IT-drift & säkerhet

IT-säkerhet för SMB: tre saker som faktiskt spelar roll 2026

av Mattias Pettersson

Du har sett guiderna: 50 punkter om IT-säkerhet, checklistor för ISO 27001 och GDPR. Mycket text.

Och när du är färdig med att läsa? Du vet att du borde göra något, men vilka tre saker är faktiskt viktigast för din 15-persons webbbyrå?

Här är svaret. Inte vad som är idealiskt. Vad som spelar roll.

De tre sakerna

1. MFA överallt — inte rekommenderat, implementerat

Multi-Factor Authentication. Två-faktor-autentisering. Vad det än kallas måste det finnas.

Problemet: De flesta SMB-bolag säger "vi borde ha MFA" och sedan... ja, ingenting händer. Det är väl för besvärligt?

Det är faktiskt inte besvärligt. Det tar en eftermiddag. Och det blockerar 99% av de attacker som faktiskt drabbar svenska småbolag.

Varför spelar det roll: De flesta intrång börjar med ett lösenord. Någon får tag på ditt Gmail-lösenord (för att du återanvände det på LinkedIn, eller för att det läckte från en sajt 2015), och sedan loggar de in som dig. Om du bara har ett lösenord är det kört.

Med MFA måste de också ha telefonen. Eller en authenticator-app. Eller en säkerhetsnyckel. Och det har de oftast inte.

Implementera MFA här — prioritetsordning:

  1. Microsoft 365 / Azure AD (nästan alla SMB använder detta)

    • Öppna Microsoft 365 admin center
    • Gå till Security → Require MFA
    • Välj "Enforce" för alla användare
    • Väl gjort. Det tar två minuter.
    • Användare får automatiska prompter nästa gång de loggar in

  2. Gmail / Google Workspace (om du använder det)

    • Gå till myaccount.google.com
    • Security tab
    • Turn on 2-step verification
    • Samma sak. Två minuter.

  3. Kritiska SaaS (Slack, Figma, Jira, etc)

    • De flesta har inbyggt MFA-krav
    • Aktivera det

  4. Servrar (VPS, RDP, SSH)

    • SSH: SSH-nycklar (ingen lösenord överhuvudtaget)
    • Windows RDP: Använd Windows Hello for Business eller U2F-nyckel
    • Kan ta längre tid, men gör det.

Vad kostar det? $0 för Microsoft 365 (redan inkluderat i Pro och högre). Tid: ~2 timmar för ditt team att registrera sina enheter.

Vad många missar: De tror att "MFA är jobbigt för användare". Det är jobbigt första veckan. Sedan är det automatiskt. Och när du är hackad är det väldigt jobbigt.

2. Offsite-backup som faktiskt testas — inte bara gjort

Du har backup. Säkert. Du har en backup-tjänst. Du betalar för den varje månad. Och du vet att du ska testa att återställa, men ... du har inte gjort det.

Det är samma som att säga att du har livräddare på stranden men aldrig övervägt att de faktiskt kan simma.

Problemet: En dag får du ransomware. Du ringer Backblaze, eller Wasabi, eller vem du nu använder. Du säger: "Jag behöver återställa allt från igår."

Och sedan inser du: "Vänta, jag vet inte om backup:en fungerade. Jag har ingen backup från igår. Den senaste är från två veckor sedan."

3-2-1-regeln för backup (inte ny, men det är rätt):

  • 3 kopior av data (original + två backups)
  • 2 olika lagringstyper (t.ex. disk + cloud)
  • 1 offsite-backup (inte i samma byggnad som original)

För en SMB-byrå betyder detta:

  1. Original: Dina filer lever på din server/NAS hemma
  2. Backup 1: En lokal NAS eller extern disk (samma kontor)
  3. Backup 2: En offsite cloud-tjänst (Wasabi, Backblaze, AWS S3, etc.)

Implementera:

  1. Välj en cloud-backup-tjänst

    • Wasabi (billig, snabb): $6-8/TB/månad
    • Backblaze B2: $6/TB/månad
    • AWS S3 Standard: $23/TB/månad
    • (Wasabi eller Backblaze räcker för SMB)

  2. Konfigurera din backup-programvara

    • Windows: Veeam Community Edition (gratis), eller Acronis Cyber Protect (betalt)
    • Linux/NAS: Restic + cron-job, eller Duplicacy
    • Shopify/SaaS: Använd tjänstens egna backup-API (eller Spinbackup, Backupify)

  3. Testa återställning första veckan varje månad

    • Första månaden: testa att återställa en enskild fil
    • Månad två: testa att återställa en full server (på en test-VM)
    • Månad tre: bekräfta att tidsramen för återställning är acceptabel
    • Sen: gör det var tredje månad

Vad misslyckas ofta: Backups är konfigurerade för att köra, men ingen verifierar att de faktiskt fungerade. Loggarna säger "SUCCESS" men filer är korrupta. Du vet bara när du försöker återställa.

