Secify.com

Du kan inte säkerhetsskydda allt - därför måste informationssäkerhet börja med rätt scope

11 maj, 2026
Uppskattad lästid: 3 min

Du kan inte säkerhetsskydda allt – därför måste informationssäkerhet börja med rätt scope

Det finns en ganska vanlig reflex i organisationer när säkerhetsfrågor kommer upp. Något händer i omvärlden, ett nytt regelverk börjar gälla, en incident får uppmärksamhet eller en kund börjar ställa tuffare krav – och plötsligt vill alla göra mer. Fler kontroller. Fler processer. Mer dokumentation. Nya verktyg. Mer styrning.

Det är egentligen inte så konstigt. Säkerhet är ett område där ingen vill framstå som passiv. Ingen vill vara den som i efterhand behöver förklara varför man inte gjorde tillräckligt. Men just där ligger också en av de största fallgroparna. För informationssäkerhet handlar inte om att göra mest. Det handlar ju om att göra rätt.

Det var en av de tydligaste poängerna i Lynda Woollards webbinarie om styrning, risk och efterlevnad inom informationssäkerhet. Ett systematiskt arbetssätt är inte en administrativ bonus för stora organisationer med gott om resurser. Det är själva fundamentet.

“If you don’t have a structured approach, you won’t be able to meet these requirements.”

Det är lätt att nicka instämmande åt det där. Samtidigt är det förvånansvärt många verksamheter som ändå börjar i fel ände.

När säkerhet blir ett hinder

I stället för att först ställa frågan om vad som faktiskt behöver skyddas, börjar man med lösningarna. Ett säkerhetsverktyg köps in. Policydokument tas fram. Nya krav kommuniceras ut i organisationen. Ambitionen finns absolut där! Men ganska snabbt börjar friktionen märkas.

Det som från början var tänkt att skapa kontroll börjar i stället skapa motstånd. Processer som tidigare fungerade smidigt blir långsammare. Medarbetare behöver ta omvägar för att få saker gjorda. Säkerhetsfrågor fastnar mellan olika funktioner. Ingen är helt säker på vem som äger vad. Och ganska snart börjar säkerhetsarbetet uppfattas som något som istället bromsar upp verksamheten.

Som Lynda uttryckte det:

“Security becomes a blocker.”

Det där är faktiskt ett större problem än det först låter. Det är också ett gammalt klassiskt problem i CIA triaden, specifikt i availability (tillgänglighet). För när säkerhet upplevs som ett hinder händer något väldigt mänskligt. Folk börjar hitta egna lösningar. Inte för att de vill bryta mot regler, utan för att jobbet fortfarande måste bli gjort.

Det är då shadow IT börjar smyga sig in. Filer delas via enklare, okontrollerade kanaler. Privata verktyg används för att lösa arbetsuppgifter snabbare, och nya tjänster tas i bruk utan ordentlig säkerhetsgranskning. Ironiskt nog kan organisationen därmed skapa nya risker genom sitt eget säkerhetsarbete.

Ett konkret exempel är Beaumont Health under pandemin 2020, där anställda använde Google Docs för att spåra och dela patientinformation eftersom de officiella systemen inte räckte till eller var för långsamma för verksamhetens behov. Resultatet blev att känslig patientinformation exponerades felaktigt. Fallet illustrerar tydligt hur alltför rigida eller otillräckliga system kan driva fram shadow IT, där medarbetare tar genvägar för att få arbetet att fungera men samtidigt skapar nya säkerhetsrisker.

Färgglatt bollhav

Problemet med att vilja skydda allt

Det är här många blandar ihop säkerhetsmognad med maximal kontroll. Att vilja skydda allt kan låta ansvarsfullt, men i praktiken är det ofta ett tecken på motsatsen. Mogen informationssäkerhet handlar inte om att lägga ett skyddsnät över hela verksamheten bara för att det känns tryggt. Det handlar om att förstå vad som faktiskt är skyddsvärt.

Vilken information är verkligen affärskritisk? Vad skulle orsaka verklig skada om det läckte, manipulerades eller försvann? Vilka system måste fungera för att verksamheten ska kunna leverera? Vad är känsligt på riktigt, och vad känns mest bara obekvämt? Det låter som självklara frågor, men många organisationer hoppar förbi dem för att snabbare komma till genomförandet.

Det är också här begreppet scope blir centralt; vad är det vi faktiskt inkluderar i vårt säkerhetsarbete, pch kanske ännu viktigare, vad inkluderar vi inte?

Lynda var tydlig med att organisationer behöver vara pragmatiska här.

“You cannot realistically protect everything.”

Det är egentligen en ganska befriande insikt och position att ta. Särskilt mindre och medelstora verksamheter fastnar ofta i tanken att ett seriöst säkerhetsarbete måste omfatta hela organisationen direkt. Alla system. Alla informationsflöden. Alla processer. Alla leverantörer. Allt samtidigt.

