Politik for sikkerhedstestning og red-teaming

Politik for sikkerhedstestning og red-teaming (P40) etablerer et omfattende rammeværk for løbende vurdering og validering af organisationens cybersikkerhedsforanstaltninger. Dens primære formål er at sikre overholdelse af reguleringer som NIS2 artikel 21(2)(f), der kræver formelle og strukturerede processer til at evaluere effektiviteten af informationssikkerhedsrisikostyring. Ved at indføre regelmæssige sårbarhedsscanninger, årlig penetrationstestning for kritiske systemer og periodiske red team-simuleringer sikrer politikken proaktiv identifikation af svagheder, som standard driftskontroller muligvis ikke opdager. Politikkens omfang er bredt og omfatter alle kritiske informationssystemer, applikationer og understøttende infrastruktur i organisationen. Vigtigt er det, at den også dækker aspekter af fysisk sikkerhed, såsom social engineering og fysiske penetrationstests, hvor det er relevant, for at give en helhedsorienteret tilgang til organisatorisk beskyttelse. Alle interne sikkerhedsteams, eksterne testfirmaer og relevante system- eller applikationsejere er bundet af dens krav. Testaktiviteter reguleres nøje og kræver autorisation og overholdelse af definerede regler for at forhindre forstyrrelser og sikre sikkerhed. Roller og ansvar er eksplicit beskrevet for at opretholde ansvarlighed og strømline processer. Sikkerhedstestningskoordinatoren, udpeget af informationssikkerhedschefen (CISO), har ansvar for planlægning, gennemførelse og rapportering af alle sikkerhedstestaktiviteter. Interne teams samarbejder i både defensive og testende roller, mens red teams eller penetrationstestere (interne eller tredjepart) gennemfører kontrollerede angrebsscenarier inden for aftalte rammer. Systemejere sikrer rettidig afhjælpning af identificerede problemer, og ledelsen integrerer resultater i de bredere processer for risikostyring og compliance-rapportering. Politikken lægger stor vægt på detaljeret styring: hver test forudgås af en definition af omfang og regler for engagement, strenge autorisationsprocedurer og grundig rapportering. Den understreger vigtigheden af sikker datahåndtering og kræver, at eventuelle reelle data, der tilgås, holdes fortrolige, og at kun anonymiserede detaljer indgår i rapporter. Afhjælpning er obligatorisk og spores, med gentestning for at verificere rettelser. Politikken omfatter også leverandør- og tredjepartssystemer, når det er relevant, og sikrer harmonisering på tværs af forsyningskæden. Løbende forbedring er et centralt tema: erfaringer fra tilbagevendende konstateringer skal påvirke politik, konfigurationsstandarder og hændelseshåndteringsplaner. Træningsprogrammer for IT, udvikling og ledelse er obligatoriske for at fremme bevidstgørelse, styrke driftsdisciplin og opretholde årvågenhed over for nye trusler. Alle testaktiviteter revisionslogges og revideres periodisk for at bekræfte effektivitet, opfyldelse af regulatoriske forpligtelser og rettidig lukning af afhjælpende foranstaltninger. Gennemgange planlægges årligt eller efter større hændelser, så politikken forbliver ajour med det dynamiske trusselsbillede.