Sikkerhedstest af software

Ny guide fra Datatilsynet skal hjælpe med at opdage sårbarheder i bl.a. nyudviklet software.

Datatilsynet offentliggør og opdaterer løbende deres guides i forbindelse med GDPR, og nu er turen kommet til softwaretest, som de har udarbejdet en guideline til.

Persondataforordningen stiller krav om, at man har et passende sikkerhedsniveau i sine løsninger, og her er det også vigtigt, at man kigger på ens software – både under udviklingen, drift og videreudvikling.

Sikkerhedstest skal ses som en forebyggende rutine, der kan mindske sandsynligheden for fejl i software, da sårbarheder undgås eller findes, inden løsningen tages i brug.

Test er også relevant i forhold til it-systemer, som allerede er taget i brug. Dels i egne applikationer, men også i styresystemer, tredjepartssoftware og systemkonfigurationer, da det kan afdække forskellige sårbarheder.

Guiden dækker sikkerhed i forbindelse med:

  • Design- og udviklingsfasen
  • Interaktion med andre it-systemer
  • Testmiljø
  • Forretningsmæssige og driftsmæssige krav
  • Planlægning, prioritering og dokumentation
  • AI, RPA og ML

Brug også det etiske kodeks for sikkerhedstest

Sammen med en lang række organisationer og myndigheder, har IT-Branchen udarbejdet et fælles etisk kodeks for, hvordan man bør teste it-sikkerheden, uden det krænker eller udstiller den enkelte medarbejder.

Det er ikke en certificerings- eller en mærkningsordning, men det er tanken, at leverandører af sikkerhedstest og deres kunder skal kunne anvende kodekset til en dialog om fælles forståelse af, hvad der er god praksis i forbindelse med sikkerhedstest.

De 6 principper for sikkerhedstest lyder således:

  • Vær enige om mål og midler
  • Test organisationen, ikke medarbejderen
  • Indhold og brug af case-materiale
  • Giv dig til kende i tilfælde af konflikter
  • Videregiv viden om kriminelle handlinger
  • Sørg for ansvarlig datahåndtering

Dem kan du læse mere om her.

Hvis du vil vide mere

Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.

Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens Policy Board for cybersikkerhed. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.