Problemet är att den typen av ambition snabbt blir sin egen fiende. Projekt växer. Tidsplaner spricker. Roller blir otydliga. Dokumentationen växer snabbare än genomförandet. Fokus tappas. Och till slut sitter organisationen med ett säkerhetsarbete som ser imponerande ut i PowerPoint men inte gör särskilt stor skillnad i praktiken.

Informationssäkerhet är inte ett IT-projekt

Det här är också skälet till att informationssäkerhet så sällan egentligen är ett IT-projekt.

Det är förstås lätt att placera säkerhetsfrågorna där. IT hanterar systemen, tekniken och infrastrukturen, så det känns logiskt. Men styrningen av informationssäkerhet är i grunden en verksamhetsfråga. Någon måste äga arbetet. Någon måste veta vem som ansvarar för policyer, vem som hanterar undantag, vem som följer upp incidenter, vem som håller ihop riskarbetet och vem som säkerställer kontinuitet när något går fel.

I större organisationer är de rollerna ofta tydligare. I mindre verksamheter ser det ofta annorlunda ut. Där landar säkerhetsansvaret lätt hos den person som råkar ha störst intresse eller erfarenhet.

Det fungerar – tills det inte fungerar.

När säkerhetsarbete bygger på personberoende uppstår en ganska klassisk sårbarhet. Så länge rätt person är kvar känns allt stabilt. Men om den personen slutar, blir sjuk eller bara får andra prioriteringar kan viktiga delar av arbetet snabbt falla mellan stolarna.

Det är därför dokumentation och tydliga ansvar inte bara är compliance-frågor. De är rena överlevnadsfrågor.

Säkerhet måste fungera i verkligheten

Samtidigt finns det en annan verklighet som säkerhetsarbete ibland missar helt: människor arbetar i vardagen, inte i styrdokument. Vi skrev tidigare när säkerhet blir ett hinder, ungefär samma gäller för säkerhetsprocesser. Det går att skapa hur eleganta säkerhetsprocesser som helst på papper. Men om de inte fungerar i praktiken kommer de att kringgås. Inte för att skada, utan av ren nödvändighet.

Människor arbetar under tidspress. Kunder väntar. Affärer ska stängas. Supportärenden måste lösas. Om säkerheten gör vardagen oproportionerligt svår kommer alternativa vägar nästan alltid att uppstå. Bra säkerhet är därför inte bara korrekt säkerhet. Den måste också vara användbar.

Det betyder inte att man kompromissar bort skydd. Det betyder att man designar kontroller som går att leva med.

Regelverken förändrar spelplanen

Det blir extra viktigt nu när regelverken blir fler och hårdare. NIS2, Cyber Resilience Act, GDPR och andra regulatoriska krav förändrar spelplanen snabbt. Säkerhet är inte längre något organisationer kan hantera som en ambitionsfråga vid sidan av verksamheten. Det påverkar affärsmöjligheter, leverantörsrelationer och i vissa fall direkt juridiskt ansvar.

Men även här är den spontana reaktionen ofta fel. Många svarar med att försöka göra allt samtidigt. Mer kontroll. Mer dokumentation. Större scope. Problemet är att regelverk inte belönar kaotisk ambition. De belönar struktur.

Börja med det som faktiskt spelar roll

Och det är där Lynda egentligen landade i sitt kärnbudskap.

“Protect what really matters.”

Det är absolut den mest användbara, enklaste och ”to the point”- formuleringen av alla.

För om man börjar just där, förändras hela säkerhetsarbetet. Då blir prioritering möjlig. Då går det att fokusera på kunddata före lågriskinformation och på system som faktiskt är kritiska för affären. Det betyder ju naturligtvis inte att man ignorerar resten. Det betyder bara att man arbetar i rätt ordning. Som vi skrev tidigare så handlar informationssäkerhet trots allt inte om perfektion. Det handlar om att fatta genomtänkta beslut med begränsade resurser i en verklighet där hotbilden hela tiden förändras.

Och ibland är det faktiskt mer ansvarsfullt att göra mindre – så länge det är rätt saker.

<a id=”Contact”></a>Hör av dig!

Behöver du hjälp med att höja säkerhetsnivån på ditt företag? Skicka ett meddelande med kontaktfunktionen eller lyft på luren och ring 020-66 99 00.


    2026-05-11T10:44:20+02:00
    Henrik Petterson

    Skrivet av: Henrik Petterson

    Henrik arbetar med Secifys varumärke och marknadsinsatser och skapar bland annat innehåll, pressmeddelanden och nyheter.

    Henrik Pettersons senaste inlägg

    NYHETSBREV

    Konsulttjänster

    Säkerhetstester

    Managerade tjänster

    Intelligens

    Secify

    Secify logo vit

    Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

    Jönköping (huvudkontor)
    Östra Storgatan 28c, 553 21 Jönköping

    Stockholm
    Warfvinges väg 45, 112 51 Stockholm

    Halmstad
    Tre Hjärtans väg 2, 302 41 Halmstad

    Växjö
    Storgatan 82A, 352 27, Växjö

    Cirklar secifyprofil dekoration
    Cookiepolicy

    Orgnr: 559316-2513
    Tel: 020-66 99 00 | Kontakt

    Till toppen