Onboarding er dyrt – men sikkerhedsmæssigt endnu dyrere, når det gøres forkert
De fleste ledere ved det godt: Det er bekosteligt at ansætte en ny medarbejder!
Artikel af David Ulrik Kristensen, Executive Advisor, IT-sikkerhed og Compliance og Founder af Mimer Cybersecurity
David er indehaver af konsulentvirksomheden Mimer Security. Med baggrund fra Forsvaret og roller som CISO og DPO rådgiver han organisationer om at omsætte komplekse cyber- og compliancekrav til praktiske løsninger – særligt med fokus på governance, risikostyring og sikker onboarding i en AI-drevet virkelighed.
David har begået en både aktuel og praksisnær artikel. Han sætter skarpt fokus på et område, som alt for ofte behandles som sekundært: hvordan onboarding i praksis hænger uløseligt sammen med organisationens reelle sikkerhedsniveau – særligt i en virkelighed, hvor AI allerede er en integreret del af hverdagen.
Det er et perspektiv, PBO Juridisk Rekruttering i høj grad bakker op om – og som i øvrigt afspejler mange af de konkrete dialoger, jeg løbende har med både kandidater (GRC-specialister) og arbejdsgivere om ansvar, adfærd og risikoforståelse fra dag ét.
Onboarding er dyrt – men sikkerhedsmæssigt endnu dyrere, når det gøres forkert!
David giver et velkvalificeret bud, som han har delt med mig og med netværket på LinkedIn:
"Onboarding handler ikke kun om trivsel og kultur. Det handler også om adgang, ansvar og risiko.
I en ny artikel sætter jeg fokus på, hvordan mangelfuld onboarding kan skabe sikkerhedshuller – både digitalt og organisatorisk og dermed medføre en alvorlig hovedpine for virksomheden, kunderne og samarbejdspartnerne.
Af samme årsag har kravet om personalesikkerhed også fundet indpas som et af minimumskravene i den for tiden meget aktuelle NIS2 lovgivning.
Spørgsmålet er derfor ikke, om virksomheder har råd til at investere i sikker onboarding? Spørgsmålet er, om de har råd til at lade være?
Artiklen peger på de mest almindelige faldgruber – og på, hvorfor et klart overblik over egne risici ofte er det vigtigste første skridt."
Artiklen fortsat...
Rekrutteringsprocessen, HR‑timer, onboarding, oplæring og den tabte produktivitet i de første måneder løber hurtigt op i betydelige beløb.
Alligevel er der ét område i onboarding, som fortsat behandles som et nødvendigt, men sekundært onde: Cybersecurity og compliance – og det er ikke så smart, særligt ikke, når vi samtidigt godt ved, at alle - i effektivitetens hellige navn - har adgang til alskens AI værktøjer.
Første arbejdsdag: Et sikkerhedsmæssigt nulpunkt
Den nyansatte er ikke dum. Den nyansatte er presset.
Første uger i et nyt job handler om at levere, finde sin plads og forstå organisationens uskrevne regler. Og i den kontekst er AI et oplagt værktøj: “Jeg kan lige få det her til at se ordentligt ud.”
…. Og lige dér - i det sekund - opstår problemet.
For den nyansatte ved typisk ikke:
- hvilke data der er fortrolige (i praksis – ikke i teorien)
- hvad der må kopieres ind i prompts
- hvordan output må deles
- hvilke værktøjer der er godkendt, og hvilke der ikke er
Indenfor få sekunder risikerer vi med andre ord at have kompromitteret en forfærdelig masse fortrolige oplysninger omkring kunderne, samarbejdspartnerne eller vores egen organisation og som en direktør, jeg kender, sagde - efter at være blevet kompromitteret: ”Hold kæft, hvor ser vi amatøragtige ud!”
AI er ikke et værktøj. Det er et lag ovenpå alt
I 2026 er den største fejl ikke, at medarbejdere tester AI. Den største fejl er, at organisationer ikke har en styringsmodel for, hvilke gratis AI-værktøjer der må bruges, og hvordan. Når det mangler, ender “hurtig hjælp i browseren” med at blive en permanent brud på fortroligheden ift. prompts, interne links, kode, strategier og persondata.
AI er ikke “bare endnu et system” – det er heller ikke Google 2.0. AI er et lag ovenpå beslutningsoplæg, kundemails, analyser, dokumentation, kodningen i IT og HR‑processer.
- Det betyder, at risikobilledet ikke ligger ét sted. Den er tilstede blandt alle medarbejderne, og det kan lynhurtigt gå galt.
