Rollbeskrivning: HR (Den Interna Grindvakten)

Välkommen till The Security Games

Du spelar rollen som HR vid Svenska Fintech Banken (SFB). Du är bankens grindvakt: du bestämmer vem som kommer in, vem som stannar och vem som lämnar. Det gör dig till en av de mest strategiskt känsliga funktionerna i hela organisationen – för varje anställd du rekryterar kan vara en framtida insider-hot, och varje anställd som lämnar tar med sig känslig information ut genom dörren.

1. Målsättning och Motivation

Din värld handlar om människor. Du rekryterar, onboardar, hanterar personalkonflikter, administrerar bakgrundskontroller och ser till att arbetsrätten följs. I din ideal-värld är du en strategisk partner som bygger organisationens kultur och kompetens.

Motivation: Att rekrytera rätt kompetens snabbt och effektivt. Att säkerställa att organisationen har en sund arbetskultur och att medarbetare trivs och presterar. Du vill aldrig vara den som "missed a red flag" vid en anställning.
Affärsmål: Fylla alla vakanser inom 30 dagar. Hålla personalomsättningen under 8%. Se till att de obligatoriska utbildningarna (säkerhet, compliance, GDPR) genomförs av 100% av personalen.
Skräckscenario: Att du anställt en person vars CV visade sig vara fabricerat – och den personen hade i verkligheten rekryterats av en utländsk underrättelsetjänst för att agera insider. Eller att en missnöjd anställd som du hanterade i ett uppsägningsärende redan hade kopierat hela kunddatabasen till en USB innan avskedet genomfördes.

2. Förmågor och Begränsningar

Förmåga: Organisationskunskap. Du vet exakt vem som jobbar med vad, vilka som har vilka behörigheter, vem som är sjukskriven och vem som nyligen fått en varning. Detta är guldgruveinformation för en social engineer – och du måste vakta den med ditt liv.
Förmåga: Onboarding & Offboarding. Du styr processerna för att ge och ta bort åtkomst. Vid en nyanställning skapar du konton. Vid en uppsägning ska du se till att alla systemåtkomster stängs, passerkort samlas in och att inga dataläckor sker. Missar du detta öppnar du en bakdörr.
Förmåga: Kulturellt Inflytande. Du kan driva igenom obligatoriska säkerhetsutbildningar, phishing-tester och en "Security-first"-kultur. Eller så prioriterar du trivselinitiativ och teambuilding framför "tråkiga" säkerhetsworkshops.
Begränsning: Inga tekniska verktyg. Du ser inte loggfiler, brandväggsdata eller nätverkstrafik. Du vet inte om personen du anställde laddar ner hela kunddatabasen vid midnatt – det är IT:s radar, inte din.
Begränsning: Sekretess. Du hanterar känsliga personuppgifter (sjukfrånvaro, löner, disciplinärenden). Om angriparna får tag i HR-systemet har de underlag för massiv utpressning och social engineering mot enskilda anställda.

3. Inbyggda Konflikter

Mot IT / First Line: IT kräver att du omedelbart stänger av alla konton och accesser vid uppsägning. Du har arbetsrättsliga processer som tar tid: "Vi kan inte bara stänga av hens e-post mitt i en förhandling med facket!" Konflikten: IT vill snabbhet, du vill laglig korrekthet.
Mot Ledningen/Management: Ledningen pressar dig att anställa snabbt ("Vi har tre vakanser på SOC som kostar oss 2 miljoner per dag i OB-tillägg!"). Du vill göra en grundlig bakgrundskontroll. De vill att personen börjar på måndag.
Mot Kundtjänst: Kundtjänst kräver fler anställda, bättre utbildning, och mindre stress. Du hanterar deras klagomål och personalomsättning. Om du inte säkerställer att nyrekryterade Kundtjänst-medarbetare får säkerhetsutbildning i onboardingen, är det du som skapat den svagaste länken.
Mot Second Line/Legal: Legal kräver att du genomför bakgrundskontroller som ibland gränsar till integritetsintrång. DPO påminner dig om att du inte får googla kandidater på ett visst sätt. Konflikten: säkerhet vs. personlig integritet.

4. Hur man spelar rollen trovärdigt

Varna för insider-hotet: Du är den som bör vara mest paranoid om insiders. Vid bordet: nämn ständigt att "den billigaste vägen in för en angripare är att rekrytera en av våra egna." Citera verkligheten: Lapsus$-hackergruppen rekryterade insiders via Telegram.
Skydda din data: HR-systemet innehåller allting en angripare behöver för att bygga perfekta phishing-kampanjer (namn, roller, chefer, sjukfrånvaro). Spela ut denna rädsla: "Om de kommer åt HR-systemet vet de exakt vilka som är nya, vilka som har besvärliga chefer och vilka som är missnöjda. De kan bygga en skräddarsydd attack mot varje enskild person."
Hantera uppsägningen som en krigs-operativ: När Spelledaren eller management meddelar att en anställd ska avskedas, agera kirurgiskt. Koordinera med IT: "Vi stänger hans badge, hans laptop och hans VPN-åtkomst exakt kl 14:00 i samma sekund som han sitter ner i mötet. Inte en minut innan, inte en minut efter."
Kämpa om budgeten för utbildning: Säg ständigt till Ledningen: "Varje krona vi inte lägger på säkerhetsutbildning är en krona vi lägger på framtida incidenthantering."

Du äger nyckeln till organisationens mest känsliga tillgång: människorna. Skydda dem rätt, och de blir ditt starkaste försvar. Misslyckas du, och du har skapat angriparens favorit-inkörsport.