektivt arbete i styrelsen. Ofta måste man lägga tid på att gå igenom information som alla egentligen borde ha tagit del av före mötet, vilket resulterar i att merparten av tiden går åt till genomgångar istället för diskussion och beslutsfattande. 

Informationsläckor sker oftare internt än externt

Analyser visar att 52 % av överträdelserna när det gäller datasäkerhet sker internt, medan återstående 48 % görs av externa hackare. Endast en liten andel av de interna läckorna sker avsiktligt eller medvetet. Analysen visar dessutom att 48 % av det oavsiktliga dataläckaget orsakas av förbiseenden, medan 50 % beror på dåliga affärsprocesser.
 
Att e-post skickas till fel adress är ganska vanligt, både på ledningsnivå och styrelsenivå. Eller på statsministernivå, vilket inträffade när en politisk rådgivare från norska Arbeiderpartiet skickade ett e-postmeddelande till fel mottagare under valkampanjen 2008 och beskrev hur partiet skulle få Siv Jensen att framstå som en surpuppa.
 
Istället för att avsluta med smk.dep.no skrev han smk.no. Meddelandet hamnade därmed inte i statsministerns inkorg som planerat, utan hos en lokal FrP-politiker som hade köpt domännamnet smk.no. 
 
Att meddelanden skickas till fel adress inträffar emellanåt och får vanligtvis inga allvarligare konsekvenser, så länge det inte gäller information som skickas på styrelse- eller koncernledningsnivå.

Hur bör då styrelsen använda epostfunktionen?

E-post är ett effektivt sätt för att informera styrelseledamöterna om var de kan hitta styrdokument, tid och plats för nästa styrelsemöte och var (med länk till dokumenten) de kan hitta den senaste versionen av arbetsplanen. E-post som rör styrelsens arbete bör inte innehålla konfidentiell information. Därför bör bilagor som t.ex. mötesprotokoll, beslut, strategidokument och övrig information som kan skada företaget eller medföra förlorade intäkter om de hamnar i konkurrenternas eller andras händer, inte skickas med epost.

 

Behöver ni ha tillgång till en anpassad styrelsesportal?

Det kan förstås vara svårt att svara på frågan om man inte vet vad en styrelseportal är, men om du känner att ni behöver ett verktyg som är anpassat efter arbetet i styrelsen, styrelsens arbetsprocesser och rådande krav på säkerhet och konfidentialitet – då är en styrelseportal precis det ni behöver! 
 
Vid val av styrelseportal är det viktigt att säkerställa att ni får tillgång till en användarvänlig samarbetslösning som hjälper styrelsen att uppfylla kraven på konfidentialitet, integritet och tillgänglighet. Det finns många lösningar på marknaden som kan användas för att utbyta dokument, men alla är inte lika säkra och användarvänliga. Dessutom finns det många lösningar som i praktiken endast fungerar som en avancerad filserver. Det finns vissa risker med att åta sig ett styrelseuppdrag. För att reducera riskerna och förbättra kontrollen är det därför oerhört viktigt att dokumentationen görs korrekt och strukturerat. Om man t.ex. dokumenterar och förtydligar att enskilda styrelsemedlemmar inte är eniga om ett beslut kan man begränsa ansvaret för den enskilde medlemmen om något skulle gå fel. 
 
Vår lösning heter Interaxo och ger dig verktygen du behöver för att skapa struktur, systematik och säkerhet i styrelsens arbete. Utöver att fungera som styrelseportal är Interaxo även ett utmärkt samarbetsverktyg som kan användas i administrativt syfte, såväl i interna som externa projekt.  
 
Vill du veta mer om hur er styrelse kan uppfylla kraven på säkerhet och konfidentialitet på ett bättre sätt? Välkommen att diskutera dina behov med oss! 
 

 

Les også

Redo att köra igång?
Kontakta oss för ytterligare information om hur du kommer igång.

Utan ytterligare förpliktelser.

Företaget

This website uses cookies: by continuing to browse this site you accept this policy. Read about our use of cookies.