Blogg | 25 november 2025
Så bygger du en säker IT-organisation
I den första delen om cybersäkerhet med Linus Kvarnhammar pratade vi om de vanligaste misstagen en organisation gör. I den här delen fördjupar vi oss i vad som faktiskt krävs för att bygga långsiktig säkerhet – bortom brandväggar och produkter. Linus är säkerhetsspecialist och professionell hacker. I över femton år har han hjälpt organisationer att förstå hur angripare tänker.
"Säkerhet måste komma uppifrån. När det drivs underifrån blir det ofta ad hoc-lösningar och snabba produktinköp. Kommer det däremot från ledningen följer hela organisationens processer med."
Kartlägg hoten innan de blir problem
Många IT-ansvariga idag tänker fortfarande på enskilda system men glömmer vägarna mellan dem. Det är där angreppen sker. Som IT-ansvarig behöver man förstå vilka attackvägar man tillhandahåller. Vilka system är känsliga? Var finns åtkomstpunkterna? Hur ska allt det här utnyttjas? En bra övning är att göra en hotmodellering och bygga en karta över sina system och se var riskerna finns.
Hotmodellering är en systematisk metod för att identifiera och bedöma potentiella hot mot ett IT-system, nätverk eller en tjänst. Genom att analysera och klassificera hoten kan man ta fram konkreta åtgärder för att minska riskerna och uppfylla säkerhetsmålen, redan tidigt i utvecklingsprocessen, när det är både enklare och billigare att agera. Det finns flera etablerade verktyg för att göra detta, och det viktigaste är inte vilket man väljer utan att man faktiskt tar sig tid att kartlägga sina svagheter innan någon annan gör det.
Välj rätt leverantör att jobba med
Men en säker IT-organisation grundar sig naturligtvis även i den leverantör man väljer att arbeta med. Här gäller det att veta vad man ska leta efter. Jag brukar lyfta fram en specifik faktor som en av de viktigaste – transparens. En bra leverantör är öppen med sina processer, sina granskningar och resultaten från dem. Man ska våga berätta hur man hanterar incidenter och gärna välkomna kundernas egna granskningar. Svenska leverantörer är ofta mer öppna än många andra och det är ett gott tecken.
Sammanfattning – så ligger du steget före:
- Låt säkerhetsarbetet drivas från ledningen, inte från enskilda projekt. Det är ledningen som sätter ton för säkerhetskulturen.
- Kartlägg attackvägarna innan någon annan gör det. Tänk på vägarna mellan systemen, inte bara systemen i sig.
- Välj leverantörer som är transparenta och öppna med sina processer.
- Satsa på kunskap och medvetenhet i hela organisationen, det är det bästa skyddet.
