Hvordan vet du om bedriften din er trygg? Hvordan måler du om sikkerhetsopplæringen faktisk fungerer? Og hvordan vet ledelsen hvor de bør sette inn ressurser?

Dette er spørsmål mange bedrifter sliter med å svare på. Men med risikorapportering og sikkerhetsscore får du konkrete tall og innsikt.

Hva er en sikkerhetsscore?

En sikkerhetsscore er en samlet vurdering av bedriftens sikkerhetsnivå basert på ansattes atferd og bevissthet rundt IT-sikkerhet.

Scoren vises som et tall (ofte fra 0 til 100) eller en karakter (A til F), og gir et øyeblikksbilde av hvor godt bedriften er rustet mot angrep som kommer via menneskelige feil.

Hvorfor måle menneskelig risiko?

De fleste IT-sikkerhetsangrep starter ikke med å hacke servere eller bryte seg gjennom brannmurer. De starter med:

  • En ansatt som klikker på en farlig lenke
  • Noen som bruker et svakt passord
  • En person som blir lurt til å gi fra seg informasjon

Derfor er det avgjørende å måle og forstå den menneskelige faktoren i sikkerhet.

Hva måles i en sikkerhetsscore?

En sikkerhetsscore baseres vanligvis på flere faktorer:

Gjennomføring av opplæring

  • Hvor mange ansatte har fullført sikkerhetsopplæring?
  • Hvor raskt gjennomfører de kursene?
  • Hvor godt presterer de i quizer og tester?

Resultater fra phishing-tester

  • Hvor mange ansatte klikker på simulerte phishing-e-poster?
  • Hvor mange rapporterer mistenkelige e-poster?
  • Hvor mange oppgir passord eller sensitiv informasjon i testene?

Datalekkasjer

  • Er noen av bedriftens e-postadresser funnet i kjente datalekkasjer?
  • Bruker ansatte kompromitterte passord?

Sikkerhetsatferd

  • Bruker ansatte tofaktorautentisering (MFA)?
  • Rapporterer de mistenkelige hendelser?
  • Følger de sikkerhetspolicyer og rutiner?

Forbedring over tid

  • Blir ansatte bedre til å gjenkjenne trusler?
  • Reduseres antall klikk på phishing-tester?
  • Øker rapporteringsraten?

Alle disse dataene kombineres til én score som viser hvor godt bedriften ligger an.

Hvordan beregnes scoren?

Scoren kan beregnes på forskjellige måter, men et typisk oppsett kan se slik ut:

  • 40 % phishing-tester: Hvor mange klikker, hvor mange rapporterer
  • 30 % opplæring: Fullføringsgrad og prestasjoner
  • 20 % datalekkasjer: Eksponerte passord og e-postadresser
  • 10 % atferd: MFA-bruk, rapportering, etterlevelse av rutiner

Vektingen kan variere, men målet er alltid å gi et realistisk bilde av risikoen.

Hva er en god score?

Det finnes ikke én fasit, men her er noen retningslinjer:

  • 80–100 (A): Svært godt sikkerhetsnivå. Ansatte er bevisste og bedriften har lav risiko.
  • 60–79 (B–C): Akseptabelt nivå, men fortsatt rom for forbedring.
  • 40–59 (D): Moderat risiko. Det er behov for økt fokus på opplæring.
  • Under 40 (F): Høy risiko. Bedriften er sårbar for angrep.

Viktigst: Det er ikke scoren i seg selv som betyr noe – det er forbedringen over tid som viser om sikkerhetsarbeidet fungerer.

Hvorfor er dette viktig for bedriften?

Risikorapportering og sikkerhetsscore gir flere viktige fordeler:

Synliggjør risiko for ledelsen

Ledelsen får konkrete tall i stedet for vage beskrivelser. Det gjør det lettere å forstå hvor sårbar bedriften er.

Hjelper med å prioritere tiltak

Hvis scoren viser at mange ansatte klikker på phishing, vet du at det er her du må sette inn ressurser.

Måler effekten av sikkerhetsarbeid

Du ser om opplæringen faktisk fungerer, eller om du må endre tilnærmingen.

Dokumenterer forbedring

Over tid kan du vise hvordan bedriften har blitt tryggere – nyttig i møte med kunder, partnere og forsikringsselskap.

Identifiserer avdelinger eller grupper med høy risiko

Du kan se om noen avdelinger, team eller ansattgrupper trenger ekstra oppfølging.

