Blogg | 25 november 2025
Slik bygger du en sikker IT-organisasjon
I den første delen om cybersikkerhet med Linus Kvarnhammar snakket vi om de vanligste feilene en organisasjon gjør. I denne delen ser vi nærmere på hva som faktisk skal til for å bygge langsiktig sikkerhet - utover brannmurer og produkter. Linus er sikkerhetsspesialist og profesjonell hacker. I over femten år har han hjulpet organisasjoner med å forstå hvordan angripere tenker.
"Sikkerhet må komme fra toppen. Når det kommer nedenfra, blir det ofte ad hoc-løsninger og raske produktkjøp. Men når det kommer fra toppen, følger hele organisasjonens prosesser etter."
Kartlegg trusler før de blir til problemer
Mange IT-ledere tenker i dag fortsatt på de enkelte systemene, men glemmer veiene mellom dem. Det er der angrepene skjer. Som IT-sjef må du forstå angrepsveiene du tilbyr. Hvilke systemer er sårbare? Hvor er tilgangspunktene? Hvordan vil alt dette bli utnyttet? En god øvelse er å gjennomføre en trusselmodellering og lage et kart over systemene dine for å se hvor risikoen ligger.
Trusselmodellering er en systematisk tilnærming til å identifisere og vurdere potensielle trusler mot et IT-system, et nettverk eller en tjeneste. Ved å analysere og klassifisere truslene kan man utvikle konkrete tiltak for å redusere risikoen og oppfylle sikkerhetsmålene allerede tidlig i utviklingsprosessen, når det er både enklere og billigere å handle. Det finnes flere etablerte verktøy for å gjøre dette, og det viktigste er ikke hvilket du velger, men at du faktisk tar deg tid til å identifisere svakhetene dine før noen andre gjør det.
Velg riktig leverandør å samarbeide med
Men en sikker IT-organisasjon er selvfølgelig også basert på hvilken leverandør man velger å samarbeide med. Her er det viktig å vite hva man skal se etter. Jeg pleier å fremheve én spesifikk faktor som en av de viktigste - åpenhet. En god leverandør er åpen om sine prosesser, sine revisjoner og resultatene av disse. Du bør tørre å fortelle hvordan du håndterer hendelser, og du bør ønske kundenes egne revisjoner velkommen. Svenske leverandører er ofte mer åpne enn mange andre, noe som er et godt tegn.
Oppsummering - slik ligger du i forkant:
- La sikkerhetsarbeidet drives fra ledelsen, ikke fra enkeltprosjekter. Det er ledelsen som setter tonen for sikkerhetskulturen.
- Kartlegg angrepsveiene før noen andre gjør det. Tenk på veiene mellom systemene, ikke bare systemene i seg selv.
- Velg leverandører som er transparente og åpne om prosessene sine.
- Invester i kunnskap og bevissthet i hele organisasjonen - det er den beste beskyttelsen.
