2026-02-25
Vad gör en Säkerhetsanalytiker?
En säkerhetsanalytiker fungerar som den digitala världens detektiv och brandman i ett – uppdraget är att upptäcka, analysera och stoppa cyberhot innan de skadar verksamheten. Du arbetar ofta i ett Security Operations Center (SOC) tillsammans med andra specialister, nätverkstekniker och incidentledare för att skydda företagets mest kritiska data. Det är ett yrke där ingen dag är den andra lik, eftersom hotbilden förändras lika snabbt som tekniken utvecklas.
Innehållsförteckning
Så ser vardagen ut
En stor del av arbetstiden går åt till att sortera och bedöma larm från övervakningssystem, medan den proaktiva jakten på dolda hot – så kallad "threat hunting" – tar mer tid och kreativitet än många tror.
Visste du?
Den genomsnittliga tiden det tar för ett företag att upptäcka ett dataintrång (så kallad "dwell time") har historiskt legat på över 200 dagar, men tack vare skickliga säkerhetsanalytiker och AI sjunker den siffran snabbt. Jobbet handlar alltså ofta om en kapplöpning mot tiden för att hitta inkräktaren som redan tagit sig in men ännu inte gjort skada.
Konkreta arbetsuppgifter
Övervakning och larmhantering (Triage)
Hjärtat i arbetet är övervakningen. Du sitter ofta med flera skärmar som visar realtidsdata från företagets nätverk, servrar och molntjänster. Systemen genererar tusentals loggar varje dag, och din uppgift är att filtrera bruset.
Det handlar om att snabbt avgöra: Är det här ett falskt larm, en felkonfiguration eller en faktisk attack? Denna första bedömning, triage, är kritisk för att teamet ska lägga resurser på rätt saker.
Exempel i vardagen:
Ett larm går om en inloggning från Nordkorea på en säljares konto. Du kontrollerar snabbt säljarens kalender och ser att hen är på semester i Thailand, inte Pyongyang. Du ser också att inloggningen misslyckades. Du flaggar kontot för extra bevakning och noterar händelsen som ett automatiskt intrångsförsök, men ingen akut åtgärd krävs just nu.
Incidenthantering (Incident Response)
När ett hot bedöms som verkligt övergår arbetet till incidenthantering. Nu gäller det att agera snabbt och kirurgiskt. Du måste isolera den smittade datorn eller stänga av den komprometterade tjänsten för att förhindra spridning.
Samtidigt måste du säkra bevis. Du dokumenterar exakt vad angriparen gjorde, vilka filer som rördes och vilken skadlig kod som användes. Det är ett intensivt problemlösande under tidspress.
Exempel i vardagen:
En anställd ringer och säger att muspekaren rör sig av sig själv och filer byter namn. Du inser direkt att det rör sig om en pågående ransomware-attack. Du kopplar omedelbart bort enheten från nätverket via administrationsverktyget, låser användarkontot och startar en analys av hur skadeprogrammet kom in – var det ett mail eller en USB-sticka?
Sårbarhetsanalys och skanning
För att slippa släcka bränder jobbar du också förebyggande. Du använder automatiserade verktyg för att skanna nätverket efter svagheter, till exempel servrar som saknar de senaste säkerhetsuppdateringarna eller lösenord som är för enkla.
När verktyget spottar ur sig en lista på hundratals sårbarheter är det ditt jobb att prioritera. Vilka hål måste täppas till idag, och vilka kan vänta till nästa servicefönster?
Exempel i vardagen:
Inför lanseringen av en ny kundportal kör du en sårbarhetsskanning. Rapporten visar rött: portalen använder en version av Java som har ett känt säkerhetshål. Du kontaktar utvecklingsteamet, förklarar risken att hackare kan ta över servern, och vägrar godkänna lanseringen ("Go-live") förrän hålet är lagat.
Threat Intelligence (Omvärldsbevakning)
En säkerhetsanalytiker måste känna sin fiende. Du läser rapporter om nya hackergrupper, analyserar nya typer av virus och håller koll på vilka tekniker som används mot andra företag i samma bransch.
Informationen används för att härda de egna systemen. Om en konkurrent drabbats av en specifik typ av nätfiske, ställer du om era filter för att stoppa just den typen av mail.
Exempel i vardagen:
Du läser en rapport om att en hackergrupp börjat utnyttja en specifik funktion i PDF-filer för att sprida virus. Du går tillbaka till era loggar för att se om någon i organisationen har öppnat sådana filer den senaste veckan, och föreslår sedan en regeländring i brandväggen som blockerar den specifika koden.
Rapportering och rådgivning
Tekniska analyser måste översättas till språk som ledningen förstår. Du skriver rapporter som förklarar vad som hänt, varför det hände och vad det kostar att fixa det.
Det handlar inte bara om att skriva dokument, utan om att utbilda kollegor. Varför får man inte återanvända lösenord? Varför måste vi ha tvåfaktorsinloggning? Du är experten som motiverar obekväma säkerhetskrav.
Exempel i vardagen:
Efter en lyckad hantering av ett virusutbrott sammanställer du en "Lessons Learned"-rapport. Istället för att bara lista IP-adresser skriver du en sammanfattning till IT-chefen: "Vi stoppade attacken på 40 minuter, men om vi hade haft bättre loggning på våra skrivare hade vi upptäckt det på 5 minuter."
