Varför intern säkerhet inte räcker för de flesta organisationer

De flesta IT-avdelningar vi möter har kompetenta medarbetare. Problemet är inte kunskap — det är kapacitet och täckning. Tre återkommande utmaningar:

Kompetensbrist som är svår att lösa med rekrytering

Erfarna molnsäkerhetsspecialister är bland de svåraste profilerna att rekrytera i Sverige. En SOC-analytiker med AWS- och Azure-erfarenhet som dessutom förstår svensk regulatorik är sällsynt. Att bygga ett internt SOC med dygnet runt-bemanning kräver minst 8–10 heltidstjänster bara för att täcka skift — och det är före man räknar in sjukfrånvaro, semester och kompetensutveckling.

Larmtrötthet dödar säkerheten

AWS GuardDuty, Azure Defender och Google Security Command Center genererar enorma mängder larm. Utan tuning och kontextuell analys drunknar teamen i falska positiva. Enligt Datadogs State of Cloud-rapporter och CNCF:s årliga undersökningar har komplexiteten i molnmiljöer ökat stadigt — fler mikrotjänster, fler integrationer, fler ytor att bevaka. Det leder till att genuina hot glider igenom i bruset.

Shared responsibility — den missförstådda modellen

AWS, Azure och Googles shared responsibility model är tydlig i teorin men missförstås regelmässigt i praktiken. Molnleverantören säkrar infrastrukturen — hypervisor, fysiskt datacenter, nätverksbackbone. Men allt ovanför det — IAM-policies, S3-bucket-konfiguration, nätverkssegmentering, kryptering av data at rest — är kundens ansvar.

De flesta säkerhetsincidenter i molnet beror på felkonfigurationer — öppna S3-buckets, för breda IAM-roller, avsaknad av MFA på root-konton. Det är inte molnleverantörens fel. Det är konfigurationsansvar som faller på dig.

NIS2 och GDPR — regulatorisk verklighet 2026

NIS2-direktivet har förändrat spelplanen för organisationer som levererar samhällsviktiga tjänster eller digital infrastruktur. Kraven är konkreta:

• Incidentrapportering inom 24 timmar till behörig myndighet vid signifikanta incidenter
• Riskhanteringsåtgärder som är proportionerliga och dokumenterade
• Supply chain-säkerhet — ni ansvarar även för era leverantörers säkerhet
• Ledningsansvar — styrelse och ledning kan hållas personligt ansvariga

Kombinerat med GDPR:s krav på tekniska och organisatoriska skyddsåtgärder (artikel 32) och skyldigheten att rapportera personuppgiftsincidenter till IMY inom 72 timmar skapas ett regulatoriskt landskap som kräver operativ beredskap — inte bara policydokument.

En managerad säkerhetstjänst som inkluderar 24/7 SOC-övervakning, etablerade incidentprocesser och automatiserad rapportering gör det praktiskt möjligt att uppfylla dessa krav utan att bygga allt internt.

Vad en bra managerad säkerhetstjänst innehåller

Baserat på vad vi ser fungera i produktion — inte i marknadsföringsmaterial — bör en managerad molnsäkerhetstjänst leverera följande:

Proaktiv hotdetektion och SIEM

Loggar från alla molntjänster (CloudTrail, VPC Flow Logs, Azure Activity Log) samlas in, korreleras och analyseras i realtid. Men verktygen är sekundära — det som avgör är analyskapaciteten. En SIEM utan analytiker är bara en dyr loggdatabas.

Sårbarhetsskanning och konfigurationsgranskning

Automatiserade skanningar mot CIS Benchmarks, AWS Well-Architected Framework och Azure Security Benchmark identifierar avvikelser. Resultat prioriteras baserat på faktisk exponering — inte bara CVSS-poäng.

Identitets- och åtkomsthantering (IAM)

IAM-konfiguration är den enskilt viktigaste säkerhetsåtgärden i molnet. Regelbunden granskning av roller, policies och servicekonton — combined med least-privilege-principer — förhindrar den laterala rörelse som gör intrång allvarliga.

Krypterings- och nyckelhantering

Kryptering av data at rest och in transit är grundläggande. Men nyckelhantering via AWS KMS, Azure Key Vault eller HashiCorp Vault kräver policy och operativ disciplin — vem har åtkomst till nycklarna, hur roteras de, och vad händer vid en kompromittering?

Incidentrespons med definierade SLA:er

Responstid är mätbar. En seriös leverantör definierar SLA:er för detektering (MTTD), eskalering och åtgärd (MTTR) — och rapporterar mot dem varje månad. Fråga efter historisk MTTD/MTTR-data innan ni väljer leverantör.

Opsios SOC/NOC-tjänster

Så väljer du rätt leverantör — fem frågor att ställa

1. Var sitter ert SOC och vilka skift kör ni? Om svaret är "vi har jour" snarare än "vi har bemannat SOC dygnet runt" — gå vidare.

2. Vilka molnplattformar har ni certifierad kompetens på? Generell säkerhetskompetens räcker inte. AWS Security Specialty, Azure Security Engineer Associate och liknande certifieringar visar plattformsdjup.

3. Hur hanterar ni en incident kl. 03:00 på en söndag? Be om en faktisk playbook-genomgång, inte en PowerPoint.

4. Vilken tillgång har vi till loggar, dashboards och incidentrapporter? Full transparens är icke-förhandlingsbart.

5. Hur hjälper ni med NIS2/GDPR-efterlevnad? Regulatorisk rapportering bör vara inbyggd, inte en tilläggstjänst.

Molnmigrering med inbyggd säkerhet

Opsios perspektiv — vad vi ser i produktion

Från vårt SOC/NOC i Karlstad och Bangalore hanterar vi dagligen säkerheten för organisationer som kör produktionsmiljöer i eu-north-1 (Stockholm) och Sweden Central. Tre mönster återkommer:

Felkonfigurerade IAM-roller är den vanligaste risken. Utvecklare skapar breda roller under utveckling som aldrig stramas åt innan produktion. Automatiserad IAM-granskning med åtgärdsförslag — inte bara larm — minskar risken drastiskt.

Brist på nätverkssegmentering i molnet. Många organisationer kör platta VPC:er utan privata subnät, och exponerar databaser mot internet via öppna security groups. Det är ekvivalent med att lämna serverhallsdörren olåst.

Avsaknad av centraliserad loggning. Utan CloudTrail i alla regioner, VPC Flow Logs och centraliserad log aggregation saknas förmågan att ens utreda en incident i efterhand.

Dessa problem är inte exotiska — de är vardagliga. Och det är precis därför managerad molnsäkerhet handlar mer om disciplin och operativ mognad än om avancerad teknologi.

Cloud FinOps

Vanliga frågor

Vad ingår i managerad molnsäkerhet?

Typiskt ingår 24/7-övervakning via ett SOC, logganalys (SIEM), sårbarhetsskanning, incidenthantering, efterlevnadsrapportering och konfigurationsgranskning. Omfattningen varierar beroende på leverantör och avtalsnivå, men kärnan är alltid kontinuerlig övervakning kombinerad med expertdriven respons.

Hur skiljer sig managerad molnsäkerhet från att köpa säkerhetsverktyg själv?

Verktyg utan operativ bemanning ger en falsk trygghet. Ett SIEM som ingen analyserar genererar bara brus. Managerad säkerhet innebär att erfarna analytiker tolkar larm, eskalerar verkliga hot och agerar — dygnet runt. Det är skillnaden mellan att äga en brandvarnare och att ha en bemannad brandstation.

Behöver vi managerad säkerhet om vi redan kör i AWS eller Azure?

Ja. Molnleverantörernas shared responsibility model innebär att de säkrar infrastrukturen, men du ansvarar för konfiguration, identitetshantering, dataskydd och applikationssäkerhet. Felkonfigurationer är den vanligaste orsaken till molnintrång — och det ligger helt på kundens sida.

Hur påverkar NIS2 vår molnsäkerhet?

NIS2-direktivet ställer krav på riskhantering, incidentrapportering inom 24 timmar och supply chain-säkerhet. Organisationer som omfattas behöver dokumenterad 24/7-övervakning och etablerade incidentprocesser — precis det en managerad säkerhetstjänst levererar.

Kan vi behålla kontroll över vår miljö med en extern säkerhetsleverantör?

Absolut. En bra leverantör arbetar transparent med delad åtkomst till dashboards, incidentloggar och rapporter. Ni behåller ägarskapet över era konton och data. Leverantören agerar som en förlängning av ert team, inte som en svart låda.