⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
SV EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL
Compliance ISO 27001 NIS2 DORA

Så bygger du ett program för resiliens mot phishing som faktiskt fungerar

Igor Petreski
14 min read
#ISO 27001:2022 #Riskhantering #Incidenthantering #Dataskydd #Regelefterlevnad

Dina tekniska kontroller är starka, men dina medarbetare är fortfarande det primära målet för phishing-attacker. Den här vägledningen ger en strukturerad, ISO 27001-anpassad väg för att bygga ett program för resiliens mot phishing som gör teamet till er starkaste försvarslinje i stället för en sårbarhet, minskar mänskliga fel och uppfyller regulatoriska krav från ramverk som NIS2 och DORA.

Vad står på spel

Tekniska skydd som e-postfilter och slutpunktsskydd är nödvändiga, men de är inte ofelbara. Angripare vet att den enklaste vägen in i ett säkert nätverk ofta går via en människa. Ett enda klick på en skadlig länk kan kringgå säkerhetsteknik värd miljontals kronor. Användarkonton är de mest utsatta ingångspunkterna för cyberattacker, och en framgångsrik phishing-kampanj kan leda till stöld av autentiseringsuppgifter, infektion med skadlig kod och obehörig åtkomst. Konsekvenserna är inte bara tekniska; de är direkt verksamhetskritiska. Ett komprometterat konto kan leda till bedrägliga banköverföringar, exponering av känsliga kunddata och betydande driftstopp medan system saneras och återställs.

Det regulatoriska landskapet är också krävande. Ramverk som GDPR, NIS2 och DORA kräver uttryckligen att organisationer inför säkerhetsåtgärder som omfattar löpande personalutbildning och medvetenhet. Article 21 i NIS2-direktivet kräver till exempel att väsentliga och viktiga enheter tillhandahåller cybersäkerhetsutbildning och främjar grundläggande cyberhygien. På motsvarande sätt kräver DORA:s Article 13 att finansiella enheter etablerar heltäckande utbildningsprogram. Oförmåga att visa upp ett robust medvetenhetsprogram kan leda till allvarliga sanktioner, anseendeskada och förlorat kundförtroende. Risken är inte abstrakt; den är ett direkt hot mot finansiell stabilitet och rättslig ställning. Mänskliga fel är en central riskkälla, och tillsynsmyndigheter förväntar sig att den hanteras med samma allvar som tekniska sårbarheter.

Ta ett medelstort logistikföretag som exempel. En medarbetare på ekonomiavdelningen får ett trovärdigt e-postmeddelande som verkar komma från en känd leverantör och som begär en brådskande betalning till ett nytt bankkonto. E-postsignaturen ser korrekt ut och tonen känns bekant. Under press att snabbt behandla fakturor genomför medarbetaren överföringen utan muntlig verifiering. Några dagar senare ringer den verkliga leverantören om den förfallna betalningen. Företaget har förlorat 50 000 GBP, och den efterföljande utredningen orsakar betydande störningar. Den här incidenten hade kunnat förebyggas helt med ett starkt program för resiliens mot phishing som utbildar personalen i att identifiera varningssignaler och verifiera ovanliga begäranden via en separat kommunikationskanal.

Hur ett bra läge ser ut

Ett framgångsrikt program för resiliens mot phishing förflyttar organisationen från ett reaktivt till ett proaktivt läge. Det skapar en säkerhetsmedveten kultur där medarbetare inte bara är passiva mottagare av utbildning, utan aktiva deltagare i organisationens försvar. Detta läge kännetecknas av mätbara beteendeförbättringar och en konkret minskning av människorelaterad risk. Det adresserar direkt kraven i ISO/IEC 27001:2022, särskilt klausul 7.3 om medvetenhet och bilaga A, kontroll A.6.3 om medvetenhet, utbildning och träning inom informationssäkerhet. Ett bra läge innebär en personalstyrka som förstår sitt säkerhetsansvar och har kompetensen att fullgöra det.

