När säkerheten avgörs i vardagen, inte i policyn

Vi som arbetar med informationssäkerhet ser samma mönster gång på gång: ambitionen finns på plats, policyn är skriven och klassningsmodellen är beslutad. Men någonstans mellan styrgruppen och tisdagsmorgonen i Teams händer något. Det är där, i mellanrummet mellan det som är beslutat och det som faktiskt sker, som er säkerhet avgörs.

År 2026 är vi i ett läge där tre krafter möts. Cybersäkerhetslagen är i kraft sedan januari, AI och Copilot har gått från pilot till vardag och Microsoft 365 är inte längre bara ett samarbetsverktyg. Det är scenen där er informationssäkerhet prövas varje dag. Det är det här mötet som gör frågan så aktuell just nu. Och det är därför vi tycker att samtalet om informationssäkerhet behöver lyftas en nivå.

Glappet mellan princip och praktik: den osynliga riskzonen

Föreställ er ett scenario som vi ofta möter: en klassningsmodell finns på plats, informationsägare är utsedda, behörighetsstrukturen är översiktligt definierad. På pappret är det ordning och reda. Men en projektledare som har bråttom skapar en Teams-kanal med öppen åtkomst för att "det går snabbare så". En medarbetare delar en länk till en känslig rapport externt eftersom det är enklare än att hantera gäståtkomst korrekt. En chef använder en privat OneDrive för att slippa vänta på behörigheter inför ett möte med extern part. Och en säljare bygger en offert i en egen AI-applikation för att han inte vet hur man gör med Copilot, och tankar ut massor av kunddata.

Inget av det här är ondska eller medvetet slarv. Det är rationella val i en pressad vardag. Men det är också precis här, i de små, temporära genvägarna, som er säkerhet avgörs. Det är inte den saknade policyn som är problemet. Det är policyn som finns, men inte används i praktiken.

Och just här ligger paradoxen: ju mer formell säkerhet ni lägger ovanpå utan att förändra arbetssättet, desto fler genvägar uppstår. Säkerhet som upplevs som ett hinder kommer att kringgås. Säkerhet som är inbyggd i arbetssättet kommer att följas, ofta utan att medarbetarna ens reflekterar över att det är säkerhet. Det är ingen ond cirkel, men det är en cirkel som behöver brytas, och den bryts inte med fler dokument.

"Det är inte den saknade policyn som är problemet. Det är policyn som finns, men inte används i praktiken."

När AI tar tillgängligheten på orden

Copilot och de agentbaserade AI-funktionerna har lagt till en ny dimension. De skapar inte nya säkerhetshål. De gör däremot de befintliga säkerhetshålen omöjliga att ignorera. Det som tidigare bara var teoretiskt åtkomligt blir nu praktiskt sökbart på naturligt språk. 

Vi möter regelbundet organisationer som sätter Copilot på paus när de upptäcker vad den faktiskt kan hitta. Lönefiler, känsliga utredningar, gamla utkast i någons OneDrive. Material som "borde" varit skyddat men som i praktiken legat öppet i åratal. Det är obekvämt. Men det är också en gåva. För första gången blir er faktiska informationsstruktur synlig för hela organisationen, inte bara för säkerhetsteamet. 

Frågan är då inte om ni ska bromsa AI. Frågan är hur ni gör hemläxan så att AI kan accelerera värde utan att exponera er.

När AI tar tillgängligheten på orden

Parallellt med detta har Cybersäkerhetslagen, som implementerar NIS2 i svensk rätt, trätt i kraft. För många organisationer innebär det att informationssäkerhet inte längre är något som hanteras "någonstans i IT". Det är nu ledningens formella ansvar, med personlig ansvarsfördelning, dokumentationskrav och konsekvenser som ni inte vill behöva förklara i efterhand.

Det här är inte en compliance-övning. Det är en signal om att säkerhet har flyttat från teknisk disciplin till verksamhetsfråga. Den som äger affären äger därmed också risken.

"I ledningsgruppen blir säkerhet inte längre ett område som man måste få rapport om, utan en självklar del av hur affären bedrivs."

Säkerhet som faktisk förmåga, inte dokumentation

Det som är intressant och befriande är att de organisationer som hanterar det här bäst inte är de med flest policyer eller den dyraste tekniken. Det är de som har förstått att informationssäkerhet är en verksamhetsförmåga. Något som lever i hur människor faktiskt arbetar, inte i hur det beskrivs.

För när säkerhet är en förmåga, snarare än en funktion, förändras samtalet. Den som driver den digitala utvecklingen slipper uppleva säkerhet som motstånd. Då blir säkerhet snarare det som gör att AI-initiativen går att skala utan att tappa kontrollen. Den som äger risk och regelefterlevnad kan luta sig mot att kontrollerna faktiskt fungerar i skarpt läge, inte bara att de finns dokumenterade. I ledningsgruppen blir säkerhet inte längre ett område som man måste få rapport om, utan en självklar del av hur affären bedrivs. Och i den dagliga driften där teknik, människor och processer ska hänga ihop behöver man inte längre välja mellan säkerhet och hastighet.

Förmågor byggs inte i ett projekt. De byggs över tid, när struktur, teknik och beteende drar åt samma håll. När tillräckligt många i organisationen känner igen sig i bilden av vad säkerhet faktiskt är, så uppstår förmågan.

Var börjar förflyttningen?

Beroende på var ni står idag finns olika, naturliga ingångar. För den som vill ta ett första, konkret steg är det ofta enklast att börja med det som AI redan har gjort synligt. Vår Copilot Data Exposure & Security Baseline ger er en tydlig bild av vad Copilot faktiskt kan se hos er idag och vad ni behöver göra åt det innan ni skalar.

För den som behöver bygga en bredare motståndskraft mot incidenter, intrång och avbrott jobbar vi med Motståndskraft, grundad i NCSCs rekommendationer och vidareutvecklad utifrån vilket regelverk ni träffas av (NIS2/DORA etc).

Och för er som vill ta ett helhetsgrepp där policy, teknik, arbetssätt och kultur faktiskt hänger ihop är vår metodik för att jobba med Informationssäkerhet den naturliga vägen in. Det är där vi hjälper organisationer att flytta säkerheten från dokument till verklig förmåga.

Till sist

Fråga er själva: Hur säker är er verksamhet när (inte om) nästa prövning kommer? Litar ni på att era rutiner håller i skarpt läge? Om svaret är tveksamt kan det vara dags att ta nästa steg. Då tar vi på Exobe gärna en dialog om hur informationssäkerhet kan bli en fungerande förmåga hos er, så att ni står redo för framtidens möjligheter och hot, med både sunda principer och levande praktik.