10 säkerhetsbrister som de flesta organisationer missar – och hur du åtgärdar dem: komplett vägledning för säkerhetsrevision och åtgärder
När simulering möter verklighet: krisen som blottlade säkerhetens blinda fläckar
Klockan var 14.00 en tisdag när Alex, informationssäkerhetschef på ett snabbväxande fintechbolag, tvingades avbryta organisationens ransomware-simulering. Slack-kanalerna kokade, styrelsen följde utvecklingen med växande oro och tidsfristen för efterlevnad av DORA närmade sig hotfullt. Simuleringen, som skulle vara rutinmässig, hade utvecklats till en demonstration av sårbarheter: angreppsvägar upptäcktes inte, kritiska tillgångar prioriterades inte, kommunikationsplanen fungerade inte och leverantörsriskerna var i bästa fall otydliga.
Inte långt därifrån hanterade en informationssäkerhetschef i en medelstor leveranskedjeorganisation en verklig incident. Phishade inloggningsuppgifter hade gjort det möjligt för angripare att exfiltrera känsliga affärsdata från molnapplikationer. Försäkringsgivaren krävde svar, kunderna begärde revisionsspår och styrelsen ville snabbt få försäkran. Men inaktuella riskloggar, oklart tillgångsägarskap, fragmenterad incidenthantering och föråldrade åtkomstkontroller gjorde dagen till en fullskalig kris.
I båda scenarierna var grundorsaken inte illojala insiders eller exotiska zero-days. Det var samma tio återkommande brister som varje revisor, tillsynsmyndighet och angripare vet hur man hittar. Oavsett om du simulerar ett ransomware-angrepp eller står mitt i ett sådant är den verkliga exponeringen inte bara teknisk, utan systemisk. Det här är de kritiska luckor som de flesta organisationer fortfarande bär på, ofta dolda bakom policyer, checklistor eller administrativt brus.
Denna kompletta vägledning sammanställer de bästa praktiska och tekniska lösningarna från Clarysecs expertverktyg. Vi mappar varje svaghet mot globala ramverk, ISO/IEC 27001:2022, NIS2, GDPR, DORA, NIST, COBIT 2019, och visar steg för steg hur du åtgärdar bristerna – inte bara för efterlevnad, utan för verklig resiliens.
Brist #1: Ofullständig och inaktuell tillgångsförteckning (”kända okända”)
Vad som händer i praktiken
Vid en incident eller simulering är den första frågan: ”Vad har komprometterats?” De flesta team kan inte svara. Servrar, databaser, molnlagringsytor, mikrotjänster och skugg-IT – om något saknas i tillgångsförteckningen kollapsar både riskhantering och respons.
Hur revisorer upptäcker det
Revisorer kräver inte bara en lista över tillgångar, utan underlag som visar dynamiska uppdateringar vid förändringar i verksamheten, utsedda ägare och molnresurser. De granskar införande och avveckling, frågar hur ”tillfälliga” tjänster följs upp och söker efter blinda fläckar.
Clarysecs åtgärd: policy för tillgångshantering Policy för tillgångshantering
”Alla informationstillgångar, inklusive molnresurser, ska ha en utsedd ägare, detaljerad klassificering och regelbunden verifiering.” (Avsnitt 4.2)
Policymappning
- ISO/IEC 27002:2022: kontroller 5.9 (tillgångsförteckning), 5.10 (godtagbar användning)
- NIST CSF: ID.AM (tillgångshantering)
- COBIT 2019: BAI09.01 (tillgångsposter)
- DORA: Article 9 (kartläggning av IKT-tillgångar)
- GDPR: datakartläggning
Zenith Controls Zenith Controls erbjuder dynamiska arbetsflöden för spårning av tillgångar, mappade mot alla större regulatoriska förväntningar.
| Revisorns perspektiv | Krävda underlag | Fallgropar |
|---|---|---|
| ISO/IEC 27001:2022 | Uppdaterad förteckning med ägarskap, granskningsloggar | Listor enbart i kalkylblad |
| NIST | CM-8-artefakter, automatiserad tillgångsskanning | Skugg-IT, konfigurationsdrift i molnmiljö |
| DORA/NIS2 | IKT-kartor, dokumentation av kritiska tillgångar | ”Tillfälliga” tillgångar missas |
Brist #2: Bristande åtkomstkontroller – den olåsta digitala ytterdörren
Grundproblem
- Behörighetsanhopning: Roller ändras, men behörigheter återkallas aldrig.
