Det kan börja med tre frågor:

1. Vem ansvarar?
2. Vilka risker är viktigast?
3. Vad gör vi först?

Det låter nästan för enkelt. Men för många organisationer är det precis där arbetet behöver börja.

Börja med ansvar

Om ingen äger frågan blir cybersäkerhet lätt något som “IT håller på med”.

Men cybersäkerhet är inte bara teknik.

Det handlar också om verksamhet, leverantörer, information, arbetssätt och beslut.

Börja därför med att skriva ner:

• vem som ansvarar för cybersäkerhetsarbetet
• vem som ansvarar för viktiga system
• vem som kan fatta beslut om åtgärder
• vem som ska informeras vid incidenter

Det behöver inte vara perfekt. Det behöver vara tydligt nog för att ni ska kunna agera.

Välj några viktiga risker

Försök inte kartlägga allt första veckan.

Börja med fem till tio risker som faktiskt kan störa verksamheten.

Exempel:

• backup fungerar inte när den behövs
• för många har för höga behörigheter
• en viktig leverantör saknar tydligt ansvar
• ingen vet vad som ska göras vid en incident
• gamla system är svåra att uppdatera

Skriv riskerna enkelt. Använd vanligt språk.

Gör en första åtgärdslista

En enkel åtgärdslista är ofta mer användbar än en tjock policy.

Skriv ner:

• vad som ska göras
• varför det behövs
• vem som ansvarar
• när det ska vara klart
• status

Det kan ligga i Excel, Markdown eller ett enkelt dokument.

Det viktiga är att ni följer upp den.

Dokumentera lagom mycket

Dokumentation ska hjälpa arbetet, inte bli arbetet.

Första versionen kan vara ful, kort och ofullständig.

Det gör inget.

Det viktiga är att den finns, används och förbättras.

En rimlig första vecka

Första veckan kan målet vara:

• en ansvarsfördelning
• en lista över viktiga system
• en första risklista
• en första åtgärdslista
• ett bokat uppföljningsmöte

Det är inte ett färdigt ledningssystem.

Men det är en början.

Och en början är mycket bättre än ett stort program som aldrig kommer igång.