I detta målläge kan medarbetare tryggt identifiera och rapportera misstänkta e-postmeddelanden, i stället för att ignorera dem eller, ännu värre, klicka på dem. Rapporteringsprocessen är enkel, välkänd och integrerad i det dagliga arbetsflödet. När en simulerad phishing-kampanj genomförs är klickfrekvensen låg och minskar kontinuerligt, medan rapporteringsgraden är hög och ökar. Dessa data ger tydligt underlag till revisorer, ledning och tillsynsmyndigheter om att programmet är effektivt. Än viktigare är att det visar att medarbetarna har blivit en mänsklig brandvägg som kan upptäcka hot som automatiserade system kan missa. Denna vaksamhetskultur är en central del av cyberhygien, en princip som är grundläggande i moderna regelverk som NIS2.

Föreställ dig ett litet eller medelstort mjukvaruutvecklingsföretag där en utvecklare får ett avancerat spear phishing-meddelande. E-postmeddelandet verkar komma från en projektledare och innehåller en länk till ett dokument som beskrivs som “brådskande ändringar i projektspecifikationen”. Utvecklaren, som har utbildats i att vara skeptisk mot oväntade brådskande begäranden, upptäcker att avsändarens e-postadress är subtilt felaktig. I stället för att klicka använder utvecklaren den särskilda knappen “rapportera phishing” i e-postklienten. Säkerhetsteamet larmas omedelbart, analyserar hotet och blockerar den skadliga domänen i hela organisationen, vilket förhindrar en potentiell incident. Det är så ett bra läge ser ut: en utbildad och medveten medarbetare som fungerar som en kritisk sensor i säkerhetsorganisationen.

Praktisk väg framåt

Att bygga ett hållbart program för resiliens mot phishing är en systematisk process, inte en engångsinsats. Det kräver ett strukturerat arbetssätt som kombinerar bedömning, utbildning och kontinuerlig förstärkning. Genom att dela upp införandet i hanterbara faser kan du skapa momentum och snabbt visa värde. Den här vägen säkerställer att programmet inte bara blir en avprickningsövning för regelefterlevnad, utan en verklig förstärkning av organisationens säkerhetsläge. Vår införandeguide, Zenith Blueprint, ger det övergripande ramverket för att integrera den här typen av medvetenhetsinitiativ i ert ledningssystem för informationssäkerhet.1

Fas 1: Grund och baslinjebedömning

Innan du kan bygga resiliens behöver du förstå utgångsläget. Den första fasen handlar om att etablera en baslinje för teamets nuvarande medvetenhet och identifiera de specifika kompetenser som krävs för olika roller. Det innebär mer än att anta att alla behöver samma generiska utbildning. Ekonomiteamet möter andra hot än mjukvaruutvecklarna. En noggrann bedömning hjälper dig att anpassa programmet för maximal effekt och säkerställa att innehållet är relevant och engagerande för målgruppen. Detta ligger i linje med ISO 27001 klausul 7.2, som kräver att organisationer säkerställer att personer är kompetenta utifrån lämplig utbildning och träning.

  • Identifiera nödvändiga kompetenser: Kartlägg den specifika säkerhetskunskap som behövs för olika roller. HR-personal behöver till exempel förstå hur personuppgifter hanteras säkert, medan IT-administratörer behöver djup kunskap om säker konfiguration.
  • Bedöm aktuell medvetenhet: Genomför en inledande, oanmäld phishing-simulering för att fastställa en baslinje för klickfrekvensen. Det ger ett konkret mätetal att jämföra framtida förbättringar mot.
  • Definiera programmets mål: Sätt tydliga och mätbara mål. Till exempel: “Minska klickfrekvensen i phishing-simuleringar med 50 % inom sex månader” eller “Öka rapporteringsgraden för phishing till 75 % inom ett år.”
  • Välj verktyg: Välj en plattform för att leverera utbildning och genomföra simuleringar. Säkerställ att den kan tillhandahålla detaljerad analys av användarprestation och rapportering.