- Svag autentisering: Lösenordspolicyer tillämpas inte och MFA saknas för privilegierade konton.
- Zombiekonton: Uppdragstagare, tillfälligt anställda och applikationer behåller åtkomst långt efter att den skulle ha tagits bort.
Vad de bästa policyerna gör
Clarysecs åtkomstkontrollpolicy Åtkomstkontrollpolicy
”Åtkomsträttigheter till information och system ska definieras per roll, granskas regelbundet och återkallas skyndsamt vid förändringar. MFA krävs för privilegierad åtkomst.” (Avsnitt 5.1)
Mappning mot kontroller
- ISO/IEC 27002:2022: 5.16 (åtkomsträttigheter), 8.2 (privilegierad åtkomst), 5.18 (åtkomstgranskning), 8.5 (säker autentisering)
- NIST: AC-2 (kontohantering)
- COBIT 2019: DSS05.04 (hantera åtkomsträttigheter)
- DORA: identitets- och åtkomsthantering
Revisionsindikatorer:
Revisorer söker efter uteblivna granskningar, kvarliggande ”tillfällig” administratörsåtkomst, avsaknad av MFA och otydliga poster över avslut.
| Brist | Revisionsunderlag | Vanlig fallgrop | Exempel på åtgärd |
|---|---|---|---|
| Behörighetsanhopning | Kvartalsvisa åtkomstgranskningar | Inaktiva konton | Spårning av privilegierad åtkomst, åtkomstkontrollpolicy |
Brist #3: Ohanterad leverantörs- och tredjepartsrisk
Den moderna incidenten
Leverantörskonton, SaaS-tjänster, leverantörer och uppdragstagare har varit betrodda i åratal men aldrig granskats på nytt. De blir angreppsvektorer och skapar dataflöden som inte går att följa.
Clarysecs policy för leverantörssäkerhet och tredjepartssäkerhet Policy för leverantörssäkerhet och tredjepartssäkerhet
”Alla leverantörer ska riskbedömas, säkerhetsvillkor ska införas i avtal och säkerhetsprestanda ska granskas regelbundet.” (Avsnitt 7.1)
Mappning av efterlevnad
- ISO/IEC 27002:2022: 5.19 (leverantörsrelationer), 5.20 (upphandling)
- ISO/IEC 27036, ISO 22301
- DORA: leverantörer och outsourcing, utökad mappning av underleverantörer
- NIS2: krav på leveranskedjan
Revisionstabell
| Ramverk | Revisorns fokus | Krävda underlag |
|---|---|---|
| ISO/IEC 27001:2022 | leverantörsgranskning, avtal | leverantörsförteckning, SLA-granskningar |
| DORA/NIS2 | säkerhetsklausuler | löpande bedömning av leveranskedjan |
| COBIT/NIST | leverantörsrisklogg | avtal och övervakningsrapporter |
Brist #4: Otillräcklig loggning och säkerhetsövervakning (”tysta larm”)
Verklig påverkan
När team försöker spåra en incident gör avsaknad av loggar eller ostrukturerade data forensisk analys omöjlig, och pågående angrepp förblir oupptäckta.
Clarysecs loggnings- och övervakningspolicy Loggnings- och övervakningspolicy
”Alla säkerhetsrelevanta händelser ska loggas, skyddas, bevaras enligt krav på regelefterlevnad och granskas regelbundet.” (Avsnitt 4.4)
Kontrollmappning
- ISO/IEC 27002:2022: 8.15 (loggning), 8.16 (övervakning)
- NIST: AU-2 (händelseloggning), Detect (DE)-funktionen
- DORA: logglagring, anomalidetektering
- COBIT 2019: DSS05, BAI10
Revisionsunderlag: Revisorer kräver poster över logglagring, underlag för regelbunden granskning och bevis för att loggar inte kan manipuleras.
