Finans Danmark har sammen med Akademikerne, Center for Cybersikkerhed, Dansk Erhverv, Dansk Industri, Danske Regioner, Digitaliseringsstyrelsen, Erhvervsstyrelsen, HK IT-Branchen, KL, SMVdanmark og ITB lanceret et fælles etisk kodeks for, hvordan man bør teste it-sikkerheden, uden at det krænker eller udstiller den enkelte medarbejder.
Kodekset skal ses som en række minimumsforpligtelser til leverandører af sikkerhedstests og deres kunder. Det er ikke en certificerings- eller en mærkningsordning, men det er tanken, at leverandører af sikkerhedstest og deres kunder skal kunne anvende kodekset til en dialog om fælles forståelse af, hvad der er god praksis i forbindelse med sikkerhedstest.
En sikkerhedstest handler langt hen ad vejen om at agere som en fjendtlig aktør for at finde svaghederne i organisationen. Det kan nemt føre til konflikter og situationer hvor den enkelte medarbejder føler sig krænket eller udstillet. Det kan endvidere føre til en dårlig kultur, hvor man ikke tør rapportere fejl.
De 6 principper for sikkerhedstest lyder således:
- Vær enige om mål og midler
- Test organisationen, ikke medarbejderen
- Indhold og brug af case-materiale
- Giv dig til kende i tilfælde af konflikter
- Videregiv viden om kriminelle handlinger
- Sørg for ansvarlig datahåndtering
Læs hele kodekset her.