Säkerhet som är genomförd, inte bara dokumenterad. Säkerhetsgranskning, NIS2- och GDPR-efterlevnad, incidentberedskap och konkreta åtgärder - för organisationer som tar risk på allvar.
NIS2-direktivet har skapat rubriker, men jag möter fortfarande organisationer som tror att 'det inte gäller oss'. Sanningen är att NIS2 omfattar betydligt fler sektorer och mindre bolag än sin föregångare – och att tillsynsmyndigheterna i varje medlemsland får skarpare verktyg för att utkräva ansvar. För svenska företag innebär det att informationssäkerhet går från att vara en IT-fråga till en styrelsefråga, med personligt betalningsansvar för brister i vissa fall.
Jag möter ofta organisationer som har en pärm med policydokument – men ingen som kan säga om kontrollerna faktiskt fungerar. NIS2 kräver inte bara att ni har en informationssäkerhetspolicy, utan att ni systematiskt kan visa att den följs. Det är en helt annan nivå av krav än de flesta är vana vid.
Min rekommendation till varje organisation som kan omfattas: börja med en gap-analys nu, inte när tillsynen knackar på. Identifiera de största glappen mellan er verklighet och direktivets krav, och prioritera åtgärder som ger störst riskreduktion per krona.
Den tekniska säkerheten – brandväggar, MFA, loggning – är nödvändig men inte tillräcklig. Jag har sett organisationer med toppmodern teknik fällas av att någon på supporten delade ett lösenord över Slack, eller att en medarbetare klickade på en phishing-länk som passerade alla filter. Säkerhet är i grunden en organisationskulturfråga, och den måste adresseras både tekniskt och mänskligt.
Det innebär inte att alla ska bli cybersäkerhetsexperter. Det innebär att varje medarbetare ska förstå sin roll i säkerheten: hur man känner igen ett phishingförsök, varför MFA inte är valfritt, och vem man kontaktar vid misstänkt aktivitet. En bra säkerhetsutbildning tar inte mer än en timme i kvartalet – effekten på riskbilden är dramatisk.
En incident är inte en fråga om 'om' utan 'när'. Min erfarenhet är att de flesta organisationer underskattar hur kaotisk en reell säkerhetsincident är. Det finns ingen manual som täcker alla scenarier, och paniken är påtaglig när system stängs ner och rykten börjar cirkulera. Det enda som fungerar är att ha övat på det viktigaste beslutet: när ska vi stänga ner systemet, och vem fattar det beslutet?
En incidentberedskap behöver inte vara komplicerad. Det viktigaste är att roller är tydliga, att kommunikationsvägar är förutbestämda och att grundläggande steg är dokumenterade – som hur man isolerar en infekterad enhet, hur man kontaktar polisens nationella it-brottscentrum, och vem som informerar kunder och media. En enkel incidentövning på två timmar kan avslöja de största glappen.
De organisationer vi arbetar med brottas oftast med minst ett av dessa.
Direktivet gäller fler organisationer än ni tror. Kraven är konkreta och tillsynen kommer.
Säkerhet hanteras ad hoc av olika personer. Ingen kan svara på hur exponerade ni faktiskt är.
Om ni drabbas av ett intrång eller ransomware idag - vet alla vad de ska göra de första timmarna?
Ni har en informationssäkerhetspolicy i en pärm, men den speglar inte hur tekniken faktiskt ser ut.
Selektivt urval av uppdrag - där senior teknisk kompetens gör störst skillnad.
Teknisk genomlysning av infrastruktur, identiteter, åtkomst och exponering. Konkret riskbild med prioriterade åtgärder.
Gap-analys mot NIS2-kraven och en realistisk plan för att nå efterlevnad - tekniskt och organisatoriskt.
Dataskydd och, för finanssektorn, DORA - översatt till tekniska kontroller som faktiskt går att verifiera.
MFA, conditional access, least privilege och rensning av åtkomster. Den enskilt mest verkningsfulla insatsen.
Incidentplan, roller och en övning så att de första timmarna inte blir kaos.
Endpoint protection, härdning av servrar och molnmiljöer samt loggning som faktiskt går att använda.
Tydlig process från första samtalet till levererat resultat.
Förutsättningslöst samtal om verksamhet, regelkrav och vad som oroar er mest.
Teknisk genomlysning och gap-analys. Ni får en skriftlig riskbild och åtgärdsplan.
Hands-on genomförande av de prioriterade åtgärderna med veckovisa avstämningar.
Dokumentation, rutiner och kunskapsöverföring så att säkerheten lever vidare.
Transparenta upplägg utan dolda kostnader. Alla priser exkl. moms.
Teknisk genomlysning med riskbild och prioriterad åtgärdsplan.
Definierat projekt för att nå efterlevnad eller stänga identifierade risker.
Löpande säkerhetsrådgivning och uppföljning med prioriterad tillgänglighet.
Läs mer om ämnet i våra artiklar.
Svar på det jag oftast får höra.
NIS2 omfattar betydligt fler organisationer än det gamla NIS-direktivet - fler sektorer och mindre bolag. En kort genomgång av er verksamhet ger svar, och gap-analysen visar vad som krävs.
Nej. Fokus ligger på en bred säkerhetsgranskning, arkitektur, identitet och efterlevnad. Renodlad penetrationstestning kan tas in som komplement där det behövs.
Ja. Mindre organisationer drabbas lika hårt men har sällan en helhetsbild. Insatsen anpassas i omfattning - ofta ger några få åtgärder mycket stor effekt.
Retainer-kunder har en prioriterad kanal. För nya kunder hjälper jag till så långt det går, men löpande beredskap byggs bäst i förväg.
Nej - tyngdpunkten ligger på genomförda åtgärder. Dokumentationen finns för att efterlevnaden ska gå att verifiera, inte för att fylla en pärm.
Nästa steg
Har ni en ambitiös idé eller ett tekniskt vägval där det är värt att tänka rätt från början? Hör av er - förutsättningslöst.
Ta kontakt