Specialisering och fördjupning
Inom IT-säkerhet är bredden stor, men djupet är oändligt. Många väljer efter några år att nischa sig mot specifika delar av försvarsarbetet.
SOC-analytiker (Blue Team)
Detta är ofta ingången i yrket men också en djup specialisering. Fokus ligger helt på det defensiva arbetet: övervakning, detektion och att utreda larm. Du blir expert på att tolka nätverkstrafik och se mönster som andra missar i enorma datamängder.
Incident Responder (CSIRT)
När katastrofen är ett faktum kallas dessa specialister in. Arbetsuppgifterna liknar digital brottsplatsundersökning (forensik). Du arbetar ofta under hög press vid dataintrång för att säkra bevis, kasta ut angriparen och återställa systemen till säkert läge.
Threat Hunter
Istället för att vänta på att ett larm ska gå, letar denna specialist aktivt efter hot som *inte* har upptäckts. Genom att utgå från hypoteser ("tänk om vi redan är hackade via vår leverantör?") gräver du djupt i systemen för att hitta spår av avancerade angripare som ligger och trycker.
Hur arbetsuppgifterna förändras med erfarenhet
Nivå | Typiska arbetsuppgifter |
|---|---|
Junior (Tier 1) | Fokuserar på triage: tar emot larm, sorterar bort falska positiva och eskalerar svårare fall. Följer strikta manualer (playbooks) för vanliga incidenter. |
Senior (Tier 2/3) | Tar över komplexa incidenter som kräver djupare analys. Arbetar med threat hunting och anpassar säkerhetssystemen. Handleder juniora kollegor. |
Lead / Arkitekt | Designar säkerhetsarkitekturen och väljer vilka verktyg som ska köpas in. Arbetar strategiskt med att bygga upp försvaret och kommunicerar risker till ledningsgruppen. |
Röster från yrket
I en intervju med Voister beskriver Marcus Murray, en av Sveriges mest kända säkerhetsexperter, vikten av att förstå motståndaren:
Du måste förstå hur angriparna tänker och arbetar. Det handlar inte bara om teknik, utan om psykologi och strategi.
— Marcus Murray, Säkerhetsexpert, Voister, 2021
Anne-Marie Eklund Löwinder, tidigare säkerhetschef på Internetstiftelsen, lyfter i en intervju med Ny Teknik fram att yrket handlar om mer än bara kod:
Säkerhet är en färskvara. Det du kunde igår kanske inte är värt något i morgon. Det krävs ett ständigt lärande och en nyfikenhet.
— Anne-Marie Eklund Löwinder, IT-säkerhetsexpert, Ny Teknik, 2021
Mer om yrket – Säkerhetsanalytiker
70 000
Så stort beräknas underskottet på personer med rätt IT-kompetens vara i Sverige år 2024, enligt rapporten från TechSverige. Inom just cybersäkerhet är bristen särskilt akut, vilket gör arbetsmarknaden extremt god för utbildade analytiker.
AI är både vän och fiende. För en säkerhetsanalytiker har AI förändrat spelplanen totalt. Tidigare lade analytiker timmar på att manuellt läsa loggar. Idag gör AI grovjobbet och flaggar avvikelser, vilket frigör tid för analytikern att lösa de riktigt kluriga fallen. Samtidigt använder hackers AI för att skriva bättre phishing-mail och kod, vilket gör att arbetsuppgifterna ständigt utvecklas mot mer avancerad problemlösning.
Vad folk tror
Att jobbet innebär att sitta i en mörk källare med en luvtröja och skriva kod snabbt för att "hacka tillbaka".
Hur det faktiskt ser ut
Det är ett socialt och analytiskt arbete. Du samarbetar tätt med nätverkstekniker, utvecklare och chefer. Mycket handlar om att lägga pussel, dokumentera noggrant och kommunicera risker på ett pedagogiskt sätt.
Branschskifte: Från "nej-sägare" till möjliggörare. För tio år sedan var säkerhetsavdelningens uppgift ofta att stoppa nya riskfyllda projekt. Idag är arbetsuppgiften snarare att hitta säkra sätt att genomföra dem. Säkerhetsanalytikern är med tidigt i projekt för att bygga in säkerhet från början ("Security by Design"), vilket gör rollen mer kreativ och integrerad i verksamheten än någonsin tidigare.
Vanliga frågor
En säkerhetsanalytiker fungerar som en digital detektiv och brandman vars uppdrag är att upptäcka, analysera och stoppa cyberhot innan de skadar verksamheten. Arbetet innebär ofta att arbeta i ett Security Operations Center (SOC) för att skydda kritiska data och system.
Vanliga arbetsuppgifter inkluderar övervakning och larmhantering (triage), incidenthantering för att stoppa pågående attacker, sårbarhetsanalys, omvärldsbevakning (threat intelligence) samt att rapportera risker och ge rådgivning till ledningen.
Juniora analytiker (Tier 1) fokuserar främst på triage, vilket innebär att ta emot och sortera larm. Seniora analytiker (Tier 2/3) hanterar mer komplexa incidenter som kräver djupare analys, arbetar med proaktiv 'threat hunting' och handleder ofta sina juniora kollegor.
Arbetsmarknaden är extremt god. Enligt rapporter från TechSverige saknas det 70 000 personer inom IT-sektorn fram till 2024, och bristen på kompetens inom just cybersäkerhet beskrivs som särskilt akut.
Rekryteringsspecialist
Anna Fredriksson
