De fleste SMV’er opdager først, hvor skrøbelig deres digitale drift er, den dag noget går galt: en medarbejder sletter en mappe, et system går ned midt i en travl uge, eller et phishing-angreb låser adgangen til filer og mail.
Hvis du er virksomhedsejer eller operations-ansvarlig i en vækstfase, får du her en praktisk gennemgang af de fem mest oversete fejl, jeg ser igen og igen, når virksomheder skalerer deres digitale infrastruktur. Du får konkrete eksempler på konsekvenser (driftstop, datatab, GDPR-problemer) og en handlingsorienteret tjekliste, så du kan lukke hullerne, før de bliver dyre.
Tidligt en kort definition: Digital infrastruktur er summen af systemer, data, integrationer, adgangsstyring, enheder og processer, der får din forretning til at køre digitalt. Det betyder noget, fordi vækst typisk øger kompleksiteten hurtigere end kontrollen: flere værktøjer, flere brugere, flere integrationer og flere data gør fejl og angreb mere sandsynlige — og dyrere, når de rammer.
Hvorfor digital vækst ofte afslører svage led
Når en virksomhed går fra “vi har et par systemer” til “vi har et økosystem”, opstår der nye afhængigheder. Et simpelt eksempel: CRM’et trækker data fra webshoppen, som trækker lagerstatus fra ERP’et, som igen påvirker fakturering og kundeservice. Hvis én integration fejler, kan det ligne et “mystisk problem” i fronten, men roden ligger et helt andet sted.
Jeg ser ofte, at investeringerne går til synlige gevinster: nye dashboards, automatiseringer, AI-plugins og flere apps. Det er forståeligt, men farligt, hvis fundamentet ikke følger med. For mange SMV’er betyder det, at de først opdager manglende backup, uklare rettigheder eller fravær af beredskab, når de står i et reelt nedbrud.
Fejl 1: Man bygger ovenpå uden at sikre fundamentet
Den mest almindelige fejl er at prioritere nye værktøjer og integrationer, mens de grundlæggende kontroller halter. Det føles produktivt at “få flere features”, men hvis basisdiscipliner som adgangsstyring, patching, backup og logning ikke er på plads, øger hvert nyt system angrebsfladen og risikoen for driftsstop.
Symptomerne du kan genkende
- Der er ingen fælles standard for brugerkonti, rettigheder og offboarding.
- Data ligger spredt i personlige drev, delte mapper og SaaS-systemer uden overblik.
- Backup er “noget vi har”, men ingen ved præcis hvad der er dækket, og hvor hurtigt det kan gendannes.
- Integrationer er bygget ad hoc af forskellige personer/leverandører uden dokumentation.
- Opdateringer og sikkerhedspatches sker, når nogen “lige får tid”.
Hvad det koster i praksis
Omkostningen er sjældent kun en IT-regning. Den reelle pris er tabt omsætning, spildt arbejdstid og kundetillid. Et driftstop på en halv dag kan for en mindre webshop betyde mistede ordrer, men for en B2B-virksomhed kan det betyde forsinkede leverancer, brud på SLA’er og ekstra pres på support. Og når datagrundlaget er rodet, bliver automatiseringer upålidelige: du ender med at bruge tid på at rette fejl, som teknologien skulle have fjernet.
Fejl 2: Backup og gendannelse behandles som en formalitet
Mange SMV’er har “en backup”, men mangler en plan for gendannelse. Det er her, forskellen mellem tryghed og falsk tryghed opstår. Backup uden testet restore er som en brandslukker, du aldrig har tjekket for tryk.
Midt i væksten er det typisk her, jeg anbefaler at få de basale kontroller på plads — herunder en struktureret tilgang til IT-sikkerhed og backup — før man bygger videre med flere systemer og integrationer.
De to tal, der afgør om du kan komme tilbage
Hvis du vil gøre det konkret, så styr efter to nøgletal:
- RPO (Recovery Point Objective): hvor meget data må du maksimalt miste? (fx 1 time, 24 timer)
- RTO (Recovery Time Objective): hvor hurtigt skal du være i drift igen? (fx 4 timer, 1 dag)
En virksomhed kan ofte leve med at miste 1–2 timers e-mails, men ikke en dags ordredata. Omvendt kan nogle godt tåle, at et internt arkiv er nede i 24 timer, men ikke at fakturering stopper. Pointen er, at RPO/RTO skal besluttes pr. system og pr. datatypen — ikke som en generel “vi tager backup hver nat”.
Typiske faldgruber ved backup i SMV’er
- Man tror, at SaaS automatisk dækker ens behov: “Microsoft/Google har jo backup” (de har høj oppetid, men det er ikke det samme som din gendannelsesplan).
- Man har backup, men ingen adgang til at gendanne uden en bestemt person.
- Man har ikke styr på versionshistorik, retention og hvad der sker ved kryptering/ransomware.
- Restore er aldrig testet, så man opdager først fejl under pres.
Fejl 3: Adgangsstyring og roller vokser tilfældigt
Når teamet vokser, vokser antallet af brugere, eksterne samarbejdspartnere og midlertidige adgange. Hvis adgangsstyring ikke er en disciplin, ender du med “rettigheds-gæld”: folk har adgang til mere, end de behøver, og gamle konti bliver hængende.