Onboarding er vejen frem
Den første dag på arbejdet er fyldt med indtryk. Nye kolleger, nye systemer, nye processer – og ofte et udtalt ønske fra medarbejderen om hurtigt at levere værdi og fremstå kompetent.
I den kontekst bliver informationssikkerhed, GDPR og interne regler sjældent prioriteret af medarbejderen selv. Ikke af ond vilje – men fordi fokus naturligt ligger på kerneopgaven.
Problemet er blot, at virksomheden i samme øjeblik sender en uerfaren bruger direkte ud i et komplekst trusselsbillede uden nogen form for “trafikkursus”.
En projektleder, en udvikler eller en regnskabsmedarbejder er ikke ansat for deres viden om informationssikkerhed. Derfor varierer vidensniveauet markant – også blandt medarbejdere med samme faglige profil.
Awareness‑træning, der underviser “alle over én kam”, rammer derfor næsten altid forbi målet.
Effektiv træning skal:
- Være relevant for medarbejderens konkrete rolle
- Tage udgangspunkt i virkelighedstro situationer
- Vise konsekvenserne i praksis – ikke kun i teorien
Mine egne erfaringer viser, at de bedste resultater opnås, når undervisningen kobles tæt til kerneopgaven og understøttes af interne ambassadører, som medarbejderne allerede har tillid til.
Central undervisning – men med plads til fortrolighed
Regulær sidemandsoplæring i compliance er sjældent holdbar. Reglerne risikerer at blive tilpasset, forenklet eller direkte omgået i praksis.
Derfor skal undervisningen være central, ensartet og styret. Men samtidig må vi erkende, at mange “unoder” kun kommer frem i trygge rammer, hvor medarbejderen tør stille spørgsmål og indrømme usikkerhed.
Det kræver bevidst design – og ledelsesmæssig prioritering.
Konklusion: Compliance starter på dag ét
Virksomheder med smalle marginer har sjældent råd til fejl. Samtidig er det ofte netop disse virksomheder, der omsætter for store beløb – og derfor er attraktive mål for kriminelle.
God onboarding er veldokumenteret som en væsentlig faktor for medarbejderens succes. Det gælder også – og måske især – inden for cybersecurity og compliance.
Spørgsmålet er derfor ikke, om virksomheden har råd til at investere i sikker onboarding?
Spørgsmålet er i virkeligheden, om virksomheden har råd til at lade være?
Et konkret første skridt
For mange organisationer er den største barriere ikke viljen, men usikkerheden om, hvor man reelt er mest sårbar.
Et godt første skridt er derfor at få foretaget en struktureret og uafhængig gennemgang af onboarding-processen – både teknisk og organisatorisk.
Mange vælger at tage fat i en ekstern aktør med specialiseret erfaring, som har prøvet det mange gange før. Det handler trods alt bare om at få designet en politik for personalesikkerhed og udforme nogle konkrete, prioriterede tiltag.
Nysgerrig på at læse mere – hop over på Mimer Cybersecuritys hjemmeside og læs meget mere om emnerne, der behandles her og andre samfunds- og virksomhedskritiske emner - klik hér.
Artikelbidrag af David Ulrik Kristiansen,
IT-sikkerhed og Compliance specialist at Mimer Cybersecurity
Interesseret i brancherelevante nyheder med kant?
Følg gerne med på bloggen for info om seneste tiltag indenfor specialiseret juridisk rekruttering, spændende nyheder, brancherelevante artikler og links til nyttig og essentiel viden om indenfor juraens verden – altid med aktuelle kildehenvisninger, så vi sammen kan bygge vores “vidensbank” op.
PBO Juridisk Rekruttering vil gerne medvirke til at give aktørerne i branchen ”en stemme” og mulighed for at debatere, influere og nuancere emner, belyse retsområder og retspraksis, informere om væsentlige tiltag og dele brancherelevante nyheder.
Indlæg kan være i form af personlige bidrag over diverse brancheaktuelle temaer, artikler om lovændringer (varslede eller aktualiserede) etc. Eneste faste forudsætning og krav er, at bidragene er relevante for det brede segment omkring juraen og finansøkonomien.
Artikler med sponsoreret indhold eller reklameformål bringes ikke.
Disclaimer | Common sense and knowledge
Holdninger, konklusioner, råd og dåd etc. i nærværende blogindlæg er ikke et udtryk for PBO Juridisk Rekrutterings officielle holdning og afspejler ikke nødvendigvis PBO Juridisk Rekrutterings holdning.
Indhold i blogindlægget er således et udtryk for forfatterens opfattelse og forpligter alene forfatteren, ikke PBO Juridisk Rekruttering.
PBO Juridisk Rekruttering kan således ikke holdes ansvarlig for, hvorledes oplysninger i blogindlægget anvendes.
