Søg

Slut med at krænke medarbejdere når it-sikkerheden testes

En række organisationer og myndigheder går nu ud med et fælles etisk kodeks for, hvordan man tester it-sikkerheden, uden at det udstiller den enkelte medarbejder.

28. januar 2021 kl. 08.44
Artikel top billede

(Foto: Computerworld)

Af Aksel Brinck, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Når virksomheder rammes af hackerangreb, involverer det ofte medarbejdere på arbejdspladsen. En eller flere ansatte kan for eksempel have klikket på et "inficeret" link eller have overset en svaghed i it-infrastukturen.

Nu går flere organisationer og myndigheder ud med et fælles etisk kodeks for, hvordan man bør teste it-sikkerheden, uden det krænker eller udstiller den enkelte medarbejder. Det oplyser brancheorganisationen IT-Branchen.

Kodekset skal ses som en række minimumsforpligtelser til leverandører af sikkerhedstest og deres kunder. Der er ikke tale om en certificerings- eller en mærkningsordning, understreges det i en meddelelse fra IT-Brancheforeningen, men det er tanken, at leverandører af sikkerhedstest og deres kunder skal kunne anvende kodekset til en dialog om fælles forståelse af, hvad der er god praksis i forbindelse med sikkerhedstest.

Et fælles ansvar

"Det er et fælles ansvar at fremme en god kultur for it-sikkerhed i hele organisationen. Sikkerhedstests skal derfor understøtte en fælles forståelse og den gode kultur på arbejdspladsen, hvor man sammen tager ansvaret på sig, og jeg håber, at det nye kodeks kan være med til at styrke det fokus fremadrettet," udtaler Thomas Kastrup-Larsen, Borgmester, Aalborg Kommune, som er medlem KL's bestyrelse - KL indgår i aftalen.

En af udfordringerne kan være, at en sikkerhedstest langt hen ad vejen handler om at agere som en fjendtlig aktør for at finde svaghederne i organisationen. Det kan nemt føre til konflikter og situationer, hvor den enkelte medarbejder føler sig krænket eller udstillet. Det kan endvidere føre til en dårlig kultur, hvor man ikke tør rapportere fejl, lyder begrundelsen for initiativet.

"Det er vigtigt, at en sikkerhedstest ikke tester den enkelte medarbejder. Den skal teste kulturen, organisationen og effekten af de sikkerhedstiltag og kurser, som man har iværksat. Sikkerhedstesten må heller aldrig blive en vurdering eller analyse af den enkelte medarbejder. Det skal dette kodeks sikre fremadrettet. Og så skal overenskomster og aftaler som for eksempel aftalen om kontrolforanstaltninger selvfølgelig overholdes," udtaler Mads Samsing, næstformand i HK Kommunal, som også er med i aftalen.

Spilleregler for alle parter

"Med dette fælles kodeks opstiller vi en række spilleregler, som både de leverandører, der gennemfører testen, de, der bestiller testen, og de, der bliver berørt af testen, med fordel kan anvende. Vi ønsker med kodekset at gøre det klart, at en sikkerhedstest er et vigtigt værktøj til at sikre god sikkerhed, og at man med brug af kodekset også kan være tryg ved at gennemføre disse test," udtaler Bjarke Alling, formand for IT-Branchens it-sikkerhedsudvalg.

Bag kodekset står organisationerne Akademikerne, Center for Cybersikkerhed, Dansk Erhverv, Dansk Industri, Danske Regioner, Digitaliseringsstyrelsen, Erhvervsstyrelsen, HK, IT-Branchen, KL og SMVdanmark.

6 principper

Kodekset for sikkerhedstest består i hovedtræk af disse seks principper:

1 Vær enige om mål og midler
2 Test organisationen, ikke medarbejderen
3 Indhold og brug af case-materiale
4 Giv dig til kende i tilfælde af konflikter
5 Videregiv viden om kriminelle handlinger
6 Sørg for ansvarlig datahåndtering

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Forsvaret

    Datamanager til Veterancentrets Videncenter (Tidsbegrænset)

    Region Sjælland

    VikingDanmark

    Chef for IT-teamet - drift, data og digital udvikling

    Midtjylland

    IT-Universitetet i København

    CIO

    Københavnsområdet

    AL Sydbank A/S (tidligere Arbejdernes Landsbank)

    Tech Lead til Datacenter Operations

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Cloud & AI Festival 2026

    Event: Computerworld Cloud & AI Festival 2026

    Digital transformation | Ballerup

    Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

    16 & 17 september 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job

    Louise Sara Baunsgaard

    Guardsix

    Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

    Nihad Hodzic

    Trafikstyrelsen

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Immeo har pr. 9. marts 2026 ansat Henrik Søndergaard Andersen som Lead UX Specialist. Han kommer fra en stilling som UX Strategist og Platformsansvarlig hos Dansk Industri. Han er uddannet i Digital Design og Kommunikation fra IT Universitetet. Nyt job

    Henrik Søndergaard Andersen

    Immeo

    Se mere fra navnenyt

    Mest læste

    1 Test: Bærbar ekstra skærm til din laptop, smartphone eller spillekonsol er et fedt ekstra værktøj
    2 KMD siger farvel til 180 medarbejdere - her er årsagen
    3 Pludselig er de datalogi-studerendes karakterer raslet ned: ”AI-assistenterne afslører en svaghed i universitetssystemet"
    4 Produktionsgigant bekræfter hackerangreb: 11 millioner fortrolige filer fra Apple- og Nvidia kan være stjålet
    5 Nørgaard: Datacentre, dommedag og den evige danske lyst til at sige nej
    6 Din gamle pc er blevet guld værd: Værdien på brugt it-udstyr brager i vejret
    7 KMD-aftale sender Aevens omsætning op mod to milliarder kroner – men underskud og gæld eksploderer
    8 Microsoft vil selv fjerne dårlige drivere fra din pc: Ny funktion skal stoppe crashes og blue screens

    Se seneste uge