Hvorfor det bliver et sikkerheds- og driftsproblem
Det handler ikke kun om hacking. Det handler også om menneskelige fejl. Hvis en medarbejder med for brede rettigheder kommer til at slette, overskrive eller eksportere data forkert, kan skaden være lige så alvorlig som et angreb. Samtidig bliver fejlsøgning sværere: når “alle kan alt”, er det uklart, hvem der ændrede hvad.
Best practice, der kan implementeres uden enterprise-budget
- Indfør least privilege: giv kun adgang til det, der er nødvendigt for rollen.
- Brug MFA/2FA konsekvent, især for admin-konti og mail.
- Lav en fast proces for onboarding/offboarding samme dag, som ansættelsen starter/slutter.
- Adskil admin-konti fra daglige bruger-konti, så admin ikke bruges til e-mail og browsing.
- Gennemfør kvartalsvis adgangsreview: hvem har adgang til hvad, og hvorfor.
Det tager typisk færre timer, end man tror, hvis man starter med de mest kritiske systemer: mail, filadgang, økonomi og CRM.
Fejl 4: Integrationer og automatiseringer bliver “sort magi”
Integrationer er ofte det, der gør digitalisering rentabel: mindre manuelt arbejde, færre fejl og hurtigere flow. Men når integrationer bygges hurtigt (Zapier, Make, plugins, API-scripts), uden dokumentation og ejerskab, bliver de en skjult risiko.
Konsekvensen: stille fejl og forkerte beslutninger
De farligste fejl larmer ikke. Et eksempel fra praksis: en integration, der stopper med at overføre “kunde-status” til CRM’et efter en API-ændring. Salgsteamet tror, at pipeline er sund, men i virkeligheden mangler opdateringer. Efter en måned er forecast misvisende, og man træffer beslutninger på et forkert grundlag. Det er ikke et “IT-problem” — det er et forretningsproblem.
Sådan gør du integrationer robuste
- Udpeg en ejer pr. integration: hvem har ansvar for drift, ændringer og kontakt til leverandør.
- Dokumentér dataflow: hvilke felter går hvorhen, og hvad er “source of truth”.
- Tilføj overvågning/alarmer: en simpel mail/Slack-notifikation ved fejl kan spare dage.
- Planlæg ændringer: når systemer opdateres, skal integrationer testes.
Fejl 5: Man undervurderer GDPR og compliance i skaleringsfasen
GDPR bliver ofte behandlet som papirarbejde, men i vækstfasen bliver det en praktisk disciplin: hvor ligger persondata, hvem har adgang, hvor længe opbevarer I det, og hvordan sletter I det? Når data flytter mellem systemer, bliver det hurtigt uigennemskueligt.
En klassisk udfordring er, at marketingværktøjer, supportplatforme og CRM alle indeholder personoplysninger, men ingen har et samlet overblik. Hvis en kunde beder om indsigt eller sletning, kan det blive tidskrævende og fejlbehæftet. Og ved et brud på persondatasikkerheden kan tidsfrister og dokumentationskrav presse en organisation, der i forvejen er i krisehåndtering.
Praktiske greb, der reducerer risiko
- Lav et simpelt datakort: hvilke systemer indeholder hvilke typer persondata.
- Afklar behandlingsgrundlag og opbevaringsperioder for de vigtigste datatyper.
- Sørg for databehandleraftaler, hvor det er relevant (typisk SaaS-leverandører).
- Definér en procedure for brud: hvem gør hvad, og hvordan dokumenterer I hændelsen.
Hvad koster det at gøre det rigtigt?
Det mest ærlige svar er: det afhænger af kompleksitet, branchekrav og hvor “rodede” tingene er i dag. Men for mange SMV’er er de første, store gevinster ikke dyre licenser — det er struktur og beslutninger.
Typisk kan du komme langt med en kombination af:
- 1–2 workshops for at fastlægge RPO/RTO, kritiske systemer og ejerskab.
- Oprydning i adgangsstyring og MFA, som ofte er mere proces end indkøb.
- En backup- og restore-plan med faste test (fx kvartalsvis).
- Basal overvågning på de vigtigste integrationer og systemer.
Hvis du vil have en tommelfingerregel: Når en virksomhed går fra 10 til 30 ansatte, stiger behovet for formaliserede processer markant, fordi den uformelle viden (“spørg bare Martin”) ikke skalerer. Det er ofte her, en investering i struktur giver den højeste ROI, fordi den reducerer både driftsstop og spildtid.
Tjekliste: Luk hullerne før du investerer i næste værktøj
Brug listen som et “operations-filter”, før du siger ja til endnu et system eller en ny integration. Hvis du ikke kan svare rimeligt klart på punkterne, er der sandsynligvis et fundament, der skal styrkes først.
- Har vi defineret vores kritiske systemer og afhængigheder (hvad stopper forretningen)?
- Har vi besluttet RPO/RTO pr. kritisk system, og matcher det vores backup-setup?
- Har vi testet restore inden for de sidste 90 dage for mindst ét kritisk scenarie?
- Har vi MFA på mail og admin-konti, og en proces for onboarding/offboarding samme dag?
- Ved vi, hvem der ejer hver integration, og har vi alarmer ved fejl?
- Har vi et datakort for persondata og en procedure for indsigts-/sletteanmodninger?
- Har vi en enkel incident-procedure: hvem kontakter hvem, og hvor dokumenterer vi?
Det er ikke et mål at være “perfekt”. Målet er at være forberedt, så en fejl eller et angreb bliver en kontrolleret hændelse i stedet for en forretningskritisk overraskelse.
