⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
DA EN BG CS DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
Compliance ISO 27001 NIS2 DORA

Sådan opbygger I et program for modstandsdygtighed over for phishing, der virker i praksis

Igor Petreski
14 min read
#ISO 27001:2022 #Risikostyring #Hændelseshåndtering #Databeskyttelse #Compliance

Jeres tekniske kontroller er stærke, men jeres medarbejdere er fortsat det primære mål for phishing-angreb. Denne vejledning giver en struktureret, ISO 27001-afstemt fremgangsmåde til at opbygge et program for modstandsdygtighed over for phishing, der gør teamet fra en sårbarhed til jeres stærkeste forsvarslinje, reducerer menneskelige fejl og opfylder regulatoriske krav fra rammeværker som NIS2 og DORA.

Hvad er på spil

Tekniske forsvar som e-mailfiltre og endpoint-beskyttelse er nødvendige, men de er ikke ufejlbarlige. Angribere ved, at den letteste vej ind i et sikkert netværk ofte går gennem et menneske. Et enkelt klik på et ondsindet link kan omgå sikkerhedsteknologi for millioner af pund. Brugerkonti er de hyppigst målrettede indgangspunkter for cyberangreb, og en vellykket phishing-kampagne kan føre til tyveri af legitimationsoplysninger, malwareinfektion og uautoriseret adgang. Konsekvenserne er ikke kun tekniske; de er i høj grad forretningsmæssige. En kompromitteret konto kan medføre svigagtige bankoverførsler, eksponering af følsomme kundedata og betydelig driftsmæssig nedetid, mens systemer renses og gendannes.

Det regulatoriske landskab er også uforsonligt. Rammeværker som GDPR, NIS2 og DORA kræver udtrykkeligt, at organisationer implementerer sikkerhedsforanstaltninger, som omfatter løbende medarbejderuddannelse og bevidstgørelse. Article 21 i NIS2-direktivet kræver for eksempel, at væsentlige og vigtige enheder gennemfører cybersikkerhedstræning og fremmer grundlæggende cyberhygiejne. Tilsvarende kræver DORA’s Article 13, at finansielle enheder etablerer omfattende træningsprogrammer. Manglende dokumentation for et robust bevidstgørelsesprogram kan føre til alvorlige sanktioner, omdømmeskade og tab af kundetillid. Risikoen er ikke abstrakt; den er en direkte trussel mod jeres finansielle stabilitet og retlige position. Menneskelige fejl er en central risikokilde, og tilsynsmyndigheder forventer, at I behandler den med samme alvor som enhver teknisk sårbarhed.

Overvej en mellemstor logistikvirksomhed. En medarbejder i økonomiafdelingen modtager en overbevisende e-mail, tilsyneladende fra en kendt leverandør, med anmodning om en hastende betaling til en ny bankkonto. E-mailsignaturen ser korrekt ud, og tonen virker velkendt. Under pres for at behandle fakturaer hurtigt gennemfører medarbejderen overførslen uden mundtlig verifikation. Få dage senere ringer den reelle leverandør om den forfaldne betaling. Virksomheden har mistet £50.000, og den efterfølgende undersøgelse skaber betydelige forstyrrelser. Hændelsen kunne være helt undgået med et stærkt program for modstandsdygtighed over for phishing, der træner medarbejdere i at identificere advarselstegn og verificere usædvanlige anmodninger via en separat kommunikationskanal.

Sådan ser en god løsning ud

Et vellykket program for modstandsdygtighed over for phishing flytter organisationen fra en reaktiv til en proaktiv sikkerhedstilstand. Det fremmer en sikkerhedsbevidst kultur, hvor medarbejdere ikke blot er passive modtagere af træning, men aktive deltagere i virksomhedens forsvar. Denne tilstand kendetegnes ved målbare adfærdsforbedringer og en konkret reduktion af menneskerelateret risiko. Den adresserer direkte kravene i ISO/IEC 27001:2022, især punkt 7.3 om bevidsthed og Annex A-kontrol A.6.3 om bevidsthed, uddannelse og træning i informationssikkerhed. En god løsning er en arbejdsstyrke, der forstår sit sikkerhedsansvar og har kompetencerne til at leve op til det.

