Quanto è conforme e sicuro il tuo board portal? È tempo di scoprirlo.

Perché è importante avere un portale per le riunioni di direzione e del consiglio di amministrazione?

Secondo lo studio di Russell Reynolds, l'88% dei consigli di amministrazione più digitalizzati si trova negli Stati Uniti.¹ In Europa, i CdA sono molto in ritardo nel diventare esperti del digitale. L'implementazione di portali per l'ottimizzazione dei meeting ha dimostrato di essere più di una semplice soluzione pratica per riunioni migliori e più efficaci. È anche una misura cruciale per garantire che l'integrità e l'affidabilità delle informazioni aziendali siano mantenute sicure.

Come puoi scegliere un portale digitale che sia allo stesso tempo conforme e sicuro?

Seguendo questi 5 punti, potrai optare per un provider sicuro e conforme.

1. Garantire la conformità con le legislazioni vigenti

La conformità alle leggi non è di solito il primo argomento che viene in mente quando si parla di sicurezza ma è certamente un aspetto molto importante da considerare. L'outsourcing di un parte del business non elimina i requisiti normativi associati. Nella maggior parte dei casi aggiunge anche ulteriori responsabilità. Così durante il processo di scelta di un provider per un portale digitale, la conformità con le leggi vigenti dovrebbe essere considerata non solo nel contesto della tua azienda, ma anche nel contesto del provider valutato.

A seconda della tua situazione (ad es. sede, settore) e del tuo provider, la conformità può diventare una sfida. Ecco un esempio di due normative che, in determinate situazioni, possono comportare un grosso rischio per le aziende interessate.

Il GDPR (General Data Protection Regulation) è una legge europea che consiste in un insieme di norme che disciplinano la privacy e la sicurezza dei dati personali. Questa legislazione intende aumentare il livello di protezione dei dati personali per i cittadini della UE.

Il CLOUD Act, invece, è una legge statunitense che consente alle autorità di accedere ai dati dei fornitori di servizi cloud americani, compresi i dati memorizzati all'estero dalle loro filiali.

Se tu e il tuo provider siete soggetti ad entrambe le leggi, potrebbe succedere che dobbiate scegliere tra violare il GDPR o lo US CLOUD Act. Questo comporta un elevato rischio a causa di multe cospicue.

Per questo motivo è importante prendere in considerazione la nazionalità dei provider e l'ubicazione dell'hosting quando si sceglie un board portal, perché questo ha effetto sulla normativa vigente.

2. Valutare la sicurezza del data center

È importante capire che la sicurezza dei tuoi dati sensibili non è influenzata solo dalle misure di protezione nel cyberspazio, ma anche dall'ambiente fisico in cui i dati sono ospitati. Pertanto, la scelta del data center è essenziale quando si richiede un elevato livello di sicurezza. I tre criteri principali dovrebbero essere:

Continuità operativa:

• Sono analizzate le minacce ambientali (inondazioni, terremoti, ecc.)?
• Sono presenti ridondanze per i componenti critici (elettricità, ISP, interi siti)?

Controllo degli accessi fisici:

• L'accesso fisico è limitato secondo il principio del "Need-to-Know"?
• L'accesso fisico è controllato e monitorato?
• L'autenticazione e l'autorizzazione sono implementate attraverso processi formali?

Assicurazione della sicurezza delle informazioni:

• Il data center è certificato secondo gli standard di best practice (ISO, ISAE, SOC)?

3. Valutare la Cyber-Resilienza

La Cyber-Resilienza è spesso al centro di ogni valutazione della sicurezza. Questo per una semplice ragione: l'esecuzione di un attacco informatico non richiede l'accesso fisico a un sistema, per cui il numero di potenziali portatori di una minaccia è notevolmente più elevato. Una valutazione della Cyber-Resilienza dovrebbe includere almeno questi aspetti:

Crittografia:

• I dati a riposo sono sempre criptati?
• I dati in trasferimento sono sempre criptati?
• Vengono utilizzati metodi di crittografia efficaci?

