Fremtidens awareness handler om gode ritualer og verificering

Skrevet d. 15-06-2026 af Emilie Kaae Riis

Hvordan gør man awareness til mere end et kryds i en compliance-boks? Svaret ligger ikke i flere kurser og at lære at genkende trusler – men at skabe en kultur, hvor det er naturligt at stoppe op, verificere og tage ansvar.

Awareness er et vigtigt våben mod cyberangreb

Ifølge Verizon starter 60 % af alle IT-sikkerhedsbrud i virksomheder hos en medarbejder. Det er den hårde sandhed. Derfor er det altafgørende, at medarbejderne er trænet til at genkende og håndtere potentielle trusler. Lige nu ser vi angreb som social engineering, phishing, deepfakes og fysiske brud tordne frem. Men det handler i virkeligheden mindre om teknologi – og mere om udnyttelse af menneskelige mekanismer som tillid, travlhed og autoritetstro.

Målrettet awareness kan beviseligt reducere risikoen markant, fordi den skaber et fælles sprog, et ansvar og små mentale pauser, hvor vi stopper op og tænker os om, før vi klikker, deler eller giver adgang. Uden den adfærdsmæssige dimension kan selv den bedste tekniske sikkerhedsløsning blive sårbar.

Det handler ikke om at tjekke en compliance-box af

Effektiv awareness bør ikke blot være et e-learning modul én gang om året – men en målrettet adfærdsindsats, der understøtter virksomhedens og medarbejderes evne til at reagere hensigtsmæssigt før, under og efter et cyberangreb.

Det kræver, at træning, kommunikation og beredskab er tilpasset den konkrete virksomhed.

Jeg oplever, at mange virksomheder vælger generiske standard awareness-løsninger for – sat på spidsen – at kunne tjekke en compliance-boks af. Det er på sin vis fuldt forståeligt, for det kan være uoverskueligt, hvor man skal starte, og hvad medarbejderne egentlig har brug for at blive trænet i. Men det er en kortsigtet løsning.

Mangler opfølgning, måling og reel forankring

Udfordringen er, at mange – i forsøget på at leve op til lovgivning og standarder – risikerer ikke at få stillet de rette spørgsmål, og dermed mangler en klar strategi for opfølgning (gennemføres træningen overhovedet?), måling (bliver træningen omsat til adfærd?) og reel forankring (kommunikeres forventninger og konsekvenser af adfærd tydeligt?) af sikker adfærd blandt medarbejderne.

Hvis awareness alene implementeres for at opfylde formelle krav, risikerer man derfor en form for awareness-washing, hvor man godt nok kan dokumentere awareness-træning, men potentielt uden reel effekt på adfærd og sikkerhedskultur. Og det er en farlig fælde, fordi medarbejderne ikke bliver tilstrækkeligt klædt på til virkelige situationer, og så står virksomheden stadig med et væsentligt risikogab.

Denne artikel er fra vores Cyber Security Rapport 2026. Vil du se hele rapporten?

Cyber Security Report 2026

En holistisk og lavpraktisk tilgang til awareness skaber større værdi

Når mange virksomheder vælger at bruge betydelige ressourcer på awareness, bør første skridt være at forsøge at skabe en kultur og forståelse for, at awareness ikke handler om ligegyldige, intetsigende kurser, der bare skal overstås, men om at beskytte virksomheden og medarbejderne. Hvis formålet er tydeligt, bliver det markant lettere at få organisationen med.

Samtidig bør virksomheden afklare sine konkrete behov: Hvilke trusler er mest relevante for os? Hvem er mest udsat? Og hvilken adfærd vil vi gerne ændre? Svarene bør omsættes til få, lavpraktiske greb – f.eks. en enkel step-by-step proces for, hvordan man rapporterer en phishing-mail i virksomhedens systemer, hvad man gør, hvis man er i tvivl, og hvordan man bør handle i dagligdagen.

Ved at vende perspektivet 180 grader kan virksomheden opnå en mere holistisk tilgang til awareness, der skaber reel værdi og giver ”valuta for pengene”. På den måde lever virksomheden ikke kun op til compliance, den øger også sandsynligheden for, at medarbejderne faktisk kan bruge træningen til noget.

Fysisk sikkerhed er (ofte) en overset del af trusselsbilledet

Når vi taler om awareness, fylder den digitale adfærd ofte mest. Men i mange virksomheder er den fysiske sikkerhed et mindst lige så reelt (og ofte overset) risikoområde.

Grænsen mellem fysisk og digital sikkerhed er blevet mere flydende: Uautoriseret fysisk adgang til bygninger, mødelokaler eller serverrum, mistede laptops, telefoner og dokumenter samt tailgating (at følge andre ind i områder, der kræver adgangs-autentifikation) kan være det fysiske udgangspunkt for et alvorligt sikkerhedsbrud.

Netop derfor giver det mening at betragte fysisk sikkerhed som en integreret del af awareness og ikke som et særskilt spor. Erfaringer fra fysiske social engineering-tests og tailgating-audits viser, at træning har en særlig effekt, når den foregår dér, hvor truslen opstår: ved døren og i receptionen, i åbne kontorområder.

Her kan medarbejderne møde realistiske scenarier, få konkret feedback og modtage vejledning i helt simple handlemønstre for, hvordan de siger fra, rapporterer observationer og håndterer adgangskontrol i praksis.

For virksomheder, der allerede investerer i awareness, er budskabet simpelt: skærmen er ikke nok.

3 ting, virksomheder bør prioritere i 2026, når det kommer til awareness

1. Gør awareness lavpraktisk og relevant

Træning skal tage udgangspunkt i medarbejdernes hverdag – ikke i teoretiske scenarier. Det skaber ejerskab og bedre forståelse.

2. Byg sikkerhed ind i kulturen

Skab ritualer, hvor verificering, tvivl og dialog er en naturlig del af arbejdet. Awareness skal leve i hverdagen – ikke kun i e-læringsmoduler.

3. Se awareness som et ledelsesansvar

Awareness er ikke et HR- eller compliance-projekt, men et strategisk ledelsesansvar. Når ledelsen går forrest, prioriterer opfølgning og taler åbent om sikker adfærd, smitter det af på hele organisationen og øger chancen for reel forankring.