Fas 2: Innehållsutveckling och inledande utbildning

Med en tydlig baslinje och definierade mål är nästa steg att utveckla och leverera det centrala utbildningsinnehållet. Det är här du börjar stänga de kunskapsluckor som identifierades i fas 1. Nyckeln är att göra utbildningen praktisk, relevant och kontinuerlig. En enda årlig utbildningssession räcker inte. Effektiva program integrerar säkerhetsmedvetenhet i hela medarbetarens livscykel, från första dagen. Målet är att ge varje individ förmågan att identifiera och undvika vanliga hot som phishing och skadlig kod.

  • Utveckla rollbaserade utbildningsmoduler: Skapa specifikt innehåll för högriskavdelningar. Ekonomiteam bör få utbildning om kapning av affärs-e-post och fakturabedrägerier, medan utvecklare får utbildning i säker kodningspraxis.
  • Lansera grundläggande utbildning: Inför en obligatorisk modul för säkerhetsmedvetenhet för alla medarbetare. Den ska täcka grunderna i phishing, lösenordshygien, social manipulation och hur en säkerhetsincident ska rapporteras.
  • Integrera i introduktionen: Säkerställ att alla nyanställda genomför säkerhetsmedvetenhetsutbildning som en del av introduktionsprocessen. Det sätter tydliga förväntningar från första dagen. Använd tillfället för att låta dem bekräfta viktiga policyer.

Fas 3: Simulering, rapportering och återkoppling

Utbildning i sig räcker inte; beteenden måste testas och förstärkas. Denna fas fokuserar på att genomföra regelbundna, kontrollerade phishing-simuleringar som ger medarbetarna en säker miljö där de kan öva sina färdigheter. Lika viktigt är att etablera en friktionsfri process för att rapportera misstänkta meddelanden. När en medarbetare rapporterar ett potentiellt hot bidrar personen med värdefull hotinformation i realtid. Hur organisationen hanterar dessa rapporter är avgörande för att bygga förtroende och uppmuntra framtida rapportering. En tydlig och praktisk incidenthanteringsplan är nödvändig här.

  • Planera regelbundna phishing-simuleringar: Gå från baslinjetestet till en regelbunden takt för simuleringar, exempelvis månadsvis eller kvartalsvis. Variera mallarnas svårighetsgrad och teman för att hålla medarbetarna vaksamma.
  • Etablera en enkel rapporteringsmekanism: Inför en knapp för “rapportera phishing” i e-postklienten. Det gör det enkelt för användare att rapportera misstänkta e-postmeddelanden med ett enda klick och tar bort osäkerhet om vad de ska göra.
  • Ge omedelbar återkoppling: När en användare klickar på en simuleringslänk ska omedelbar återkoppling ges utan skuldbeläggning, med en förklaring av vilka varningssignaler användaren missade. Om en användare rapporterar en simulering ska ett automatiserat “tack” skickas för att förstärka det positiva beteendet.
  • Analysera och dela resultat: Följ upp mätetal som klickfrekvenser, rapporteringsgrad och tid till rapportering. Dela anonymiserade resultat på övergripande nivå med ledningen och det bredare teamet för att visa framsteg och upprätthålla engagemang.

Policyer som gör arbetet bestående

Ett framgångsrikt program för resiliens mot phishing kan inte existera i ett vakuum. Det måste stödjas av ett tydligt och bindande policyramverk som formaliserar förväntningar, definierar ansvar och integrerar säkerhetsmedvetenhet i organisationens arbetssätt. Policyer översätter strategiska mål till operativa regler som vägleder medarbetares beteende och skapar grund för ansvarstagande. Utan denna dokumenterade grund kan utbildningsinsatser uppfattas som frivilliga och effekten avta över tid. Det centrala dokumentet för detta är policy för medvetenhet och utbildning inom informationssäkerhet.2 Policyn fastställer mandatet för hela programmet, från introduktion till löpande utbildning.

