Gå direkte til indhold
Kund hos itm8
Kund hos itm8

Säkerhet utan CISO: så för du verksamheten i säkerhet

lästid I minuter: 2

itm8 SE 2025-okt-14 10:18:52

Cybersecurity

Saknar ditt företag en dedikerad säkerhetsansvarig?

Det är som att sitta i en båt på drift bland farliga grund när det blåser upp till storm (stormen är alltså de växande cyberhoten). Lika riskabelt som det är vanligt bland mellanstora svenska företag idag.

Säkerhetsansvaret faller istället ofta på flera personer – från CIO och CFO till VD. Det vill säga på medarbetare som är överbelastade, saknar säkerhetsfokus och inte vet särskilt mycket om säkerhet. Eller mellan stolarna. Då kan man snacka om att säkerhetsarbetet blir lidande.

Så hur undviker ni att gå på en grynna och sjunka? Och vem tar säkerhetsrodret?

Sakerhet utan CISO

Glöm den perfekta säkerhetslösningen

Det är hög tid att släppa idén om den perfekta lösningen och istället börja fokusera på den grundläggande säkerheten.

Varför? För det första: nuläget är ohållbart.

Trycket från styrelsen och VD på att visa att säkerheten är under kontroll ökar. Regelverken och kraven från externa intressenter blir fler – från NIS2-direktivet till nya krav från försäkringsbolag och investerare. Men många företag saknar tiden och kompetensen som krävs för att möta säkerhetsutmaningarna.

Och nej - ditt företag är inte säkert om det inte sitter på samhällskritiska data. Har det en omsättning så är det en måltavla.

För det andra: ta er inte an för mycket på en gång. En sådan approach har riktigt dåliga utsikter. För att ta ur den omedelbara faran behöver ni ta små, välprioriterade steg som organisationen klarar av.

Så vad ska du börja med?

 

Grundläggande säkerhetsåtgärder först

Först behöver ni förstå vad ni har, vad som är skyddsvärt och vilka konsekvenser ett intrång skulle få.

Utifrån denna analys bygger ni stegvis upp säkerheten utifrån den förmåga ditt företag har - eller den förmåga den har tillsammans med en erfaren partner som har den kompetens ni saknar idag.

 

Gör så här:

  1. Kartlägg/inventera vad ni har i er IT-miljö
  2. Identifiera sårbarheterna, till exempel lönedata, persondata och finansiella data
  3. Vidta åtgärder som eliminerar eller minskar dessa sårbarheter

Exempel på grundläggande skyddsåtgärder:

  • Inför en IT-policy, till exempel för lösenord, och förankra den och vidta åtgärder som krävs för att följa den
  • Använd MFA för alla användare
  • Inför begränsad åtkomst till data, så att bara de som behöver dem har access till dem
  • Se till att alla enheter har antivirusprogram
  • Se till att alla brandväggar är aktiva
  • Kryptera alla känsliga data, så att det inte är en katastrof om till exempel en laptop skulle komma på vift

Med denna grundläggande säkerhet på plats kan du sen överväga åtgärder på nästa nivå. Det kan röra sig om att begränsa användning av AI från Kina, informationsklassning och 24/7 hotupptäckt och svarsåtgärder via ett Security Operation Center (SOC).

Utse en rorsman

Vi kommer inte ifrån att ett uppdelat ansvar utan helhetsansvar lätt skapar otydligheter som i sig medför säkerhetsrisker. Cybersäkerhetsarbetet riskerar att hamna i skymundan, eller att helt enkelt förbli ogjort.

Men det är lättare sagt än gjort att helt sonika bestämma vem som tar det övergripande ansvaret om ingen riktigt har den kompetens som behövs, och alla dessutom har roller med annat som huvudfokus.

Så hur ska du göra?

Om budgeten gör det möjligt är en lösning naturligtvis att anställa en kvalificerad CISO. Men eftersom detta inte alltid är fallet på ett mellanstort företag, finns möjligheten att anlita en extern CISO som en tjänst ”CISO-as-a-Service”. En tredje väg är att en person hos er som utses som övergripande säkerhetsansvarig och får den hjälp av avlastning den behöver av er IT-partner.

Och om delar av säkerhetsarbetet delegeras behöver ansvarsfördelningen vara glasklar, förankrad och tydligt kommunicerad.

Avslutningsvis tre saker som kan hålla din verksamhet på rätt kurs och rätt köl i cyberstormen:

  • Bygg det grundläggande skyddet först.
  • Samarbeta med en IT-partner som vägleder och kompletterar med rätt kompetens.
  • Utse, anställ eller anlita en säkerhetsansvarig - och om säkerhetsarbetet är uppdelat gör ansvarsfördelningen glasklar.

Och om det här känns lite ”too much” hjälper vi dig gärna att navigera rätt.

 

Thomas Öberg,
Principle Architect Cybersecurity

 

Behöver du vägledning?

Jag och mina kollegor hjälper våra kunder att förstå var de befinner sig idag, och att ta de första viktiga stegen mot en säkrare verksamhet imorgon. Vi förväntar oss inte att de redan är insatta i cybersäkerhet. Vårt fokus är inte att sälja in tekniska lösningar, utan att hjälpa dem att prioritera rätt, fatta trygga beslut och successivt öka sin medvetenhet och motståndskraft mot intrång.

Vill du veta mer om hur ditt företag ska stärka sin säkerhet?