Lösning: Sätt ett kalendersamtal för "Backup Recovery Test" första fredagen varje månad. 30 minuter. Gör det.

3. Patch management-rutin — inte perfekt, men schemalagd

Windows Update, Linux patches, firmware-uppdateringar för routern, macOS-uppdateringar. Det dyker upp varje dag.

Och det är lätt att klicka "remind me later" och sedan glömma.

Problemet: Du får en kritisk säkerhetslucka. Microsoft släpper en patch på patchdagen (andra tisdagen varje månad). Du uppdaterar inte. En vecka senare exploateras luckan och du är hackad.

Det händer. Ofta.

Implementera en patchrutin (det behöver inte vara perfekt):

  1. Windows-maskiner

    • Sätt Windows Update till att installera automatiskt
    • Schemalägg omstarter en gång i veckan (t.ex. fredagskvällen)
    • System → Settings → System → About → Advanced System Settings → Automatic Updates
    • Eller via GPO om du har Active Directory

  2. Linux-servrar

    • Konfigurera unattended-upgrades (Debian/Ubuntu) eller yum-cron (RHEL)
    • Låt den köra varje dag eller vecka
    • Logga in via SSH varje månad och verifiera att uppdateringar rullade ut (kolla /var/log/apt/history.log)

  3. Routrar, switchar, NAS-enheter

    • Kontrollera firmware en gång i månaden
    • Uppdatera under underhålltimme (inte mitt på dagen)
    • Test på en icke-kritisk enhet först

  4. SaaS-tjänster (Microsoft 365, Google Workspace, Slack, etc)

    • De uppdateras automatiskt. Du behöver inte göra något.

  5. Tilldela en ansvarig person

    • En person. En e-postpåminnelse första måndagen varje månad.
    • "Kontrollera om det finns kritiska säkerhetsuppdateringar"
    • 10 minuter per månad.

Vad många missar: "Vi kan inte uppdatera produktionsmiljön för ofta." Rätt. Men du kan uppdatera två gånger i månaden istället för aldrig. Det är mycket bättre.

Vad som spelar roll: Du behöver inte vara perfekt. Du får bara inte vara vårdslös. "Vi uppdaterar automatiskt varje vecka" är tusen gånger bättre än "vi uppdaterar när vi tänker på det."

Vad som INTE spelar roll för de flesta SMB

Här är saker som mycket ofta rekommenderas men som inte gör stor skillnad för SMB:

  • Zero Trust Architecture — för Fortune 500. Inte för din 15-personersbyrå med ett kontor.
  • SIEM (Security Information & Event Management) — du har sannolikt inget IT-säkerhetsteam som kan tolka 10 miljoner loggrader per dag.
  • Endpoint Detection & Response (EDR) — Å andra sidan, om du bara kört MFA+backup+patch, är chansen liten att du behöver detta.
  • Vulnerability scanning — Låter bra. Kräver dedikerad tid. Börja med dessa tre saker istället.
  • Penetration testing — "Vi borde testa." Ja. Men inte innan du löst dessa tre.

Kostnader och tid

Åtgärd Kostnad Tid
MFA på 365/Google $0 2h
Offsite backup-tjänst $50-100/månad 4h setup + 30 min test/månad
Patch-automation $0 2h setup
Månatlig säkerhetskontroll $0 1h/månad (en person)
TOTAL ~$1200/år ~15h första året, 2h/månad sen

Det är inte mycket.

När ska du anlita en IT-konsult?

Du behöver extern hjälp när:

  • Du är helt osäker på hur du sätter upp MFA (ring någon)
  • Du vill att någon annan lägger upp backup-rutinen (lägg ut det)
  • Du redan är hackad och behöver forensics (nu är det för sent, men gör det ändå)
  • Du är över 50 anställda och behöver dedikerad IT-säkerhet

Annars kan du lösa de här tre sakerna själv på en fredagseftermiddag och en bit in på nästa vecka.

Det viktigaste

Du kommer inte att få det perfekt. Det finns aldrig en punkt där du kan säga "vi är 100% säkra."

Men du kan gå från "vi är praktiskt taget oförberedda för en attack" till "vi har gjort de tre viktigaste sakerna."

Och skillnaden mellan dessa två? Astronomisk.

Börja idag.

Tillbaka till bloggen Prata med oss

Relaterad tjänst

Behöver du hjälp med it-konsulting?

IT-konsulting