Brist #5: Fragmenterad och oprövad incidenthantering
Scenario
Vid en incident eller simulering finns incidentplaner på papper, men de är otestade eller omfattar bara IT – inte juridik, risk, kommunikation eller leverantörer.
Clarysecs policy för incidenthantering Policy för incidenthantering
”Incidenter ska hanteras med tvärfunktionella åtgärdsplaner, övas regelbundet och loggas med rotorsak och förbättringar av responsen.” (Avsnitt 8.3)
Mappning
- ISO/IEC 27002:2022: 6.4 (incidenthantering), incidentloggar
- ISO/IEC 27035, ISO/IEC 22301 (BCM), DORA (incidentrapportering), GDPR (incidentanmälan, Article 33)
Viktiga revisionspunkter
| Fokus | Krävda underlag | Fallgropar |
|---|---|---|
| Plan finns och har testats | Övningsloggar, loggar | Inga scenarioövningar |
| Intressentroller | Tydligt eskaleringsschema | ”Ägs” enbart av IT |
Brist #6: Föråldrat dataskydd, svag kryptering, säkerhetskopiering och klassificering
Verklig påverkan
Organisationer använder fortfarande föråldrad kryptering, svaga säkerhetskopieringsprocesser och ojämn dataklassificering. När en incident inträffar förvärras skadan av att känsliga data inte kan identifieras och skyddas.
Clarysecs dataskyddspolicy Dataskyddspolicy
”Känsliga data ska skyddas med riskanpassade kontroller, stark kryptering, aktuella säkerhetskopior och regelbunden granskning mot regulatoriska krav.” (Avsnitt 3.2)
Policymappning
- ISO/IEC 27002:2022: 8.24 (kryptering), 8.25 (datamaskering), 5.12 (klassificering)
- GDPR: Article 32
- NIST: SC-13, Privacy Framework
- COBIT: DSS05.08
- ISO/IEC 27701 och 27018 (integritetsskydd, specifikt för moln)
Exempel på klassificeringsschema
Publik, Internt bruk, Konfidentiell, Begränsad
Brist #7: Verksamhetskontinuitet som pappersövning
Vad som brister i praktiken
BCP:er finns, men de är inte kopplade till verkliga affärskonsekvensscenarier, de övas inte och de kopplas aldrig till leverantörsberoenden. När ett större avbrott inträffar uppstår förvirring.
Clarysecs policy för verksamhetskontinuitet Policy för verksamhetskontinuitet
”BC-processer ska övas, mappas mot konsekvensanalyser och integreras med leverantörsplaner för operativ resiliens.” (Avsnitt 2.1)
Kontrollmappning
- ISO/IEC 27002:2022: 5.29 (verksamhetskontinuitet)
- ISO 22301, NIS2, DORA (operativ resiliens)
Revisionsfrågor:
Underlag för nyligen genomfört BCP-test, dokumenterade konsekvensanalyser och granskningar av leverantörsrisker.
Brist #8: Svag säkerhetsmedvetenhet och bristande utbildning
Vanliga fallgropar
Säkerhetsutbildning ses som en kryssruta, inte som något målgruppsanpassat och löpande. Mänskliga fel är fortsatt den främsta orsaken till incidenter.
Clarysecs policy för säkerhetsmedvetenhet Policy för säkerhetsmedvetenhet
”Regelbunden, rollbaserad säkerhetsutbildning, phishing-simuleringar och mätning av programmets effektivitet är obligatoriskt.” (Avsnitt 5.6)
Mappning
- ISO/IEC 27002:2022: 6.3 (medvetenhet, utbildning, träning)
- GDPR: Article 32
- NIST, COBIT: medvetenhetsmoduler, BAI08.03
Revisionsperspektiv:
Bevis på utbildningsscheman, underlag för riktade repetitionsutbildningar och testning.
