Søg

Slut med at krænke medarbejdere når it-sikkerheden testes

En række organisationer og myndigheder går nu ud med et fælles etisk kodeks for, hvordan man tester it-sikkerheden, uden at det udstiller den enkelte medarbejder.

28. januar 2021 kl. 08.44
Artikel top billede

(Foto: Computerworld)

Af Aksel Brinck, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Når virksomheder rammes af hackerangreb, involverer det ofte medarbejdere på arbejdspladsen. En eller flere ansatte kan for eksempel have klikket på et "inficeret" link eller have overset en svaghed i it-infrastukturen.

Nu går flere organisationer og myndigheder ud med et fælles etisk kodeks for, hvordan man bør teste it-sikkerheden, uden det krænker eller udstiller den enkelte medarbejder. Det oplyser brancheorganisationen IT-Branchen.

Kodekset skal ses som en række minimumsforpligtelser til leverandører af sikkerhedstest og deres kunder. Der er ikke tale om en certificerings- eller en mærkningsordning, understreges det i en meddelelse fra IT-Brancheforeningen, men det er tanken, at leverandører af sikkerhedstest og deres kunder skal kunne anvende kodekset til en dialog om fælles forståelse af, hvad der er god praksis i forbindelse med sikkerhedstest.

Et fælles ansvar

"Det er et fælles ansvar at fremme en god kultur for it-sikkerhed i hele organisationen. Sikkerhedstests skal derfor understøtte en fælles forståelse og den gode kultur på arbejdspladsen, hvor man sammen tager ansvaret på sig, og jeg håber, at det nye kodeks kan være med til at styrke det fokus fremadrettet," udtaler Thomas Kastrup-Larsen, Borgmester, Aalborg Kommune, som er medlem KL's bestyrelse - KL indgår i aftalen.

En af udfordringerne kan være, at en sikkerhedstest langt hen ad vejen handler om at agere som en fjendtlig aktør for at finde svaghederne i organisationen. Det kan nemt føre til konflikter og situationer, hvor den enkelte medarbejder føler sig krænket eller udstillet. Det kan endvidere føre til en dårlig kultur, hvor man ikke tør rapportere fejl, lyder begrundelsen for initiativet.

"Det er vigtigt, at en sikkerhedstest ikke tester den enkelte medarbejder. Den skal teste kulturen, organisationen og effekten af de sikkerhedstiltag og kurser, som man har iværksat. Sikkerhedstesten må heller aldrig blive en vurdering eller analyse af den enkelte medarbejder. Det skal dette kodeks sikre fremadrettet. Og så skal overenskomster og aftaler som for eksempel aftalen om kontrolforanstaltninger selvfølgelig overholdes," udtaler Mads Samsing, næstformand i HK Kommunal, som også er med i aftalen.

Spilleregler for alle parter

"Med dette fælles kodeks opstiller vi en række spilleregler, som både de leverandører, der gennemfører testen, de, der bestiller testen, og de, der bliver berørt af testen, med fordel kan anvende. Vi ønsker med kodekset at gøre det klart, at en sikkerhedstest er et vigtigt værktøj til at sikre god sikkerhed, og at man med brug af kodekset også kan være tryg ved at gennemføre disse test," udtaler Bjarke Alling, formand for IT-Branchens it-sikkerhedsudvalg.

Bag kodekset står organisationerne Akademikerne, Center for Cybersikkerhed, Dansk Erhverv, Dansk Industri, Danske Regioner, Digitaliseringsstyrelsen, Erhvervsstyrelsen, HK, IT-Branchen, KL og SMVdanmark.

