Därför är informationssäkerhet en ledningsfråga: ”Högre krav och förväntningar”

Dorite är it-konsulter med fokus på den digitala arbetsplatsen och Microsoft 365. De märker att deras kunder numera efterfrågar mer vägledning inom informationssäkerhet.

– Vi ser ett tydligt skifte i omvärlden med ökade regulatoriska krav, högre förväntningar från kunder och ett mer komplext digitalt landskap, inte minst kopplat till molntjänster och AI, berättar Dorites vd, Tina Koski.

Nu har de valt att lyfta frågan ytterligare till att bli en strategisk ledningsfråga.

Varför valde ni att göra det här arbetet just nu?
– För att kunna vara en relevant och trovärdig partner behöver vi själva ha full kontroll på våra arbetssätt, vår styrning och vår efterlevnad. Det gjorde tidpunkten naturlig för mig att samla ledningen och säkerställa att vi själva har ett gemensamt ramverk, tydliga mål och ett långsiktigt angreppssätt.

Så tar du ett helhetsgrepp om informationssäkerheten

Arbetet för att ta ett helhetsbegrepp på informationssäkerheten genomfördes bland annat via en workshop i början av januari modererad av kompetensanalytikern Per Tuvall. Så här beskriver Tina Koski själv tillfället:

– Workshopen var strukturerad men starkt dialogdriven. Vi kombinerade genomgång av ramverk och regelverk, bland annat kopplat till MSB och ISO 27001, med diskussioner om ansvar, kundkrav och målbild. Fokus låg på att skapa samsyn i ledningsgruppen och säkerställa att vårt interna arbete hänger ihop med den rådgivning vi ger kunder inom Microsoft 365 och informationssäkerhet, säger hon och fortsätter:

– Det handlade mindre om teknik och mer om styrning, ansvar och långsiktighet. Utöver kunskap, samsyn och utbildningsplan för organisationen för 2026 känner vi oss även trygga med att vi har en uppdaterad säkerhetshandbok med informationssäkerhetspolicy, rutiner för genomgång, tydlig rollbeskrivning för CISO samt handlingsplan för säkerhetsåtgärder.

Hur ska ni hålla arbetet med informationssäkerhet aktivt i vardagen för hela organisationen?
– För oss handlar det om att göra informationssäkerhet praktiskt och levande inte teoretiskt. Vi har tydliggjort roller och ansvar, samlat styrande dokument i en gemensam säkerhetshandbok och kopplat arbetet till både utbildning och säkerhetskultur. Som M365-konsulter är det också viktigt att våra egna arbetssätt speglar det vi rekommenderar våra kunder. Det skapar både intern tydlighet och extern trovärdighet.

Om någon annan skulle vilja lyfta in frågan till ledningen, vad är viktigt att tänka på?
– Utgå från verksamhetens verklighet och affär inte från tekniken. Det viktigaste är att koppla informationssäkerhet till verksamhetens faktiska risker och mål. Ledningar engagerar sig när de ser hur frågan påverkar kundrelationer, affärsbeslut och förtroende, inte när den presenteras som enbart teknisk eller regelstyrd. Ett tydligt ramverk, konkreta exempel och en realistisk ambitionsnivå gör det också lättare att få gehör och skapa långsiktigt engagemang.

Varför är det viktigt att ha med informationssäkerhet som en strategisk ledningsfråga?
– Informationssäkerhet påverkar idag hela verksamheten dvs affären, kundförtroendet, regelefterlevnaden och möjligheten att växa. För oss som arbetar professionellt med Microsoft 365 och informationshantering är det dessutom avgörande att vi lever som vi lär. Vi behöver själva ha ett moget och ledningsförankrat säkerhetsarbete för att kunna förstå våra kunders verklighet, tolka regelverk korrekt och ge relevant rådgivning. Därför måste frågan ägas på ledningsnivå och vara en integrerad del av hur verksamheten styrs.