Cybersäkerhet har länge betraktats som en fråga för IT, men i en allt mer digital arbetsvardag blir HR en nyckelspelare i företagets säkerhetsarbete. Det handlar inte bara om teknik, utan också om internkultur, rutiner och beteenden. Idag är den mänskliga faktorn största svagheten mot verksamhetens cybersäkerhet. Här delar Mats Hultgren, en av Sveriges mest erfarna strategiska cybersäkerhetsexperter från Truesec, sina främsta råd till dagens HR-avdelningar.
I inlägget får du veta:
- Varför HR spelar en avgörande roll för cybersäkerheten.
- Säkerhetsrisker – och åtgärder – varje HR-chef bör ha koll på.
- Hur samarbetet mellan HR och IT bör se ut 2025.
Cyberattacker – inte längre något som “drabbar andra”
Cyberbrottsligheten utgör idag världens tredje största ekonomi, de enda som är större är USA:s och Kinas BNP.
“Det finns mer pengar i cyberkriminaliteten idag än världens illegala droghandel.”
– Mats Hultgren, cybersäkerhetsexpert
Cyberhoten har gått från att vara “högljudda” ransomware-attacker, till att bli mer “tysta” intrång där angripare tar sig in i verksamhetens system och kan finnas där i månader eller år. Dessutom blir små och medelstora företag allt vanligare mål, eftersom de ofta saknar säkerhetsrutiner och resurser.
Varför behöver HR bry sig om cybersäkerhet?
Cyberangrepp handlar idag lika mycket om människor, kultur och beteenden som om teknik. Det mänskliga felandet är en viktig faktor att ha med i beräkningarna eftersom det är en vanlig orsak till cyberattacker. Medarbetare klickar på falska länkar, delar känslig information av misstag eller missar att följa säkerhetsrutiner. Och det är här HR kommer in i bilden.
”När vi hackar våra kunder som ett test, så klickar 95 % på våra falska länkar – inklusive de som jobbar med IT-säkerhet.”
– Mats Hultgren, cybersäkerhetsexpert
HR ansvarar för viktiga delar av organisationen: onboarding, internkommunikation, policyförankring och företagskultur. Särskilt i hybrida arbetsmiljöer – där medarbetare jobbar på distans, använder privata enheter eller samarbetar digitalt – ökar risken för dataintrång och andra cyberincidenter.
När krisen är ett faktum, är det dessutom ofta HR som får hantera den mänskliga sidan: stress, kommunikation, och arbetsmiljö.
“Det absolut vanligaste sättet att ta sig in i företags IT-miljö idag, är via ouppdaterad IT. Som exempelvis gamla eller ej uppdaterade servrar, datorer, system eller andra mjukvaror. De blir som en motorväg rakt in i din IT-miljö.”
– Mats Hultgren, cybersäkerhetsexpert
3 steg till en starkare cybersäkerhet
Att bygga ett cybersäkert företag kräver samarbete mellan flera avdelningar. HR har en viktig roll i att utbilda, strukturera och skapa en säkerhetskultur där människor är en del av skyddet, inte en svag punkt. Här är 3 områden där du som HR-ansvarig kan göra konkret skillnad:
1. Rekrytera rätt – på rätt sätt
Gör alltid en utökad bakgrundskontroll för beslutsfattare och IT-ansvariga. Bakgrundskontroller ska inte bara vara en säkerhetsfråga för säkerhetsklassade roller, utan även för personal med IT-behörighet.
Som HR-ansvarig måste du även våga ställa de “jobbiga” frågorna i referenstagningar. Förutom frågor kring kandidatens kompetens – ställ frågor om integritet, pålitlighet och lojalitet. Se till att identifiera eventuella sårbarheter hos kandidaten och ta dessa med i beräkningarna.
2. Skapa en säkerhetsmedveten företagskultur
Ett nyckelord inom framgångsrik cybersäkerhet stavas “lojalitet”. En kultur där medarbetare vågar säga “jag gjorde fel” kan vara skillnaden mellan ett snabbt avbrott i verksamheten – och en total katastrof.
Se till att fånga upp och stötta individer i utsatta roller och jobba aktivt med att förbättra samarbetet mellan avdelningar. Varje medarbetare behöver känna sig sedd, behövd och bekräftad. För när lojaliteten brister, kan trogna medarbetare förvandlas till insiderhot – ofta utan att de själva förstår vidden.
3. Utbilda fler än bara IT-personalen
Många företag slentrianutbildar sin IT-personal, men det räcker inte år 2025. Rätt utbildning innebär att höja hela organisationens IT-kompetens. Medarbetare behöver veta vad som gäller – och varför.
Tillsammans bör IT och HR ta fram policys kring hantering av lösenord, personuppgifter och vad man ska göra vid misstänkt aktivitet. Integrera säkerhet i introduktioner och ledarskapsprogram – och säkerställ att de anställda förstår att deras digitala säkerhet, både i privatlivet och arbetslivet, påverkar organisationen.
”Vi måste börja ta det här mer på allvar. Få upp kompetensen – inte bara hos IT, utan hos alla som använder IT.”
– Mats Hultgren, cybersäkerhetsexpert
HR:s roll vid en cyberattack
När en cyberattack inträffar drabbas inte bara IT-avdelningen. Hela organisationen påverkas – och HR står ofta mitt i krisen. I snitt tar det 23 dagar innan en verksamhet är på fötter igen efter ett allvarligt angrepp, och därefter väntar ofta upp till 300 dagar av begränsad kapacitet. Under den tiden ökar pressen på både medarbetare och chefer, och här spelar HR en nyckelroll.
När IT ligger nere är det människorna som bär upp verksamheten. Då behöver HR vara förberett – inte bara med planer, utan med närvaro, omdöme och handlingskraft.
Att göra vid en attack:
- Se till att medarbetarna får rätt stöd – både under och efter krisen.
- Våga fatta snabba beslut kring arbetsmiljö och praktiska behov, även utanför ordinarie rutiner.
- Säkerställ att kommunikationen når ut internt först – tydligt, transparent och samlat.
- Följ upp långsiktigt: kriser slutar inte när systemen är igång igen.
Efter krisen: det som glöms bort
När en cyberattack är över krävs mer än att systemen fungerar igen. HR behöver planera tillsammans med ledningen och avdelningsansvariga för att säkra verksamhetens långsiktiga uthållighet. Det handlar också om att fånga upp individer vars tilltro till organisationen påverkats, och att bidra till att samla in, dokumentera och sprida lärdomar från händelsen – så att hela organisationen står starkare nästa gång.
Ta fram en kontinuitetsplan
Idag räcker det inte bara med att ha en plan för hur ni ska agera när en cyberattack slår till mot ert IT-system. Det gäller att även ha en plan för om era leverantörer drabbas.
Vad händer om systemen går ner? Hur fungerar löneutbetalningar, rekrytering, onboarding – och vem gör vad när allt måste ske manuellt? Den typen av övningar och dialoger måste HR vara med och driva.
En genomtänkt kontinuitetsplan säkerställer att ni snabbt kan agera, skydda medarbetare och upprätthålla verksamhetskritiska funktioner även under pågående incidenter.
Om du och din organisation vill veta mer om HR:s roll kopplat till cybersäkerhet, hör av dig till oss!
