Følg seks principper når du udfører it-sikkerhedstest

Det kan være en god ide med jævne mellemrum at teste virksomhedens sikkerhed for at identificere sårbarheder og risici. På den måde kan man sikre, at virksomheden er tilstrækkelig beskyttet og bliver ved med at være det.

En sikkerhedstest kan foregå på mange forskellige måder, og den bør som udgangspunkt bruge nogle af de samme værktøjer og teknikker, som en fjendtlig aktør ville bruge. Men en sikkerhedstest må aldrig krænke eller udstille enkelte medarbejdere.

Sikkerhedstest med respekt for medarbejdere

Når en virksomhed gennemfører en sikkerhedstest ved at agere fjendtlig aktør, kan der uforvarende opstå situationer, hvor den, der sikkerhedstester, risikerer at komme på kant med juridiske og etiske grænser for, hvad man må og bør gøre som led i at teste sikkerheden. For at imødegå denne usikkerhed, kan din virksomhed følge seks principper, som vil sikre en god og kontrolleret udførelse af sikkerhedstesten. På den måde bidrager virksomheden til, at en sikkerhedstest udføres med respekt for de etiske rammer og medarbejdernes hverdag og privatliv.

De seks principper

  1. Vær enige om mål og midler

  2. Test organisationen, ikke medarbejderen

  3. Indhold og brug af case-materiale

    a. Hvem må man udgive sig for at være?

    b. Brug af phishingkampagner

  4. Giv dig til kende i tilfælde af konflikter

    a. Lav klare aftaler om, hvem der skal kontaktes

  5. Videregiv viden om kriminelle handlinger

  6. Sørg for ansvarlig datahåndtering

Disse seks principper udgør tilsammen et kodeks for udførelse af sikkerhedstests, som er udarbejdet i fællesskab af IT-Branchen, KL og HK. Erhvervsstyrelsen er sammen med en bred kreds af organisationer og myndigheder medafsender på kodekset.  Din virksomhed og leverandøren af sikkerhedstesten kan anvende kodekset til at indgå i en dialog, hvor I kan opnå fælles forståelse af, hvad der er god praksis i forbindelse med sikkerhedstest.

Download kodekset og læs mere om principperne her