Brist #9: Luckor och felkonfigurationer i molnsäkerhet
Moderna risker
Molninförande går snabbare än kontroller för tillgångar, åtkomst och leverantörer. Felkonfigurationer, bristande tillgångskartläggning och avsaknad av övervakning möjliggör kostsamma incidenter.
Clarysecs policy för molnsäkerhet Policy för molnsäkerhet
”Molnresurser ska riskbedömas, ha tillgångsägare, omfattas av åtkomstkontroll och övervakas enligt krav på regelefterlevnad.” (Avsnitt 4.7)
Mappning
- ISO/IEC 27002:2022: 8.13 (molntjänster), 5.9 (tillgångsförteckning)
- ISO/IEC 27017/27018 (molnsäkerhet/integritetsskydd)
- DORA: krav på outsourcing och molntjänster
Revisionstabell:
Revisorer granskar införande av molntjänster, leverantörsrisker, åtkomstbehörigheter och övervakning.
Brist #10: Omogen ändringshantering (”Ready, Fire, Aim”-driftsättningar)
Vad som går fel
Servrar förs hastigt till produktion utan säkerhetsgranskning. Standarduppgifter, öppna portar och saknade baslinjer blir kvar. Ändringsärenden saknar riskbedömning eller rollback-planer.
Clarysecs vägledning för ändringshantering:
- Kontroll 8.32 (ändringshantering)
- Säkerhetsgranskning krävs för varje större ändring
- Återgångs-/testplaner och godkännande från intressenter
Mappning
- ISO/IEC 27002:2022: 8.9, 8.32
- NIST, COBIT: CAB och ändringsposter, BAI06
- DORA: större IKT-ändringar mappade mot risk och resiliens
Revisionsunderlag:
Exempel på ändringsärenden, formellt säkerhetsgodkännande och testloggar.
Hur Clarysecs verktygslåda påskyndar åtgärder: från identifierad brist till godkänd revision
Verklig resiliens börjar med ett systematiskt arbetssätt som revisorer föredrar och tillsynsmyndigheter kräver.
Praktiskt exempel: säkra en ny leverantör för molnbaserad fakturering
- Identifiering av tillgångar: Använd Clarysecs mappningsverktyg för att tilldela ägarskap och klassificera ”konfidentiella” data enligt policyn för tillgångshantering.
- Leverantörsriskbedömning: Poängsätt leverantören med Zenith Controls riskmall och anpassa mot policyer för verksamhetskontinuitet och dataskydd.
- Åtkomsttilldelning: Bevilja åtkomst enligt principen om minsta privilegium med formella godkännanden och schemalägg kvartalsvisa granskningar.
- Avtalskontroller: Inför säkerhetsvillkor som hänvisar till ISO/IEC 27001:2022 och NIS2, enligt rekommendationerna i Zenith Controls.
- Loggning och övervakning: Aktivera logglagring och veckovis granskning, dokumenterat enligt loggnings- och övervakningspolicyn.
- Integrering med incidenthantering: Utbilda leverantören i scenariobaserade åtgärdsplaner för incidenter.
Varje steg ger åtgärdsunderlag som är mappat mot relevanta ramverk, vilket gör revisioner tydliga och uppfyller varje granskningsperspektiv: tekniskt, operativt och regulatoriskt.
Mappning mellan ramverk: varför heltäckande policyer och kontroller är avgörande
Revisorer granskar inte ISO eller DORA isolerat. De vill se underlag som fungerar över flera ramverk:
- ISO/IEC 27001:2022: Riskkoppling, tillgångsägarskap, uppdaterade poster.
- NIS2/DORA: Resiliens i leveranskedjan, incidentrespons, verksamhetskontinuitet.
- GDPR: Dataskydd, integritetsmappning, incidentanmälan.
- NIST/COBIT: Policyanpassning, processdisciplin, ändringshantering.
Zenith Controls fungerar som en kontrollmappning som kopplar varje kontroll till motsvarande krav och revisionsunderlag i alla större regelverk Zenith Controls.
