Erhverv,Guide,Sikkerhed

Gode IT-vaner i 2026: Den simple tjekliste, der gør din virksomhed markant mere sikker

Udgivet den af johan
05
feb

Vi har taget hul på et nyt år. Og hvis der er én ting, der giver mening at “genstarte” i 2026, så er det vores IT-vaner.

For cybertruslen er ikke noget, der kun rammer “de store” eller “dem med spændende data”. Danske myndigheder peger på, at cybertruslen er alvorlig og i praksis et grundvilkår—og at metoder og værktøjer løbende udvikler sig. Samtidig viser en helt frisk undersøgelse, at danske virksomheder er stærkt bekymrede for cyberangreb og driftsforstyrrelser, og at meget få forventer at kunne løse kerneopgaver uden adgang til IT.

Det lyder skræmmende, men her kommer den gode nyhed: Du behøver ikke gøre IT-sikkerhed besværligt for at få stor effekt. Faktisk kan en håndfuld stærke, praktiske vaner reducere risikoen markant—uden at I drukner i teknik, projekter og forskrifter.

Her får du en enkel, ikke-teknisk tjekliste, som du selv eller sammen med din IT-samarbejdspartner kan løbe igennem i dag—med konkrete tips til bedre IT-sikkerhed.

Pro tip: Har du travlt på job eller farten? Så scroll til slutningen og gem den ultrakorte version af vores tjekliste i cheatsheet-format, du kan altid vende tilbage og dykke dybere, når der er ro på!

1) Få styr på adgangskoder: Stop genbrug og gør det nemt at gøre det rigtige

Adgangskoder er stadig en af de mest brugte “døre” ind i virksomheder—og den nemmeste dør er næsten altid den, hvor adgangskoder bliver genbrugt, delt eller slet og ret er for simple.

Gør dette til vane i 2026:

  • Brug unikke adgangskoder til alt vigtigt (mail, økonomi, CRM, cloud og admin-konti).
  • Skift fra at “huske det hele i hovedet” til en password manager, som hjælper jer med at håndtere alle de unikke koder. Det er ofte den mest realistiske måde at få unikke og stærke adgangskoder i hele organisationen.
  • Lav en simpel regel: Ingen delte login. Hvis flere bruger samme konto, mister I sporbarhed og kontrol.

Leder-tip: Start med mailen. Hvis en angriber får adgang til en mailkonto, kan de ofte nulstille adgang til alt andet.

Artikelindhold

2) Slå MFA til: Den vane, der giver mest sikkerhed for mindst arbejde

MFA (Multi-Factor Authentication) er den ekstra lås, der gør stjålne adgangskoder langt mindre værd. Kort fortalt kræver MFA en ekstra godkendelse ud over dit login—fx via SMS, e-mail eller en app.

Microsoft har både formidlet og forsket i effekten: MFA kan blokere en meget stor andel af konto-overtagelser, og forskning på store datasæt viser, at langt over 99% af MFA-aktiverede konti forblev sikre i undersøgelsesperioder.

Gør dette til vane i 2026:

  • Slå MFA til på mail, cloud, økonomisystem, CRM, fjernadgang/VPN og alle admin-konti.
  • Prioritér phishing-resistente metoder, hvor det er muligt (fx sikkerhedsnøgler via mobil-app eller godkendelsesmetoder, der er sværere at narre med falske login-sider). NCSC understreger, at ikke alle MFA-typer er lige stærke mod phishing.
  • Lav en “MFA-uge”: I løbet af én uge skal alle have MFA på de vigtigste systemer.

Leder-tip: MFA er en af de få sikkerhedsforbedringer, der kan rulles ud hurtigt og måles på (hvem har aktiveret det, og hvor).

Artikelindhold

3) Træn phishing-øjet: Styrk den “menneskelige firewall”

Phishing er stadig en af de mest effektive angrebsmetoder—fordi den udnytter travlhed, rutiner og tillid.

Målet er ikke at gøre alle til sikkerhedseksperter. Målet er at skabe en vane: Stop op, tjek, bekræft.

