Cybersäkerhet och personalsäkerhet – hur hänger de ihop?

Det geopolitiska läget, med komplexa och snabbt föränderliga hotbilder, tillsammans med den tekniska utvecklingen, har gjort många verksamhetsledningar smärtsamt medvetna om att företag, myndigheter och organisationer löper en reell risk att utsättas för cyberangrepp.

Under lång tid låg fokus främst på teknik, men de senaste åren har det blivit tydligt att cybersäkerhet aldrig kan reduceras till enskilda faktorer. Teknik, mänskligt beteende, ledarskap och regelverk bildar tillsammans ett ekosystem – och alla delar måste fungera för att helheten ska hålla.

Nya regelverk, som cybersäkerhetslagen, ger riktning och tydliggör ansvar. Men det verkliga arbetet sker i organisationerna själva: i hur man systematiskt analyserar risker, identifierar sina mest kritiska tillgångar och förstår sina sårbarheter.

När vi arbetar strukturerat med att stärka förtroende, tydliggöra ansvar och tidigt fånga upp riskbeteenden minskar vi inte bara risken för incidenter och driftstopp.

Vi skyddar också något ännu viktigare – organisationens förmåga, trovärdighet och långsiktiga motståndskraft.

En central sårbarhet handlar om hur vi som medarbetare använder organisationens digitala verktyg. Felaktigt eller obetänksamt användande kan – med eller utan avsikt – skapa öppningar som angripare snabbt utnyttjar.

Must lyfter i sin årsbok för 2025 fram hur säkerhetsskydd och personalsäkerhet är avgörande för att långsiktigt och systematiskt hantera de hot och sårbarheter som riktas mot Sverige och våra verksamheter. På SRI välkomnar vi att personalsäkerhetens betydelse tydliggörs. Insiderprevention är inte ett sidospår i cybersäkerhetsarbetet – det är en strategisk kärnfråga.

Fyra viktiga perspektiv för en mer cybersäker organisation:

1. Gör cybersäkerhet till en strategisk ledningsfråga

Det är ledningen – inte IT-avdelningen eller säkerhetsfunktionen – som bär det yttersta ansvaret för riskbedömningar och prioriteringar. Den nya cybersäkerhetslagen slår fast att ledningen ska ha kunskap nog att ställa rätt frågor och fatta informerade beslut.

Frågan är därför: vet vi som ledning vilka frågor vi behöver ställa för att ta vårt ansvar?

2. Till HR och säkerhetsfunktionen: bygg en trygg säkerhetskultur

Har vi tydliga och kända regler? Vågar medarbetare rapportera misstag utan rädsla? En sund säkerhetskultur handlar om att skapa trygghet, tydlighet och förtroende – inte om att peka finger.

En annan fråga är ju också kunskap om våra nuvarande och kommande medarbetare, känner vi dem väl nog för att förebygga att de blir en insider?

3. Till IT: säkerställ god cyberhygien

Hur arbetar vi med behörigheter, uppdateringar, fragmentering, kontinuitetsplanering och andra grundläggande skyddsåtgärder? God cyberhygien är ofta det som avgör om en incident blir ett avbrott eller en katastrof.

4. Vet vi vad vi gör före, under och efter en incident?

• Hur förberedda är vi egentligen?
• Har vi planer som fungerar även när systemen ligger nere?
• Vet alla vem som gör vad, hur vi kommunicerar internt och externt, och hur vi övar för att hålla förmågan levande?

Cybersäkerhet är inte en teknisk fråga – det är en verksamhetsfråga. När ledning, HR, säkerhetsfunktion och IT arbetar tillsammans skapas en robusthet som ingen enskild del kan åstadkomma på egen hand.

I en tid där hoten är komplexa och föränderliga är det just denna helhetssyn som gör skillnaden mellan att reagera på incidenter och att stå emot dem.