IT-sikkerhed er ikke noget, du fikser én gang og glemmer. Trusselsbilledet ændrer sig, din virksomhed ændrer sig, og medarbejdere kommer og går. Sikkerhed kræver regelmæssig vedligeholdelse — ligesom en bil eller en bygning. Det gode er, at det ikke behøver at tage meget tid, hvis du fordeler det fornuftigt over året.

Her er et konkret årshjul, du kan bruge som udgangspunkt.

Q1 — januar, februar, marts: Adgang og backup

Gennemgå adgangsrettigheder

Start det nye år med at rydde op i hvem der har adgang til hvad. Spørg jer selv:

  • Har tidligere medarbejdere stadig aktive konti? (Deaktivér dem.)
  • Har nogen rettigheder de ikke længere behøver? (Fjern dem.)
  • Er der konti med administratorrettigheder, der burde være normale brugerkonti?

Test jeres backup

En backup, du ikke har testet, er ikke en backup — det er en håbsøvelse. Gennemfør en reel gendannelsestest: vælg et tilfældigt sæt filer, og gendan dem fra backup til et testmiljø. Virker det? Notér hvad du lærte og ret eventuelle problemer.

Sæt det i kalenderen nu. Disse opgaver sker ikke af sig selv. Book et tilbagevendende møde med din IT-partner i starten af hvert kvartal — 1–2 timer er typisk nok til at gennemgå kvartalsopgaverne.

Q2 — april, maj, juni: Politik og menneskelige faktorer

Gennemgå og opdatér IT-sikkerhedspolitikken

Er jeres sikkerhedspolitik opdateret til at afspejle virkeligheden? Har I fået nye systemer, nye arbejdsformer eller ny lovgivning at forholde jer til? Gennemgå politikken og opdatér den efter behov. Send en påminding til medarbejderne om de vigtigste regler.

Kør en phishing-simulering

Det er et halvt år siden sidst. Klik-raten er måske steget igen — det er naturligt. Kør en ny simulering, mål resultatet, og kør et kort opfriskningsmodul for dem, der klikker.

Q3 — juli, august, september: Teknisk gennemgang

Patch-audit

Kig på alle jeres systemer: er Windows opdateret? Firmware på routere, switches og printere? Tredjepartssoftware som Adobe, Java, browsere? Kortlæg huller og luk dem systematisk. Er der systemer, der ikke længere modtager opdateringer? Det er tid til at skifte dem ud.

Gennemgå leverandørers sikkerhed

NIS2 og god praksis kræver, at I forholder jer til jeres leverandørers sikkerhedsniveau. Gennemgå jeres kritiske leverandører: har de en sikkerhedspolitik? Bruger de MFA? Har de haft hændelser? Jeres risiko er ikke kun jeres egne systemer — det er også dem, I er forbundet med.

Q4 — oktober, november, december: Årsopgørelse og budget

Fuld risikovurdering

En gang om året bør I lave en struktureret gennemgang af jeres risikobillede. Hvad er jeres vigtigste aktiver? Hvad er de mest sandsynlige trusler mod dem? Hvad er konsekvenserne? Hvad er I allerede beskyttet mod — og hvad mangler? Dette er grundlaget for næste års prioriteringer.

Planlæg næste års IT-sikkerhedsbudget

Brug risikovurderingen til at prioritere investeringer. Hvad skal fornyes? Hvad skal opgraderes? Er der nye trusler eller lovkrav, der kræver handling? Læg en konkret plan med budget og ansvarlige — ikke vage intentioner.

Dette årshjul er et udgangspunkt, ikke en facitliste. Tilpas det til jeres virksomheds størrelse, branche og risikoniveau. Det vigtigste er ikke at gøre det perfekt — det er at gøre det regelmæssigt.