Gør dette til vane i 2026:

  • Indfør en enkel 10-sekunders regel: “Når nogen vil have penge, adgangskoder eller en hastehandling, så stop og tjek.”
  • Træn med korte tests/eksempler. Sikkerdigital.dk har materialer og tests, der kan bruges som inspiration til at øve genkendelse af digitale fælder.
  • Aftal et internt “bekræftelses-loop”: Ved betalinger eller ændring af bankoplysninger skal man altid bekræfte via et andet medie (fx ringe på et kendt nummer).

Leder-tip: Gør det trygt at sige “jeg er i tvivl”. En kultur, hvor medarbejdere tør spørge, stopper flere angreb end skældud gør.

Artikelindhold

4) Test din backup: Den er kun værdifuld, hvis den virker (og kan gendannes)

Backup er ikke en fil, man “har”. Backup er en evne: Kan I gendanne hurtigt nok til at holde forretningen kørende?

CISA’s ransomware-guides fremhæver, at backups bør holdes offline/isoleres, og at man skal teste gendannelse regelmæssigt—fordi ransomware ofte forsøger at finde og kryptere tilgængelige backups.

Gør dette til vane i 2026:

  • Planlæg en kvartalsvis gendannelsestest (ikke bare “tjek at backup kører”, men reelt gendanne).
  • Hold mindst én kopi offline, så I nemt kan gendanne—selv hvis jeres normale backup er blevet kompromitteret.
  • Definér to vigtige mål:

Leder-tip: Backup-test er en ledelsesbeslutning, ikke en IT-detalje. Det handler om drift, omsætning og kundeløfter.

Artikelindhold

5) Tjek rettigheder: “Sikkert” bør slå “nemt”

For mange hændelser bliver alvorlige, fordi en bruger (eller en kompromitteret konto) har alt for brede rettigheder.

Princippet om “mindst mulige privilegier” handler om at give adgang efter behov—ikke efter bekvemmelighed. Det er et stærkt udgangspunkt for bedre sikkerhed. NIST anbefaler i den forbindelse, at medarbejdere tildeles færrest mulige ressourcer og autorisationer, som stadig gør dem i stand til at udføre deres opgaver. Datatilsynet peger desuden på værdien af at give privilegeret adgang “lige til tiden” (JIT) for at reducere angrebsfladen.

Gør dette til vane i 2026:

  • Kør en halvårlig “rettighedsrengøring”: Hvem har admin? Hvem har adgang til økonomi? Hvem har adgang til HR/persondata?
  • Sørg for, at fratrædelser lukkes samme dag (offboarding).
  • Del admin-opgaver op: Én konto til normalt arbejde, én til admin (som kun bruges, når det er nødvendigt).

Leder-tip: Ovenstående er ofte den billigste måde at reducere konsekvensen af et angreb. Mindre adgang = mindre skade. Kort og godt.

Artikelindhold

6) Kortlæg ældre enheder: De kan være en skjult sikkerhedsrisiko

Gamle systemer og enheder er en klassisk “svageste-led”-risiko—og angribere udnytter ofte kendte sårbarheder, som har været udbedret i lang tid. DKCERT har blandt andet omtalt, at kendte fejl udnyttes i stor skala, mens Datatilsynet peger på værdien af løbende overblik over enheder og systemer tæt på end-of-life (EoL), så udskiftning og opdatering kan planlægges.

Gør dette til vane i 2026:

  • Lav en simpel liste over:
  • Aftal en regel: Når en enhed når EoL, skal der foreligge en plan for udfasning.
  • Tjek især “glemte” hjørner: printere, WiFi-udstyr, gamle laptops, lokale servere og fjernadgang.

Leder-tip: Et enheds-overblik er ikke unødigt bureaukrati. Det er grundlaget for at kunne prioritere rigtigt.

Bonus: Den ultrakorte tjekliste (gem og del internt)

  • Gennemtving unikke, stærke adgangskoder + password manager
  • Opsæt MFA på mail, cloud, økonomi, CRM og admin
  • Phishing-vane: stop, tjek, bekræft (og træning 2–4 gange årligt)
  • Gennemgå backup med gendannelsestest hvert kvartal
  • Udfør rettighedsrengøring 2 gange årligt + styr på offboarding
  • Skab overblik over ældre enheder/systemer + plan for EoL