I denne ideelle tilstand kan medarbejdere trygt identificere og rapportere mistænkelige e-mails i stedet for at ignorere dem eller, værre, klikke på dem. Rapporteringsprocessen er enkel, velkendt og integreret i den daglige arbejdsgang. Når der gennemføres en simuleret phishing-kampagne, er klikraten lav og konsekvent faldende, mens rapporteringsfrekvensen er høj og stigende. Disse data giver klart revisionsbevis til revisorer, ledelse og tilsynsmyndigheder for, at programmet virker. Endnu vigtigere dokumenterer de, at medarbejderne er blevet en menneskelig firewall, der kan opdage trusler, som automatiserede systemer kan overse. Denne årvågne kultur er en kernekomponent i cyberhygiejne, et princip der er centralt i moderne regulering som NIS2.

Forestil jer en softwareudviklings-SMV, hvor en udvikler modtager en avanceret spear phishing-e-mail. E-mailen ser ud til at komme fra en projektleder og indeholder et link til et dokument beskrevet som “hastende ændringer til projektspecifikationen”. Udvikleren, der er trænet i at være skeptisk over for uventede hastende anmodninger, bemærker, at afsenderens e-mailadresse afviger diskret. I stedet for at klikke bruger vedkommende den særlige “rapportér phishing”-knap i e-mailklienten. Sikkerhedsteamet alarmeres straks, analyserer truslen og blokerer det ondsindede domæne i hele organisationen, så et potentielt brud forebygges. Det er sådan en god løsning ser ud: en trænet og opmærksom medarbejder, der fungerer som en kritisk sensor i jeres sikkerhedsapparat.

Praktisk fremgangsmåde

Opbygning af et holdbart program for modstandsdygtighed over for phishing er en systematisk proces, ikke en engangsaktivitet. Det kræver en struktureret tilgang, der kombinerer vurdering, træning og løbende forstærkning. Ved at opdele implementeringen i håndterbare faser kan I skabe momentum og hurtigt dokumentere værdi. Denne fremgangsmåde sikrer, at programmet ikke blot bliver en compliance-afkrydsningsøvelse, men en reel styrkelse af jeres sikkerhedstilstand. Vores implementeringsvejledning, Zenith Blueprint, giver den overordnede ramme for at integrere denne type bevidstgørelsesinitiativ i jeres ledelsessystem for informationssikkerhed (ISMS).1

Fase 1: Fundament og baseline-vurdering

Før I kan opbygge modstandsdygtighed, skal I kende udgangspunktet. Første fase handler om at etablere en baseline for teamets aktuelle bevidsthedsniveau og identificere de specifikke kompetencer, der kræves for forskellige roller. Det kræver mere end blot at antage, at alle har brug for den samme generiske træning. Økonomiteamet står over for andre trusler end softwareudviklerne. En grundig vurdering hjælper jer med at målrette programmet, så effekten bliver størst mulig, og indholdet er relevant og engagerende for målgruppen. Dette er i overensstemmelse med ISO 27001 punkt 7.2, som kræver, at organisationer sikrer, at personer er kompetente på grundlag af relevant uddannelse og træning.

  • Identificér krævede kompetencer: Kortlæg den specifikke sikkerhedsviden, der kræves for forskellige roller. HR-medarbejdere skal for eksempel forstå, hvordan personoplysninger håndteres sikkert, mens IT-administratorer skal have indgående viden om sikker konfiguration.
  • Vurdér det aktuelle bevidsthedsniveau: Gennemfør en indledende, uvarslet phishing-simulering for at etablere en baseline for klikraten. Det giver en konkret metrik, som fremtidige forbedringer kan måles imod.
  • Definér programmets mål: Fastlæg klare, målbare mål. For eksempel: “Reducer klikraten i phishing-simuleringer med 50 % inden for seks måneder” eller “Øg rapporteringsfrekvensen for phishing til 75 % inden for ét år.”
  • Vælg jeres værktøjer: Vælg en platform til levering af træning og gennemførelse af simuleringer. Sørg for, at den kan levere detaljerede analyser af brugeradfærd og rapportering.

