Cyberangrepp automatiseras och AI gör avancerade attacker tillgängliga för allt fler.
Samtidigt hanterar organisationer mer känsliga data än någonsin.
I den verkligheten räcker det inte att säga att man tar säkerhet på allvar. IT-ledare måste börja ställa tydliga krav på sina leverantörer. Säkerhetsarbete måste kunna verifieras, inte bara beskrivas.
Allt fler verksamheter flyttar sina system till molnet. Det ställer högre krav på dataskydd, identitetshantering och åtkomstkontroll, men kan också ge starkare säkerhet än många lokala miljöer. Förutsättningen är att säkerhetsarbetet är systematiskt och möjligt att granska. Trots det hänvisar många organisationer till att de “arbetar enligt” ISO 27001. Ambitionen är god, men formuleringen säger lite om hur säkerheten faktiskt fungerar. I en digital ekonomi där förtroende och dataskydd är avgörande räcker det inte med policydokument. Säkerhetsarbete måste kunna verifieras i praktiken.
Säkerhetsrisker uppstår i vardagen
De flesta incidenter börjar inte med avancerade hackerverktyg utan med vardagliga misstag. Ett mejl som ser trovärdigt ut, en länk som klickas i förbifarten eller en fil som delas utanför rutiner. När behörigheter inte avslutas i tid och arbetssätt varierar mellan team uppstår sårbarheter som ofta upptäcks först efter en incident. Samtidigt lever föreställningen kvar att lokala system är säkrare än molnet. I praktiken är det ofta tvärtom. Större molnleverantörer arbetar med flera lager av teknisk, fysisk och organisatorisk säkerhet. Skillnaden ligger inte bara i var data lagras, utan i hur systematiskt säkerhetsarbetet är uppbyggt och kontrollerat.
ISO 27001 som ledningssystem
ISO 27001 är en internationell standard för informationssäkerhet och omfattar 93 säkerhetskontroller som granskas genom återkommande, oberoende revisioner. Standarden är inte i första hand en teknisk lösning, utan ett ledningssystem som omfattar hela organisationen. Grunden är CIA-triaden – Confidentiality, Integrity och Availability. Information klassificeras utifrån dessa principer och organisationen analyserar risker, åtkomst och skyddsåtgärder. Resultatet dokumenteras bland annat i en Statement of Applicability som visar vilka kontroller som faktiskt används.
Darel Cullen CTO – Wolters Kluwer
Certifiering gör skillnad
Skillnaden mellan att arbeta enligt ISO 27001 och att vara certifierad är granskningen. En certifiering innebär att hela ledningssystemet regelbundet prövas av en oberoende part och följer en process för kontinuerlig förbättring. Det skapar spårbarhet och visar att kontrollerna fungerar över tid. Utan certifiering finns inget verifierbart bevis på efterlevnad. Organisationer kan i praktiken välja bort delar av standarden utan att det syns utåt. Certifiering eliminerar inte risken för incidenter, men den ökar organisationens förmåga att upptäcka brister i tid och agera konsekvent när något inträffar.
Ramverk och AI höjer kraven
Många organisationer använder ramverk som NIST, vilket också ligger till grund för regulatoriska krav som EU:s NIS2-direktiv. Ramverken beskriver vad som bör göras – men inte hur arbetet följs upp. ISO 27001 ger den struktur som gör säkerhetsarbetet granskningsbart. Samtidigt förändrar AI hur risklandskapet utvecklas. Deepfakes, röstkloning och mer avancerad phishing ökar komplexiteten, samtidigt som AI kan effektivisera hur angrepp planeras och genomförs. Mer avancerade AI‑lösningar kan bidra till snabbare identifiering av sårbarheter och mer anpassade angrepp. I en sådan miljö blir strukturerad och verifierbar säkerhet avgörande, inte som ett skydd mot varje enskilt hot, utan som ett sätt att säkerställa att risker identifieras, hanteras och följs upp över tid. När cyberrisker i högre grad automatiseras bör ISO 27001 därför inte ses som en ambition. För organisationer som utvecklar eller levererar digitala tjänster blir certifiering ett grundläggande krav, både internt och för leverantörer som hanterar kritiska data.
