Det er sjældent af ond vilje, at dine kolleger ikke overholder jeres sikkerhedspolitiker. Det er ikke for at give IT-afdelingen ekstra arbejde, at medarbejderne klikker på links i phishing-mails eller downloader programmer fra obskure sider.
For mange af dine kolleger opstår den uhensigtsmæssige adfærd fordi, de ikke forstår sammenhængene i jeres IT-system. For mange ikke-tekniske medarbejdere er IT en stor, grå sky, som ”nogle andre tager sig af”.
En sikkerhedspræsentation er ikke nok
Som IT-ansvarlig er det dit ansvar, at alle dine kolleger forstår, hvordan og hvorfor de skal hjælpe med at sikre din organisations informationssikkerhed.
I mange organisationer udføres dette ansvar ved, at IT-chefen stiller sig op foran medarbejderne med 54 PowerPoint-slides fyldt med punkter, statistikker og forkortelser, som det i virkeligheden kun er dataloger, der forstår.
Tro det eller lad være: denne metode er ikke specielt effektiv.
Forklar IT-sikkerhed med folks egne ord
Når du skal forklare informations- og datasikkerhed, så gælder de samme principper, som når en forsker skal forklare sin forskning ved en familiemiddag.
Det handler om tre ting:
- At gøre emnet relevant for modtageren
- At beslutte sig for hovedbudskabet
- At danne huskværdige billeder hos modtageren.
Disse tre ting er essentielle for, at dit budskab når igennem al støjen.
#1 Hvorfor vil du lære om IT-sikkerhed?
Når du skal forklare IT-sikkerhedshensyn for dine kolleger, er det første skridt at spørge, hvorfor IT-sikkerhed er vigtig for dem. Det er ikke nok at stille spørgsmålet til dig selv. Du skal rent faktisk spørge medarbejderne.
Træk en håndfuld medarbejdere til side og spørg dem, hvorfor IT-sikkerhed er vigtigt i deres arbejde. Husk at spørge kolleger fra forskellige funktioner og afdelinger.
Når du har talt med medarbejderne uden for IT-afdelingen, så ved du, hvilke historier og eksempler, du skal trække frem, når du skal præsentere sikkerhedsprocedurerne for resten af organisationen.
#2 Beslut dig for et hovedbudskab
Der er altid en prioritering af risici. Du ved godt hvilke trusler, der er størst, og hvilke fælder, dine kolleger oftest falder i.
Derfor ved du også hvilke sikkerhedsforanstaltninger, det er vigtigst, at dine kolleger husker. Er det vigtigste at låse computeren, når man forlader den, eller er det at slette mails fra ukendte afsendere?
Når du skal formidle sikkerhedsforanstaltningerne til medarbejderne, skal du have denne prioritering i baghovedet. Spørg dig selv: ”Hvis folk kun husker én ting, hvad skal det så være?””.
Når du selv har svaret på det spørgsmål, så fokuser al din kommunikation mod dette mål. Forklar det igen og igen og igen. Og på nye måder, igen og igen.
Hvis du kan få medarbejderne til at fange bare ét budskab, så vil du opleve, at de ikke bare husker det – deres øgede opmærksomhed på IT-sikkerheden vil have ”spillover-effekt” på andre sikkerhedsområder.
#3 Dan mentale billeder
Det er ikke kun IT-sikkerhed, der er svært for ikke-tekniske medarbejdere at forstå. Som regel er der tale om en generelt manglende forståelse af IT. Det betyder også, at udgangspunktet for, hvilke IT-begreber dine kolleger forstår, er langt lavere end du regner med.
Som med alle andre komplekse emner, kan det derfor være en fordel at forklare sig via metaforer, altså billedsprog. Omdan den komplekse og uhåndgribelige viden til konkrete ting. Metaforer er nemlig yderst anvendelige, når du skal forklare noget abstrakt, altså noget som man ikke direkte kan sanse.
Når du taler om IT-sikkerhed, så prøv at forklare det som om, det er tyverisikring af et hus:
- Lås din hoveddør, når du forlader dit hus = lås din computer, når du går fra den
- Køb ikke fra fremmede dørsælgere = klik ikke på links fra folk, du ikke kender
- Når husets låse er rustne og ikke virker, så får du den skiftet med det samme = få opdateret din software for at lukke sikkerhedshuller
- Du bliver vaccineret, inden du tager på rejse = opdater dit antivirusprogram, inden du går på nettet.
Ved at bruge billeder og situationer, som dine kolleger nemt kan relatere sig til, er det meget nemmere for dem at forstå, hvorfor IT-sikkerhed er vigtigt. Så næste gang du skal introducere medarbejderne for en ny sikkerhedsprocedure eller sikkerhedsforanstaltning, så husk på, at det nok kun er IT-medarbejdere, der forstår dit fagsprog. Spørg dine kolleger, hvorfor IT-sikkerhed er relevant for dem, bestem dig for en hovedpointe, og omdan fagsprog til sprogbilleder, som medarbejderne kan genkende.