Fase 2: Indholdsudvikling og indledende træning

Med en klar baseline og definerede mål er næste skridt at udvikle og levere det centrale træningsindhold. Her begynder I at lukke de videnshuller, der blev identificeret i fase 1. Nøglen er at gøre træningen praktisk, relevant og løbende. En enkelt årlig træningssession er utilstrækkelig. Effektive programmer indarbejder sikkerhedsbevidsthed i hele medarbejderlivscyklussen fra første dag. Målet er at give hver enkelt medarbejder evnen til at identificere og undgå almindelige trusler som phishing og malware.

  • Udvikl rollebaserede træningsmoduler: Opret specifikt indhold til højrisikoafdelinger. Økonomiteams skal modtage træning i Business Email Compromise (BEC) og fakturasvig, mens udviklere får træning i sikker kodningspraksis.
  • Udrul grundlæggende træning: Udrul et obligatorisk modul om sikkerhedsbevidsthed til alle medarbejdere. Det skal dække grundlæggende phishing, adgangskodehygiejne, social engineering og hvordan man rapporterer en sikkerhedshændelse.
  • Integrér i introduktionsforløbet: Sørg for, at alle nyansatte gennemfører bevidsthedstræning i informationssikkerhed som en del af deres introduktionsforløb. Det fastlægger klare forventninger fra første dag. Brug samtidig lejligheden til at få dem til at bekræfte centrale politikker.

Fase 3: Simulering, rapportering og feedback

Træning alene er ikke nok; adfærd skal testes og forstærkes. Denne fase fokuserer på at gennemføre regelmæssige, kontrollerede phishing-simuleringer, så medarbejdere får et sikkert miljø til at øve deres færdigheder. Lige så vigtigt er det at etablere en friktionsfri proces for rapportering af mistænkelige beskeder. Når en medarbejder rapporterer en potentiel trussel, leverer vedkommende værdifuld trusselsinformation i realtid. Jeres respons på disse rapporter er afgørende for at opbygge tillid og fremme fremtidig rapportering. En klar og praktisk hændelseshåndteringsplan er væsentlig her.

  • Planlæg regelmæssige phishing-simuleringer: Gå fra baseline-testen til en fast kadence for simuleringer, for eksempel månedligt eller kvartalsvist. Variér skabelonernes sværhedsgrad og temaer for at holde medarbejderne årvågne.
  • Etablér en enkel rapporteringsmekanisme: Implementér en “rapportér phishing”-knap i e-mailklienten. Det gør det let for brugere at rapportere mistænkelige e-mails med ét klik og fjerner usikkerhed om, hvad de skal gøre.
  • Giv øjeblikkelig feedback: Når en bruger klikker på et simuleringslink, skal der gives øjeblikkelig, ikke-straffende feedback, som forklarer de advarselstegn, brugeren overså. Hvis en bruger rapporterer en simulering, sendes en automatisk “tak”-besked for at styrke den positive adfærd.
  • Analysér og del resultater: Følg metrikker som klikrater, rapporteringsfrekvenser og tid til rapportering. Del anonymiserede resultater på overordnet niveau med ledelsen og det bredere team for at dokumentere fremdrift og fastholde engagement.

Politikker, der forankrer programmet

Et vellykket program for modstandsdygtighed over for phishing kan ikke stå alene. Det skal understøttes af et klart og håndhævbart politikrammeværk, der formaliserer forventninger, definerer ansvar og integrerer sikkerhedsbevidsthed i organisationens arbejdsgange. Politikker omsætter strategiske mål til operationelle regler, der styrer medarbejderadfærd og skaber grundlag for ansvarlighed. Uden dette dokumenterede fundament kan træningsindsatsen fremstå valgfri, og effekten vil aftage over tid. Det centrale dokument er Politik for bevidsthed om og uddannelse i informationssikkerhed.2 Denne politik fastlægger mandatet for hele programmet, fra introduktionsforløb til løbende uddannelse.