Från brister till förstärkning: strukturerat åtgärdsflöde
En framgångsrik säkerhetstransformation bygger på ett stegvis och underlagsdrivet arbetssätt:
| Fas | Åtgärd | Producerat underlag |
|---|---|---|
| Upptäckt | Riktad risk- och tillgångsbedömning | Förteckning, riskloggar |
| Policygrund | Inför mappade policyer från Clarysec | Signerade och införda policydokument |
| Åtgärda och testa | Mappa luckor mot kontroller, genomför scenarioövningar | Testloggar, underlag för revisionsberedskap |
| Tvärgående efterlevnadsgranskning | Använd Zenith Controls för mappning | Enhetlig kontrollmatris och poster |
Zenith Blueprint: revisorns färdplan i 30 steg Zenith Blueprint beskriver varje steg och producerar de loggar, poster, underlag och rolltilldelningar som revisorer förväntar sig.
Vanliga brister, fallgropar och Clarysec-lösningar – snabb översikt
| Brist | Vanlig fallgrop | Clarysec-lösning/policy | Revisionsunderlag |
|---|---|---|---|
| Ofullständiga tillgångar | Skugg-IT, statisk lista | Policy för tillgångshantering | Dynamisk förteckning, ägarskap |
| Svaga åtkomstkontroller | Inaktiva ”admin”-konton | Åtkomstkontrollpolicy | Granskningsloggar, införande av MFA |
| Leverantörsrisk | Luckor i avtal | Leverantörspolicy + Zenith Controls | Leverantörsförteckning, revisionsloggar |
| Svag incidentplan | Osamordnad respons | Policy för incidenthantering | Åtgärdsplan, loggade övningar |
| Ingen loggning/övervakning | Oupptäckta angrepp | Loggnings- och övervakningspolicy | Logglagring, granskningar |
| Svag kryptering/datahantering | Föråldrade kontroller | Dataskyddspolicy | Krypteringsrapporter, säkerhetskopior |
| BCP endast på papper | Otestade planer | Policy för verksamhetskontinuitet | Test- och övningsposter |
| Generisk utbildning | Mänskliga fel kvarstår | Policy för säkerhetsmedvetenhet | Utbildningsloggar, phishingtester |
| Felkonfiguration i moln | Behörighetsdrift | Policy för molnsäkerhet | Molnriskloggar, konfigurationsgranskning |
| Svag ändringshantering | Serverfelkonfiguration, ingen rollback | Vägledning för ändringshantering | Ändringsärenden, godkännanden |
Clarysecs strategiska fördel: varför Zenith Controls och policyer klarar revisioner
- Tvärgående efterlevnad genom design: Kontroller och policyer är mappade mot ISO, NIS2, DORA, GDPR, NIST och COBIT – inga överraskningar för revisorer.
- Modulära policyer för både större organisationer och SME: Snabb driftsättning, verklig verksamhetsanpassning och beprövade revisionsposter.
- Inbyggda underlagspaket: Varje kontroll genererar loggar, signaturer och testunderlag som kan granskas för varje regelverk.
- Proaktiv revisionsförberedelse: Klara revisioner för alla ramverk och undvik kostsamma luckor och åtgärdscykler.
Nästa steg: bygg verklig resiliens, inte bara godkända revisioner
Vänta inte på en katastrof eller ett krav från tillsynsmyndigheten. Ta kontroll över säkerhetens grunder redan i dag.
Kom igång:
- Ladda ned Zenith Controls: guiden för tvärgående efterlevnad Zenith Controls
- Använd Zenith Blueprint: revisorns färdplan i 30 steg Zenith Blueprint
- Begär en Clarysec-bedömning för att kartlägga dina 10 brister och ta fram en anpassad förbättringsplan.
Din svagaste kontroll är din största risk. Låt oss åtgärda, granska och säkra den tillsammans.
Relaterad läsning:
- Så utformar du ett revisionsklart ISMS i 30 steg
- Policymappning för tvärgående efterlevnad: varför tillsynsmyndigheter uppskattar Zenith Controls
Redo att stärka din organisation och klara varje revision?
Kontakta Clarysec för en strategisk ISMS-bedömning, en demo av våra verktygslådor eller anpassning av dina organisationspolicyer – innan nästa incident eller revisionsspurt.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