Denna kärnpolicy ska inte stå ensam. Den måste kopplas till andra kritiska styrdokument för att skapa en sammanhållen informationssäkerhetskultur. Till exempel anger policy för godtagbar användning3 grundreglerna för hur medarbetare använder organisationens teknik, vilket gör den till en naturlig plats att hänvisa till deras ansvar att vara vaksamma mot phishing. När en säkerhetshändelse inträffar måste policy för incidenthantering4 tydligt definiera vilka steg en medarbetare ska ta för att rapportera den, så att den hotinformation som samlas in från ett rapporterat phishing-försök hanteras snabbt och effektivt. Tillsammans skapar dessa policyer ett system av samverkande kontroller som förstärker säkra beteenden.

Under en kvartalsvis ledningsgenomgång av ledningssystemet för informationssäkerhet presenterar informationssäkerhetschefen till exempel de senaste resultaten från phishing-simuleringarna. De visar en liten ökning av klick på mallar för fakturabedrägeri. Teamet beslutar att uppdatera policy för medvetenhet och utbildning inom informationssäkerhet för att kräva specifik, riktad utbildning för ekonomiavdelningen före nästa kvartal. Beslutet dokumenteras och den uppdaterade policyn kommuniceras till all berörd personal, vilket säkerställer att programmet anpassas till framväxande risker på ett strukturerat och verifierbart sätt.

Checklistor

För att säkerställa att programmet är heltäckande och effektivt är det lämpligt att dela upp arbetet i tydliga steg: bygga grunden, driva programmet i vardagen och verifiera dess effekt. Dessa checklistor ger praktisk vägledning för varje steg och hjälper dig att hålla rätt riktning och uppfylla revisorers och tillsynsmyndigheters förväntningar. Ett väldokumenterat program är betydligt lättare att försvara vid revision.

Bygga: Bygga ett program för resiliens mot phishing

En stark grund är avgörande för långsiktig framgång. Den inledande fasen omfattar strategisk planering, säkring av resurser och utformning av programmets centrala delar. Om detta steg hastas igenom leder det ofta till generisk och ineffektiv utbildning som varken engagerar medarbetare eller adresserar organisationens specifika riskprofil. Att lägga tid på att bygga rätt från början ger utdelning i form av förbättrat säkerhetsläge och en mer resilient personalstyrka.

  • Definiera tydliga mål och nyckeltal (KPI:er) för programmet.
  • Säkerställ ledningens stöd och en tillräcklig budget för verktyg och resurser.
  • Genomför en baslinjesimulering av phishing för att mäta den initiala sårbarheten.
  • Identifiera högriskanvändargrupper och de specifika hot de möter.
  • Utveckla eller anskaffa grundläggande och rollspecifikt utbildningsinnehåll.
  • Integrera säkerhetsmedvetenhetsutbildning i introduktionsprocessen för nyanställda.
  • Etablera en enkel rapporteringsprocess med ett klick för misstänkta e-postmeddelanden.

Driva: Upprätthålla programmets momentum

När programmet väl har lanserats kräver det kontinuerligt arbete för att förbli effektivt. Den operativa fasen handlar om att upprätthålla en regelbunden takt av aktiviteter som håller säkerhet högt på agendan för alla medarbetare. Den omfattar simuleringar, kommunikation av resultat och anpassning av programmet baserat på prestationsdata och ett föränderligt hotlandskap. Det är här ett engångsprojekt blir en hållbar verksamhetsprocess.

  • Planera och genomför regelbundna phishing-simuleringar med varierade mallar och svårighetsgrader.
  • Ge omedelbar, utbildande återkoppling till användare som klickar på simuleringslänkar.
  • Bekräfta och tacka användare som korrekt rapporterar simulerade och verkliga phishing-meddelanden.
  • Publicera regelbundna, anonymiserade rapporter om programmets resultat till intressenter.
  • Leverera löpande medvetenhetsinnehåll genom nyhetsbrev, tips eller intern kommunikation.
  • Uppdatera utbildningsmoduler årligen eller när betydande nya hot uppstår.

