Artikel top billede

(Foto: Computerworld)

Slut med at krænke medarbejdere når it-sikkerheden testes

En række organisationer og myndigheder går nu ud med et fælles etisk kodeks for, hvordan man tester it-sikkerheden, uden at det udstiller den enkelte medarbejder.

Af Aksel Brinck, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Når virksomheder rammes af hackerangreb, involverer det ofte medarbejdere på arbejdspladsen. En eller flere ansatte kan for eksempel have klikket på et "inficeret" link eller have overset en svaghed i it-infrastukturen.

Nu går flere organisationer og myndigheder ud med et fælles etisk kodeks for, hvordan man bør teste it-sikkerheden, uden det krænker eller udstiller den enkelte medarbejder. Det oplyser brancheorganisationen IT-Branchen.

Kodekset skal ses som en række minimumsforpligtelser til leverandører af sikkerhedstest og deres kunder. Der er ikke tale om en certificerings- eller en mærkningsordning, understreges det i en meddelelse fra IT-Brancheforeningen, men det er tanken, at leverandører af sikkerhedstest og deres kunder skal kunne anvende kodekset til en dialog om fælles forståelse af, hvad der er god praksis i forbindelse med sikkerhedstest.

Et fælles ansvar

"Det er et fælles ansvar at fremme en god kultur for it-sikkerhed i hele organisationen. Sikkerhedstests skal derfor understøtte en fælles forståelse og den gode kultur på arbejdspladsen, hvor man sammen tager ansvaret på sig, og jeg håber, at det nye kodeks kan være med til at styrke det fokus fremadrettet," udtaler Thomas Kastrup-Larsen, Borgmester, Aalborg Kommune, som er medlem KL's bestyrelse - KL indgår i aftalen.

En af udfordringerne kan være, at en sikkerhedstest langt hen ad vejen handler om at agere som en fjendtlig aktør for at finde svaghederne i organisationen. Det kan nemt føre til konflikter og situationer, hvor den enkelte medarbejder føler sig krænket eller udstillet. Det kan endvidere føre til en dårlig kultur, hvor man ikke tør rapportere fejl, lyder begrundelsen for initiativet.

"Det er vigtigt, at en sikkerhedstest ikke tester den enkelte medarbejder. Den skal teste kulturen, organisationen og effekten af de sikkerhedstiltag og kurser, som man har iværksat. Sikkerhedstesten må heller aldrig blive en vurdering eller analyse af den enkelte medarbejder. Det skal dette kodeks sikre fremadrettet. Og så skal overenskomster og aftaler som for eksempel aftalen om kontrolforanstaltninger selvfølgelig overholdes," udtaler Mads Samsing, næstformand i HK Kommunal, som også er med i aftalen.

Spilleregler for alle parter

"Med dette fælles kodeks opstiller vi en række spilleregler, som både de leverandører, der gennemfører testen, de, der bestiller testen, og de, der bliver berørt af testen, med fordel kan anvende. Vi ønsker med kodekset at gøre det klart, at en sikkerhedstest er et vigtigt værktøj til at sikre god sikkerhed, og at man med brug af kodekset også kan være tryg ved at gennemføre disse test," udtaler Bjarke Alling, formand for IT-Branchens it-sikkerhedsudvalg.

Bag kodekset står organisationerne Akademikerne, Center for Cybersikkerhed, Dansk Erhverv, Dansk Industri, Danske Regioner, Digitaliseringsstyrelsen, Erhvervsstyrelsen, HK, IT-Branchen, KL og SMVdanmark.

6 principper

Kodekset for sikkerhedstest består i hovedtræk af disse seks principper:

1 Vær enige om mål og midler
2 Test organisationen, ikke medarbejderen
3 Indhold og brug af case-materiale
4 Giv dig til kende i tilfælde af konflikter
5 Videregiv viden om kriminelle handlinger
6 Sørg for ansvarlig datahåndtering




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Bliv klar til NIS2 - indhold, krav og konsekvenser

På dagen vil du både få et koncentreret, fokuseret overblik over de juridiske aspekter og de krav, du vil skulle leve op til. Du går også hjem med praktisk viden fra eksperter, der arbejder med NIS2-compliance på både det tekniske og organisatoriske niveau.

28. februar 2024 | Læs mere


Hybrid, on-premise eller public cloud. Bliv klogere på fremtidens datacenter

Vi dykker ned i, hvordan du finder den perfekte pasform for netop din virksomhed. Vi ser på, hvordan du kan imødekomme jeres behov for fleksibilitet og hurtig udvikling, samtidig med at håndtere udfordringerne ved cloud-tjenester.

29. februar 2024 | Læs mere


Faldgruber og forberedelser når du skal implementere Dynamics 365 FO

På dette webinar stiller vir skarpt på overvejelser, forberedelser, forretning og faldgruber, så din virksomhed får det bedste udgangspunkt for jeres Dynamics 365-implementering. Du bliver også klogere på at håndtere master data, som er et af de absolut vigtigste områder i ethvert ERP-projekt, og på hvorfor Dynamics 365 FO er en del af et samlet cloud-transformationsprojekt.

29. februar 2024 | Læs mere