E-posten - styrets sikkerhetshull?

Et styreverv er en oppgave som bør tas alvorlig for din egen del, for kollegiet og for selskapet. Det er strenge aktsomhetskrav for styredrift i aksjeloven. Alle bedrifter – store eller små – bør tenke igjennom sin arbeidsform. Dere kan med fordel evaluere eget arbeid og arbeidsform regelmessig og minimum en gang i året. Systematikk og orden er viktig. Har dere etablert en styreinstruks? Hva med en arbeidsplan? Det er viktig at hele styret er seg bevisst hva styrets oppgaver overfor selskapet er.

Mange glemmer informasjonssikkerheten som faktor i styrearbeidet. Jeg tror de fleste ledere i dag er bevisst på og har et forhold til selskapets informasjonssikkerhet. Sikkerhet bør også være en aktiv del av styrets risikobilde og en del av selskapets IT-strategi. Det er for lite fokus på styrets informasjonssikkerhet og risikoen forbundet med dette. Styrets arbeid er som oftest høyst konfidensielt og et sikkerhetsbrudd i styret kan få store konsekvenser og være svært skadelig for selskapet.

Hva mener jeg med risiko? Jo, «muligheten for å lide tap eller bli påført skade ved et gitt sikkerhetsbrudd. Risiko har to dimensjoner – omfanget/virkningen av tap eller skade, og sannsynligheten for at et sikkerhetsbrudd vil inntreffe».

E-post er svært nyttig - men ikke sikkert nok!

E-post er et ekstremt nyttig verktøy og det mest brukte kommunikasjonsverktøyet i bedriftsverdenen. Sosiale medier, chat eller andre verktøy har ikke endret e-posten sin dominerende posisjon. Det viktige er ikke for eller imot e-post, men bevisstgjøring av hva brukes e-post til - og ikke minst hva brukes e-post ikke til.

Innen informasjonssikkerhet så kan man vurdere 3 krav:

• Konfidensialitet. Sensitiv eller gradert informasjon skal være tilgjengelig for bare autorisert personell (dvs personer som har et særskilt behov), og det må være foretatt en gyldig identifisering og autentisering mot systemet.

• Informasjonskvalitet/integritet. Informasjonen skal være komplett, nøyaktig og gyldig, og et resultatet av autorisert og kontrollerte aktiviteter.

• Tilgjengelighet. Definerte krav skal oppfylles, slik at aktuell informasjon er tilgjengelig ved behov. Med dette menes krav til systemenes pålitelighet og stabilitet.

Standard e-post/outlook exchange osv er ikke et system som dekker konfidensialitet-kravene for sikker kommunikasjon for styreinformasjon. Det samme gjelder informasjonskvaliteten eller integriteten. E-posten kommer frem, men om den har beholdt sin integritet fra avsender er høyst usikkert. For å være konfidensielt må e-postene krypteres, noe som reduserer kraftig brukervennligheten for e-post og hvor det da er enklere å ta i bruk alternative kommunikasjonsformer og informasjonsdelingsverktøy.

Tilgjengeligheten i en e-post varer akkurat så lenge og er så god som måten mottageren lagrer og holder orden på den. Det er opp til den enkelte å sikre en komplett og god oversikt over det som er mottatt fra styreleder eller administrerende direktør. Det skaper rom for misforståelser og ineffektivitet i styrearbeidet da det krever en nøyere gjennomgang av all informasjon som alle burde ha lest før møtet. Så istedenfor å bruke tid på diskusjon og beslutning, går mesteparten av tiden med til presentere og informere om saken.

Informasjonslekkasjer er ofte interne ikke eksterne

Analyser viser at 52% av datasikkerhetsbrudd er fra interne kilder i forhold til resterende 48% av eksterne hackere. Bare en liten prosentandel av de interne lekkasjene er overlagte eller bevisste. Den videre analyse viser at 48% av tilfellene av utilsiktet datalekkasje skyldes forglemmelse, og 50% på grunn av dårlig forretningsprosesser.

Så feilsendte e-poster er ganske så vanlig både på ledelsesnivå og styrenivå i mange selskaper. Eller på statsministernivå, som da en politisk rådgiver i Arbeiderpartiet i valgkampen i 2008 feilsendte en e-post med strategien for hvordan partiet skulle få Siv Jensen til å fremstå «som en surpomp».

I stedet for å avslutte adressen med smk.dep.no, skrev han smk.no. E-posten havnet dermed ikke hos statsministerens kontor som tenkt, men hos en lokal FrP-politiker som hadde kjøpt domenenavnet smk.no.

Denne typen feil er ganske vanlig og ofte harmløse, men ikke på styre- eller konsernledelsesnivå.

Hva bør styret ditt bruke e-post til?

E-post er en svært effektiv måte å informere styremedlemmene om hvor de finner styredokumentene, at et styremøte skal finne sted – og hvor (med link til dokumenter) de finner siste versjon av arbeidsplanen. E-post i styrearbeid bør ikke inneholde konfidensiell informasjon med vedlegg som styrereferater, beslutninger, strategidokumenter og annet som kan skade selskapet og påføre tap av anselige summer hvis de kommer på avveie til konkurrenter eller andre.

Trenger du en spesialisert styreportal?

Hva er en spesialisert styreportal? Hvis man med styreportal mener et verktøy som er tilpasset arbeidet for et styre, styrets arbeidsprosesser og krav til sikkerhet og konfidensialitet. Ja, da trenger du en styreportal.

En god og brukervennlig samhandlingsløsning for styret som ivaretar kravene til konfidensialitet, integritet og tilgjengelighet er selvfølgelig et standard minimumskrav. Det finnes i dag mange løsninger for å dele dokumenter. Ikke alle er like sikre, og ikke alle er like brukervennlige og mange er ikke mer enn en avansert filserver. Det ligger en viss risiko omkring det å påta seg et styreverv. Der risikoen er stor bør også dokumentasjon og struktur være god for å sikre kontroll og redusere den risiko som kan reduseres. Blant annet å kunne dokumentere og klargjøre i referater at enkelte styremedlemmer er uenig i en beslutning, noe som reduserer ansvaret det enkelte styremedlem har hvis det går galt.

Vår løsning heter INTERAXO, og gir deg det du trenger av struktur, systematikk og sikkerhet for styret. I tillegg til å være en styreportal er INTERAXO også et samhandlingsverktøy som kan brukes av administrasjonen i selskapet, som selskapets samhandlingsløsning for interne og eksterne prosjekter osv. Det betyr ikke bare færre pålogginger for daglig leder - men også verktøykompetanse internt i selskapet som sikrer en god bruk av løsningen. Da er det ikke lenger en spesialisert styreportal men selskapets generelle samhandlingsløsning.