Verifiera: Revidera programmets effektivitet

Verifiering handlar om att visa att programmet fungerar. Det innebär att samla in och presentera underlag för revisorer, tillsynsmyndigheter och högsta ledningen. Ett effektivt program är datadrivet, och du ska kunna visa en tydlig avkastning på investeringen genom minskad risk. Revisorer kommer att efterfråga objektiva bevis, inte bara påståenden. Genom att använda ett strukturerat bibliotek med kontrollmål som Zenith Controls kan du säkerställa att underlaget ligger i linje med standarder som ISO 27001.5

  • Bevara detaljerade uppgifter om alla utbildningsaktiviteter, inklusive scheman och närvarologgar.
  • Spara kopior av allt utbildningsmaterial och alla mallar för phishing-simuleringar som har använts.
  • Följ upp och dokumentera klickfrekvenser och rapporteringsgrader för phishing-simuleringar över tid.
  • Samla in underlag från efterincidentgranskningar där phishing var rotorsaken.
  • Genomför periodiska bedömningar, exempelvis intervjuer eller kunskapstester, för att mäta bibehållen kunskap.
  • Var beredd att visa revisorer hur programmet mätbart har minskat människorelaterad risk.

Vanliga fallgropar

Även med goda avsikter kan program för resiliens mot phishing misslyckas med att ge resultat. Att undvika dessa vanliga misstag är lika viktigt som att följa bästa praxis. Genom att känna till fallgroparna kan du utforma ett program som är engagerande, effektivt och hållbart.

  • Att behandla utbildning som en engångsinsats. Säkerhetsmedvetenhet är inte en uppgift som görs en gång och sedan är klar. Den kräver kontinuerlig förstärkning. En årlig utbildningssession glöms snabbt bort och gör lite för att bygga en varaktig informationssäkerhetskultur.
  • Att skapa en skuldbeläggande kultur. Att bestraffa användare som misslyckas i phishing-simuleringar är kontraproduktivt. Det hämmar rapportering och skapar rädsla, vilket gör att säkerhetsproblem hamnar under ytan. Målet är utbildning, inte disciplinära åtgärder.
  • Att använda orealistiska eller generiska simuleringar. Om phishing-mallarna uppenbart är falska eller irrelevanta för verksamhetens kontext lär sig medarbetarna snabbt att känna igen simuleringarna, men inte verkliga angrepp.
  • Att ignorera högsta ledningen. Angripare riktar ofta mycket personanpassade spear phishing-attacker mot seniora ledare. Ledande befattningshavare och deras assistenter måste omfattas av utbildning och simuleringar.
  • Att göra rapportering svår. Om en medarbetare måste leta efter instruktioner för hur ett misstänkt e-postmeddelande ska rapporteras är sannolikheten lägre att rapporteringen sker. En enkel rapporteringsknapp med ett klick måste finnas.
  • Att inte agera på rapporterade incidenter. När användare rapporterar verkliga phishing-meddelanden bidrar de med kritisk hotinformation. Om säkerhetsteamet inte bekräftar eller agerar på rapporterna kommer användarna att sluta bry sig.

Nästa steg

Att bygga en resilient mänsklig brandvägg är en nödvändig del av varje modern säkerhetsstrategi. Genom att införa ett strukturerat och kontinuerligt medvetenhetsprogram mot phishing kan du avsevärt minska risken för en incident och visa efterlevnad av centrala regelverk.

Referenser

  1. Clarysec. (2025). Zenith ISMS Implementation Blueprint↩︎

  2. Clarysec. (2025). P8S Information Security Awareness and Training Policy↩︎

  3. Clarysec. (2025). P3S Acceptable Use Policy↩︎

  4. Clarysec. (2025). P30S Incident Response Policy↩︎

  5. Clarysec. (2025). Zenith Controls Library for ISO 27001:2022↩︎

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles