I 2026 er IT-sikkerhed ikke længere en teknisk disciplin; det er et strategisk forretningsvilkår. Med NIS2-lovgivningen hæfter ledelsen personligt for virksomhedens sikkerhedsniveau. Men at finde og fastholde en kvalificeret Chief Information Security Officer (CISO) er både svært og dyrt. Med Stratu CISO as a Service får I adgang til executive sikkerhedsledelse, der sikrer governance, risikostyring og rapportering – skaleret præcis efter jeres behov.
Vi oversætter tekniske data til forretningssprog. I får faste, forståelige rapporter om jeres risikobillede, som gør bestyrelsen i stand til at træffe beslutninger og overholde deres tilsynspligt (NIS2 Artikel 20).
En fuldtids CISO koster nemt over 1,5 mio. kr. årligt. Med vores model får I adgang til samme kompetenceniveau for en brøkdel af prisen, da I kun betaler for den tid og viden, I reelt har brug for.
Vi laver ikke kun papirarbejde. Vi sikrer, at jeres politikker faktisk bliver efterlevet i teknikken – fra firewall-regler til backup-procedurer – ved at bygge bro mellem ledelse og IT-drift.
Mange virksomheder har investeret i gode værktøjer (Firewalls, Antivirus, Backup). Men de mangler den strategiske overbygning, der binder det hele sammen. Det skaber et “Governance Gap”.
Konsekvensen af at mangle en CISO:
Reaktiv Brandslukning: Uden en strategi bliver sikkerhed noget, man fikser, når det går galt, i stedet for noget man planlægger.
Manglende dokumentation: Når revisor eller tilsynsmyndigheden kommer, findes der ingen opdateret risikoanalyse eller årshjul, hvilket kan udløse anmærkninger eller bøder.
Personafhængighed: Viden om sikkerheden ligger ofte hos én travl IT-chef. Hvis vedkommende stopper, forsvinder overblikket.
Vi træder ind som jeres “eksterne CISO”. Vi bliver en integreret del af jeres organisation, deltager i ledelsesmøder og styrer sikkerhedsarbejdet, men vi trækker på hele Stratus bagland af specialister.
Vores rolle er tredelt:
Strategen: Vi definerer sikkerhedsniveauet baseret på jeres risikoappetit (Hvor meget sikkerhed har vi råd til at mangle?).
Auditoren: Vi kontrollerer løbende, at leverandører og interne teams overholder aftalerne (Compliance).
Oversætteren: Vi forklarer cyberrisici i et sprog, som CFO’en og CEO’en forstår, så budgetter kan godkendes på et oplyst grundlag.
At få en CISO ombord skal ikke være et tungt bureaukratisk projekt. Vi arbejder efter en fast model, der hurtigt skaber overblik og værdi.
1. Baseline & risikoanalyse (Måned 1) Vi starter med at kortlægge jeres “As-Is” situation. Hvilke data er kritiske? Hvilke trusler er relevante? Vi udarbejder den lovpligtige risikoanalyse, som danner fundamentet for alt videre arbejde.
2. Governance Framework & årshjul (Måned 2) Vi implementerer et fast årshjul for sikkerhed (ISMS). Her fastlægger vi, hvornår vi tester backup, hvornår vi gennemgår brugeradgange, og hvornår vi rapporterer til bestyrelsen. Slut med ad-hoc opgaver.
3. Drift & løbende optimering (Løbende) Herefter overgår vi til drift. Jeres Stratu CISO deltager i faste månedlige møder, følger op på hændelser fra SOC’en (Arctic Wolf) og sikrer, at organisationen hele tiden flytter sig mod højere modenhed.
En CISO’s vigtigste opgave er at fjerne tilfældigheder. Derfor baserer vi ikke vores rådgivning på personlige holdninger, men på anerkendte “Best Practice” rammeværk. Det sikrer, at jeres sikkerhedsniveau er målbart, dokumenterbart og genkendeligt for revisorer og kunder.
Vi bygger jeres ISMS (Information Security Management System) på tre søjler:
1. ISO 27001 / NIS2 (Governance) Vi bruger ISO 27001 som skelettet for jeres politikker og risikostyring. Det sikrer, at I har styr på processerne, og at I lever op til kravene i NIS2-lovgivningen om “passende foranstaltninger”.
2. CIS Controls (Teknisk Hygiejne) For at gøre sikkerheden konkret bruger vi ofte CIS18 (Center for Internet Security) til at prioritere de tekniske indsatser. Det hjælper os med at lukke de vigtigste huller først – f.eks. inventarstyring, administrator-rettigheder og logning.
3. Det Faste Årshjul (Driften) Sikkerhed er ikke et projekt, men en proces. Vi implementerer et fast årshjul, der fordeler opgaverne ud over året.
Q1: Risikoanalyse & Trusselsvurdering.
Q2: Leverandøropfølgning & Beredskabsøvelse.
Q3: Gennemgang af adgange & Politik-opdatering.
Q4: Ledelsesevaluering & Budgettering.
Mange overvejer, om de skal rekruttere internt. Men for langt de fleste mellemstore virksomheder giver en ekstern model (CISO as a Service) langt bedre mening – både økonomisk og fagligt.
1. Uvildighed og objektivitet En intern IT-ansvarlig kan have svært ved at auditere sit eget arbejde eller stille krav til kollegaer. En ekstern CISO kommer uden intern politik og “plejer”. Vi rapporterer objektivt til ledelsen om tingenes tilstand.
2. Sårbarhed ved enkeltpersoner Hvis I ansætter én CISO, er I sårbare ved sygdom, ferie eller opsigelse. Med vores model lejer I ikke en person, men en funktion. I har altid adgang til et helt team af specialister, så viden aldrig går tabt.
3. Kollektiv Intelligens En intern CISO ser kun jeres egen virksomhed. En Stratu CISO ser sikkerhedsbilledet på tværs af mange virksomheder. Vi tager erfaringer (og trusselsdata) fra én kunde og bruger dem til at beskytte alle andre.
Udfyld kontaktformularen herunder, så tager en af vores specialister fat på dig.
IT-chefen har ansvar for, at systemerne virker (Drift). CISO’en har ansvar for, at systemerne er sikre og lovlige (Governance). Det er en fordel at skille de to roller ad for at undgå interessekonflikter.
Det varierer. For en mellemstor virksomhed (100-500 ansatte) starter vi typisk med en fast pakke på 10-20 timer om måneden, som kan skaleres op ved f.eks. audits eller større projekter.
Ja. Vores CISO-service er bygget op omkring ISO 27001-standarden. Vi forbereder jer til audit, deltager i møderne med revisor og hjælper med at lukke eventuelle afvigelser.
I en klumme i Ingeniøren belyser vores adm. direktør, Jeppe Klestrup, sine tanker om et fænomen, der truer sikkerheden i mange særligt små og mellemstore virksomheder: ‘Cyber Fatigue’.
I indlægget skriver han blandt andet:
“’Cyber Fatigue’, en mental udmattelse, der rammer på to niveauer. På den ene side har vi medarbejderne. De bombarderes med advarsler, besværlig to-faktor-godkendelse og ni forskellige passwords, der er umulige at huske.
Resultatet er ikke øget årvågenhed, det er, at de “tuner ud” og ignorerer advarsler for at få deres arbejde gjort.
På den anden side har vi beslutningstagerne. Den rammer IT-chefen, der er træt af at skulle råbe “ulven kommer” uden at blive hørt. Og den rammer beslutningstageren, der er træt af at se en voksende, abstrakt udgiftspost uden nogensinde at mærke den konkrete konsekvens.”
– Citat fra Jeppe Klestrup, CEO, Stratu
