
HK Kommunal, KL, IT-branchen og række andre organisationer har lavet et nyt kodeks for sikkerhedstest. Kodekset, som består af 6 principper, udstikker retningslinjer for, hvordan man kan gennemføre sikkerhedsteste IT og organisationen uden at krænke eller udstille den enkelte medarbejder.
Udfordringen er, at IT-sikkerhed ikke længere blot handler om firewall og antivirus, men også om organisationens bevidsthed og den enkelte medarbejderes opmærksomhed ved forsøg på phishing o.l.
Så derfor har organisationer brug for at få testet, hvor ”ALERT” den og medarbejderne er.
Skolesekretær forsøgt snydt
Kodekset kommer bland andet på baggrund af en spektakulær spionsag fra Nyborg.
Sagen startede, da en skolesekretær fik uanmeldt besøg af en privat sikkerhedskonsulent fra firmaet prueba, hyret af kommunen. Konsulenten var udstyret med et falsk, kommunalt ID-kort - og han forsøgte bla med en falsk påstand om et it-læk at lægge en fælde for personalet på skolekontoret.
Dette skete alt imens spionen havde et videokamera kørende, som dog var skjult i en taske.
Sikkerhedstest skal teste kulturen, ikke den enkelte
For HK Kommunal og næstformand mads Samsing har det været vigtigt, at det nye kodeks slår fast, at sikkerhedstest aldrig må blive en vurdering af den enkelte medarbejder og slet ikke at den enkelte medarbejder føler sig udstillet.
- Sikkerhedstest skal teste kulturen, organisationen og effekten af de sikkerhedstiltag, man har iværksat, ikke en enkelt og mere eller mindre tilfældig medarbejder. Og så skal overenskomster og aftaler som fx aftalen om kontrolforanstaltninger selvfølgelig overholdes.
Derfor ser han kodekset som et værktøj til, at leverandør af sikkerhedstest og organisationen går i dialog om, hvordan testen præcist skal gennemføres, så den lever op til god praksis og de 6 principper.
De 6 principper for sikkerhedstest
- Vær enige om mål og midler
- Test organisationen, ikke medarbejderen
- Indhold og brug af case-materiale
- Giv dig til kende i tilfælde af konflikter
- Videregiv viden om kriminelle handlinger
- Sørg for ansvarlig datahåndtering