Sicurezza della rete:

• Sono state utilizzate soluzioni all'avanguardia per la prevenzione e il rilevamento delle intrusioni?
• I sistemi sono configurati in modo sicuro?
• Esiste un processo formale di patch-management?

Logging e monitoraggio:

• Esiste una cronologia documentata dei controlli?
• I log vengono analizzati e monitorati?
• Il rischio di manipolazione dei registri da parte degli amministratori è affrontato?
• I componenti critici sono adeguatamente monitorati?

 
4. Analizzare i processi di autenticazione

L'autenticazione è un concetto centrale della sicurezza. Quando al giorno d'oggi si lavora con informazioni sensibili, bisogna fornire metodi di autenticazione efficaci. L'efficacia/sicurezza dei metodi di autenticazione può essere valutata in base ai seguenti criteri:

• Ci sono requisiti minimi per le password (lunghezza, complessità)?
• Le password sono memorizzate o trasmesse in chiaro (non criptate)?
• L'autenticazione multifattoriale può essere abilitata o applicata?

Nota a margine: poiché gli SMS stanno diventando obsoleti, utilizzarli come secondo fattore di autenticazione è ora considerato insicuro. Per questo motivo, soprattutto il settore finanziario e i suoi provider non dovrebbero utilizzarlo. Certo, nel contesto delle informazioni sensibili un'autenticazione multifattore tramite SMS come secondo fattore è meglio che usare solo una password, ma ci sono alternative più sicure che dovrebbero essere prese in considerazione, come ad esempio la soluzione SoundProof.

5. Controllare le certificazioni

Ryan Ettridge, partner di PwC nella Digital Trust and Risk Assurance, spiega che "La certificazione è un modo solido per dimostrare che avete investito e continuate a investire per mantenere livelli di sicurezza adeguati sulla base dei rischi riconosciuti."²  

Un provider, che sostiene di offrire una soluzione sicura, dovrebbe sostenere la sua affermazione con certificazioni indipendenti. Se un'azienda vuole verificare la qualità del suo sistema di sicurezza, ci sono molte opzioni, buone o cattive. Queste sono due delle migliori certificazioni, che rappresentano un'eccellente gestione della sicurezza dell'informazione e sono molto diffuse:

• La certificazione ISO 27001 dimostra che un'azienda segue i più elevati standard di sicurezza e fornisce una verifica indipendente ed esperta che la sicurezza delle informazioni  sia  gestita in linea con le migliori pratiche internazionali. Il certificato ISO 27001 dovrebbe andare oltre i data center e includere anche lo sviluppo, la manutenzione e il funzionamento della piattaforma del provider.
• ISAE 3000 è uno standard di garanzia per gli audit di conformità, sostenibilità e outsourcing. Le aziende di servizi riferiscono su come gestiscono la sicurezza, la privacy o le frodi con un rapporto ISAE 3000 contenente informazioni sui processi e i controlli interni. Il rapporto ISAE 3000 viene verificato da società di revisione professionali per garantire che i controlli inclusi siano effettivamente in atto e funzionino in modo efficace.

Un provider di un portale digitale dovrebbe inoltre condurre regolarmente test di penetrazione. Un penetration test è un audit tecnico di sicurezza in cui gli specialisti della sicurezza cercano di trovare le vulnerabilità nel software stesso. Questi audit dovrebbero essere condotti almeno una volta all'anno e i fornitori (dei test di penetrazione) dovrebbero essere ruotati regolarmente. Per motivi di trasparenza è buona prassi divulgare i risultati dei pentest a clienti o potenziali clienti.

Se consideri queste informazioni rilevanti e desideri verificare la conformità e la sicurezza del tuo portale, ti invitiamo a condividere la checklist internamente con i tuoi colleghi.

¹ Russell Reynolds, Digital Economy, Analog Boards: The 2013 Study of Digital Directors, 2014.

² PwC, ISO 27001 – Why is it important?, Auditor Training Blog.

Mathias Brenner

L'autore

Mathias vanta un background accademico in scienze applicate in servizi di management e IT.