Inför Hot & Säkerhet har vi intervjuat Petra Klein som är CSO på Swedbank. Hon delar sina perspektiv på hur säkerhetsstrategi omsätts i praktiken, hur man bygger en hotdriven organisation och hur man skapar förankring hos ledning och styrelse i en allt mer komplex hotmiljö.
CSO-rollen handlar till stor del om strategi, men vilka är de största utmaningarna när strategin ska omsättas i praktiskt arbete?
– Den största utmaningen är ofta att översätta komplexa budskap och tydliggöra att säkerhet angår alla. Många lever i tron att ”det där berör inte mig”, men målet är att skapa en beteendeförändring där försvarsviljan och skyddet mot hot blir en naturlig del av vardagen. Vi måste komma över tröskeln där säkerhet ses som ett hinder för snabbhet. I dagens geopolitiska landskap är säkerhet snarare en grundförutsättning och en möjliggörare för tillväxt.
Många organisationer uppger att de arbetar risk- och hotbaserat. Varför är det så svårt att få det att fungera i praktiken?
– Jag tror att många misslyckas med att koppla strategin hela vägen till den faktiska leveransen. Det finns ofta ett gap mellan teoretiska hotbilder och de konkreta åtgärder som faktiskt minskar risken. Vi har lagt mycket tid på att mappa våra största säkerhetshot mot extremt specifika leveranser, som exempelvis Multifactor Authentication (MFA), reducering av permanenta behörigheter och hantering av sårbarheter exponerade mot internet. Ofta handlar det om ren cyberhygien. Utmaningen är att våga prioritera den grundläggande hygienen när nya, mer ”spännande” projekt dyker upp. Att vara genuint hotdriven kräver disciplin – man måste åtgärda det man ser, inte bara dokumentera det.
Vilka roller och förmågor är avgörande för att bygga en verkligt hotdriven organisation, och vad saknas oftast?
– Det börjar med att man analyserar sin attackyta och mappar de kompetenser som krävs för att försvara den. Vi behöver till exempel, Cyber Threat Hunters som kan anta angriparens perspektiv och proaktivt söka efter spår i systemen, samt Detection Engineers som bygger logik för att identifiera allt från insiderhot till avancerade intrång.
Det som oftast saknas är den mänskliga bryggan. Grunden för allt är en stark säkerhetskultur, och där behöver vi personer som kan kommunicera och skapa engagemang genom utbildning och kampanjer. Vi behöver medarbetare som inte bara följer regler, utan som förstår varför de finns. Det är då de blir den starkaste länken i vårt försvar.
Vad krävs för att få ledning och styrelse att engagera sig på djupet i säkerhetsfrågor?
– Man måste tala affärsspråk. Det handlar om att koppla säkerhetsrisker till konkreta affärsrisker och visa vad bristande motståndskraft faktiskt kostar. Det är viktigt att inte drunkna i tekniska KPI:er, utan att alltid relatera insatserna till den aktuella hotbilden. Samtidigt ska man inte glömma att lyfta framgångar – säkerhet och motståndskraft ska ses som en fördel och en möjliggörare för affären.
Vilka förväntningar har du på Hot & Säkerhet?
– Jag hoppas kunna inspirera till mod – modet att testa nya metoder och att våga prioritera hårdare. Min förhoppning är att deltagarna går därifrån med insikten att det praktiska arbetet, inklusive den ibland ”tråkiga” cyberhygienen, är det som gör störst skillnad. Säkerhet är ett lagarbete som kräver både teknisk spets och en levande kultur.
Läs mer och anmäl dig till Hot & Säkerhet 2026!