Denne kernepolitik bør ikke stå alene. Den skal kobles til andre kritiske styringsdokumenter for at skabe en sammenhængende sikkerhedskultur. For eksempel fastlægger jeres Politik for acceptabel brug3 grundreglerne for, hvordan medarbejdere bruger virksomhedens teknologi, og er derfor et naturligt sted at henvise til deres ansvar for at være årvågne over for phishing. Når en sikkerhedshændelse opstår, skal Politik for hændelseshåndtering4 klart definere de trin, en medarbejder skal følge for at rapportere den, så den viden, der indsamles fra et rapporteret phishing-forsøg, håndteres hurtigt og effektivt. Tilsammen skaber disse politikker et system af indbyrdes forbundne kontroller, der styrker sikker adfærd.

For eksempel præsenterer informationssikkerhedschefen de seneste resultater fra phishing-simuleringer på et kvartalsvist ISMS-ledelsesreview. Resultaterne viser en mindre stigning i klik på skabeloner om fakturasvig. Teamet beslutter at opdatere Politik for bevidsthed om og uddannelse i informationssikkerhed, så den kræver specifik, målrettet træning af økonomiafdelingen inden næste kvartal. Beslutningen dokumenteres, og den opdaterede politik kommunikeres til alle relevante medarbejdere, så programmet tilpasses nye risici på en struktureret og revisionsbar måde.

Tjeklister

For at sikre, at programmet er dækkende og effektivt, er det nyttigt at opdele arbejdet i klare faser: etablering af fundamentet, daglig drift og verifikation af effekten. Disse tjeklister giver en praktisk vejledning til hver fase og hjælper jer med at holde kursen og opfylde forventningerne fra revisorer og tilsynsmyndigheder. Et veldokumenteret program er langt lettere at forsvare under en revision.

Etablering: Opbygning af et program for modstandsdygtighed over for phishing

Et stærkt fundament er afgørende for langsigtet succes. Denne indledende fase omfatter strategisk planlægning, sikring af ressourcer og design af programmets kernekomponenter. Hvis fasen gennemføres forhastet, fører det ofte til generisk og ineffektiv træning, der ikke engagerer medarbejderne eller adresserer jeres specifikke risikoprofil. Den tid, der investeres i at opbygge programmet korrekt, betaler sig gennem en forbedret sikkerhedstilstand og en mere modstandsdygtig arbejdsstyrke.

  • Definér klare mål og KPI’er for programmet.
  • Sikr ledelsens opbakning og et tilstrækkeligt budget til værktøjer og ressourcer.
  • Gennemfør en baseline-phishing-simulering for at måle den indledende sårbarhed.
  • Identificér brugergrupper med høj risiko og de specifikke trusler, de står over for.
  • Udvikl eller anskaf grundlæggende og rollespecifikt træningsindhold.
  • Integrér bevidsthedstræning i informationssikkerhed i introduktionsforløbet for nyansatte.
  • Etablér en enkel et-klik-proces, som brugere kan anvende til at rapportere mistænkelige e-mails.

Drift: Fastholdelse af programmets momentum

Når programmet er lanceret, kræver et program for modstandsdygtighed over for phishing en løbende indsats for at forblive effektivt. Denne driftsfase handler om at fastholde en regelmæssig kadence af aktiviteter, der holder sikkerhed højt på dagsordenen for alle medarbejdere. Den omfatter simuleringer, kommunikation af resultater og tilpasning af programmet på grundlag af resultatdata og det skiftende trusselslandskab. Det er her, et engangsprojekt bliver til en bæredygtig forretningsproces.

  • Planlæg og gennemfør regelmæssige phishing-simuleringer med varierede skabeloner og sværhedsgrader.
  • Giv øjeblikkelig, læringsorienteret feedback til brugere, der klikker på simuleringslinks.
  • Anerkend og tak brugere, der korrekt rapporterer simulerede og reelle phishing-e-mails.
  • Udgiv regelmæssige, anonymiserede rapporter om programmets performance til interessenter.
  • Lever løbende bevidstgørelsesindhold via nyhedsbreve, tips eller intern kommunikation.
  • Opdater træningsmoduler årligt eller når væsentlige nye trusler opstår.