6 principper

Kodekset for sikkerhedstest består i hovedtræk af disse seks principper:

1 Vær enige om mål og midler
2 Test organisationen, ikke medarbejderen
3 Indhold og brug af case-materiale
4 Giv dig til kende i tilfælde af konflikter
5 Videregiv viden om kriminelle handlinger
6 Sørg for ansvarlig datahåndtering

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Netcompany A/S

    Linux Operations Engineer

    Københavnsområdet

    Unik System Design A/S

    DevOps Engineer

    Nordjylland

    Capgemini Danmark A/S

    Open Application (Denmark)

    Københavnsområdet

    Statens IT

    Firewall-tekniker med kendskab til Automation

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Cloud & infrastruktur 2026: AI, afhængighed og digital handlefrihed

    Infrastruktur | København

    Cloud & infrastruktur 2026: AI, afhængighed og digital handlefrihed

    Cloud er strategisk infrastruktur og fundament for AI, drift og innovation. Geopolitik og regulering ændrer leverandørvalg og dataplacering. Computerworld samler beslutningstagere om afhængighed, europæiske alternativer og digital handlefrihed.

    Executive Conversations: Kina, Trump og AI-ledelse

    Digital transformation | København

    Executive Conversations: Kina, Trump og AI-ledelse

    Kina, USA og AI flytter magt og markeder. Geopolitik rammer leverandørkæder, chips, data og standarder. Lær at koble global risiko med konkret it-ledelse. Få styr på governance, sikkerhed og compliance i AI. Deltag og styrk din handlekraft.

    Computerworld Summit 2026 - Aarhus

    Digital transformation | Aarhus C

    Computerworld Summit 2026 - Aarhus

    Styrk din digitale strategi med konkret brug af AI og ny teknologi. Mød 200 it-professionelle, få indsigter, løsninger og netværk på én dag. Computerworld Summit i Aarhus viser hvordan teknologi skaber forretningsværdi – her og nu.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Henrik Vittrup Zoega, projektkoordinator hos Departementet for Fiskeri, Fangst, Landbrug og Selvforsyning, Grønland, har pr. 22. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Syddansk Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Henrik Vittrup Zoega

    Departementet for Fiskeri, Fangst, Landbrug og Selvforsyning, Grønland

    Immeo har pr. 1. februar 2026 ansat Patricia Oczki som Marketing Manager. Hun kommer fra en stilling som Head of Marketing and Communication hos Coach Solutions. Nyt job

    Patricia Oczki

    Immeo

    netIP har pr. 20. januar 2026 ansat Mikkel Lykke Petersen som Datateknikerelev ved netIP Thisted/Aalborg. Han er uddannet håndværker og har arbejdet som både montør, mekaniker, tømrer og tagdækker. Nyt job

    Mikkel Lykke Petersen

    netIP

    Renewtech ApS har pr. 15. marts 2026 ansat Per Forberg som Account Manager for Sustainable Relations. Han skal især beskæftige sig med etablere nye partnerskaber med henblik på ITAD og sourcing kontrakter med hostingvirksomheder og strategiske slutbrugere. Han kommer fra en stilling som Nordic Key Account Manager hos Tesa. Han er uddannet hos Lund University og har en MBA i Management. Han har tidligere beskæftiget sig med at styrke salgsaktiviteter og partnerskaber på tværs af nordiske markeder. Nyt job

    Per Forberg

    Renewtech ApS

    Se mere fra navnenyt

    Mest læste

    1 TDC-selskabet Nuuday skifter navn: Det skal selskabet nu hedde
    2 Staten mørklægger kæmpe-nedbrud af NemKonto: Skal holdes hemmelig
    3 Om få dage indfører Microsoft i al stilhed ny default-setting i M365: Vil kunne føre dine data ud af EU
    4 Russiske hackere kaprer tusindvis af routere: Stjæler adgangskoder uden at blive opdaget
    5 Sådan lykkedes det hackere at få adgang til EU's centrale cloudplatform - og stjæle 350 GB følsomme data
    6 KMD indsætter ny direktion: Her er selskabets nye ledelse
    7 Morgen-briefing: Populær danskstiftet bank-app lukker / Danmark spiller central rolle i sag mod techgigant / Grækenland forbyder sociale medier for børn under 15
    8 Danske statsansatte drukner i forældet it: “Systemerne er skrøbelige og går jævnligt ned”

    Se seneste uge