Eksempel: Slik kan rapporten se ut

Her er et forenklet eksempel på hva en risikorapport kan inneholde:

Bedriftens samlede score

  • Nåværende score: 68 / 100 (C)
  • Forrige måned: 62 / 100
  • Trend: ↑ Forbedring

Fordeling per avdeling

AvdelingScoreAntall ansatte
Ledelse825
Økonomi748
Salg6112
Lager5510

Phishing-test siste måned

  • Sendt ut: 35 e-poster
  • Klikket på lenke: 8 ansatte (23 %)
  • Rapportert som mistenkelig: 18 ansatte (51 %)
  • Oppgitt passord: 2 ansatte (6 %)

Datalekkasjer

  • Ansatte med eksponert e-post: 4
  • Ansatte med kompromittert passord: 1
  • Tiltak iverksatt: Ja, passord endret

Opplæring

  • Fullført siste kurs: 32 av 35 ansatte (91 %)
  • Gjennomsnittlig tid til fullføring: 8 dager
  • Gjennomsnittsscore på quiz: 87 %

Hvordan brukes rapporten?

For ledelsen

Ledelsen kan bruke rapporten til å:

  • Forstå om sikkerhetsbudsjettet gir resultater
  • Identifisere hvor de må sette inn ekstra ressurser
  • Kommunisere til styret eller eiere om sikkerhetsarbeidet

For IT-ansvarlig

IT-ansvarlig kan:

  • Følge opp ansatte som scorer lavt
  • Planlegge målrettet opplæring for spesifikke avdelinger
  • Se om nye trusler krever nye tiltak

For HR

HR kan:

  • Integrere sikkerhetsopplæring i onboarding av nye ansatte
  • Følge opp at alle gjennomfører obligatorisk opplæring
  • Vurdere om sikkerhetsbevissthet bør være en del av medarbeidersamtaler

Hva skjer hvis scoren er lav?

En lav score er ikke en dom – det er et utgangspunkt for forbedring.

Her er hva du kan gjøre:

1. Analyser hva som trekker scoren ned

Er det mange som klikker på phishing? Er det dårlig oppslutning om opplæring? Er det datalekkasjer?

2. Sett inn målrettede tiltak

  • Øk frekvensen på phishing-tester
  • Gjør opplæringen mer engasjerende
  • Send påminnelser til de som ikke har fullført kurs
  • Hjelp ansatte med å aktivere MFA

3. Kommuniser viktigheten

Forklar for de ansatte hvorfor sikkerhet er viktig, og hvordan de kan bidra.

4. Følg opp jevnlig

Sjekk scoren hver måned, og feir fremgang når den øker.

Rapportering for ulike roller

Rapportene kan tilpasses ulike behov:

Lederrapport

Kort og konsis. Viser samlet score, trend og topp 3 risikoområder.

IT-rapport

Detaljert. Viser hvem som har klikket på phishing, hvem som ikke har fullført opplæring, osv.

Avdelingsrapport

Viser hvordan én avdeling presterer sammenlignet med resten av bedriften.

Individuell rapport

Viser den enkelte ansattes score, med tips om hva de kan gjøre for å bli tryggere.

Personvern og anonymisering

Mange er bekymret for at denne typen rapportering kan oppleves som overvåking. Derfor er det viktig at:

  • Individuelle data brukes kun til opplæring og forbedring, ikke straff
  • Aggregerte data vises til ledelsen, slik at ingen enkeltpersoner uthenges
  • Ansatte informeres om hva som måles og hvorfor

Målet er ikke å «ta» folk som gjør feil – det er å hjelpe alle til å bli tryggere.

Hvordan får min bedrift tilgang til dette?

Hvis bedriften din er kunde hos Zalt med sikkerhetspakke, er risikorapportering og sikkerhetsscore inkludert.

Du får:

  • Automatisk måling av sikkerhetsscore
  • Månedlige rapporter tilpasset din rolle
  • Tilgang til detaljerte dashboards
  • Anbefalinger om tiltak basert på dataene

Hvis du ikke har dette ennå, kontakt Zalt på support@zalt.no for å høre mer.

Oppsummering

Risikorapportering og sikkerhetsscore gir deg:

  • Konkrete tall på bedriftens sikkerhetsnivå
  • Innsikt i hvor risikoen er størst
  • Grunnlag for å prioritere tiltak
  • Bevis på at sikkerhetsarbeidet fungerer
  • Motivasjon for ansatte til å forbedre seg

Det handler ikke om å kontrollere folk – det handler om å gjøre hele bedriften tryggere.

Har du spørsmål?

Lurer du på hvordan risikorapportering fungerer i praksis, eller ønsker du å se hvordan din bedrift scorer? Kontakt Zalt på support@zalt.no eller ring oss på 412 54 000.