Verifikation: Revision af programmets effektivitet

Verifikation handler om at dokumentere, at programmet virker. Det indebærer indsamling og præsentation af revisionsbevis til revisorer, tilsynsmyndigheder og øverste ledelse. Et effektivt program er datadrevet, og I skal kunne dokumentere et klart afkast gennem reduceret risiko. Revisorer vil lede efter objektivt revisionsbevis, ikke blot påstande. Brug af et struktureret bibliotek med kontrolmål som Zenith Controls kan hjælpe med at sikre, at jeres revisionsbevis stemmer overens med standarder som ISO 27001.5

  • Vedligehold detaljerede registreringer af alle træningsaktiviteter, herunder tidsplaner og fremmøderegistreringer.
  • Opbevar kopier af alt anvendt træningsmateriale og alle anvendte skabeloner til phishing-simuleringer.
  • Følg og dokumentér klikrater og rapporteringsfrekvenser for phishing-simuleringer over tid.
  • Indsaml revisionsbevis fra efter-hændelsesgennemgange, hvor phishing var en grundårsag.
  • Gennemfør periodiske vurderinger, for eksempel interviews eller quizzer, for at måle, om viden fastholdes.
  • Vær forberedt på at vise revisorer, hvordan programmet målbart har reduceret menneskerelateret risiko.

Almindelige faldgruber

Selv med de bedste intentioner kan programmer for modstandsdygtighed over for phishing mislykkes med at skabe resultater. Det er lige så vigtigt at undgå disse almindelige fejl som at følge bedste praksis. Kendskab til faldgruberne hjælper jer med at designe et program, der er engagerende, effektivt og bæredygtigt.

  • At behandle træning som en engangsaktivitet. Sikkerhedsbevidsthed er ikke en “én gang og færdig”-opgave. Den kræver løbende forstærkning. En årlig træningssession bliver hurtigt glemt og bidrager kun lidt til at opbygge en varig sikkerhedskultur.
  • At skabe en skyldkultur. Det er kontraproduktivt at straffe brugere, der fejler phishing-simuleringer. Det hæmmer rapportering og skaber frygt, så sikkerhedsproblemer skjules. Målet er læring, ikke disciplinering.
  • At bruge urealistiske eller generiske simuleringer. Hvis jeres phishing-skabeloner tydeligt er falske eller irrelevante for jeres forretningskontekst, lærer medarbejderne hurtigt at genkende simuleringerne, men ikke reelle angreb.
  • At overse den øverste ledelse. Angribere målretter ofte spear phishing-angreb mod topledere med høj grad af personalisering. Topledere og deres assistenter skal indgå i træning og simuleringer.
  • At gøre rapportering vanskelig. Hvis en medarbejder skal lede efter instruktioner til, hvordan en mistænkelig e-mail rapporteres, er sandsynligheden mindre for, at det sker. En enkel et-klik-rapporteringsknap er ikke til forhandling.
  • At undlade at reagere på rapporterede hændelser. Når brugere rapporterer reelle phishing-e-mails, leverer de kritisk trusselsinformation. Hvis sikkerhedsteamet ikke anerkender eller handler på disse rapporter, holder brugerne op med at gøre sig umage.

Næste skridt

Opbygning af en modstandsdygtig menneskelig firewall er en væsentlig del af enhver moderne sikkerhedsstrategi. Ved at implementere et struktureret, løbende program for phishing-bevidsthed kan I markant reducere risikoen for et brud og dokumentere compliance med centrale regler.

Referencer

  1. Clarysec. (2025). Zenith ISMS Implementation Blueprint↩︎

  2. Clarysec. (2025). P8S Information Security Awareness and Training Policy↩︎

  3. Clarysec. (2025). P3S Acceptable Use Policy↩︎

  4. Clarysec. (2025). P30S Incident Response Policy↩︎

  5. Clarysec. (2025). Zenith Controls Library for ISO 27001:2022↩︎

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles