Det finns ett ögonblick i många organisationer där frustrationen når sin topp. Säkerhetsteamet har gjort allt “rätt”. Processer finns på plats, verktygen är införda och rapporterna skickas som de ska. Ändå händer… ingenting.
I ett webbinarie delar Petra Jonsson ett sådant exempel. Ett team satt på hundratusentals identifierade sårbarheter. Kompetensen var hög och verktygen höll toppklass. Men åtgärderna uteblev. Känslan var tydlig: kommunikationen nådde inte fram.
Det som till slut förändrade situationen var inte ny teknik eller fler resurser, utan ett skifte i synsätt. Teamet började ifrågasätta sin egen roll i kommunikationen.
Det är avsändarens ansvar att mottagaren förstår kommunikationen.
Sex månader senare hade åtgärdstakten ökat med 30 procent.
När kommunikation faktiskt mäts i effekt
Det är här begreppet “good enough” blir relevant. Det handlar inte om att göra mindre, utan om att fokusera på det som faktiskt fungerar i praktiken.
En avgörande insikt är att kommunikation inte kan mätas i antal utskick eller producerade dokument. Det enda som egentligen räknas är vad som händer efteråt.
Informationen är kommunicerad först när mottagaren har tagit den till sig och förstått.
Trots att det låter självklart, arbetar många organisationer fortfarande som om jobbet är klart när informationen har skickats.
Men mottagaren befinner sig någon annanstans. I en vardag fylld av möten, deadlines och leveranser – där säkerhet sällan är högsta prioritet.
Mottagaren lever i en annan värld… då känns säkerhet långt bort från den verkligheten.
Det är ofta här strategier faller. Inte för att de är fel, utan för att de inte är relevanta i stunden.
Från information till beteende
En “good enough”-strategi tar avstamp i just detta glapp. Den fokuserar mindre på att informera och mer på att göra säkerhet begriplig, konkret och möjlig att agera på i vardagen.
För även om människor vet vad de borde göra, innebär det inte att de faktiskt gör det.
Kunskap leder inte automatiskt till rätt beteende.
Vardagen är redan full, och säkerhet konkurrerar med sådant som upplevs som mer akut eller som faktiskt mäts och följs upp. Därför kan en fungerande strategi inte bygga på att människor ska anstränga sig mer. Den måste istället göra det enklare att göra rätt. En vanlig fallgrop är att börja i policy. Resultatet blir ofta genomarbetade dokument som är korrekta – men som inte får genomslag i praktiken.
En mer effektiv väg är att börja i beteende. Vad behöver en medarbetare göra i en konkret situation?
Det kan till exempel handla om att:
- rapportera ett misstänkt mejl
- använda MFA
- hantera information på rätt sätt
Små handlingar – men med stor samlad effekt.
Vad innebär “good enough” i praktiken?
Hur säkerhet beskrivs spelar också stor roll. När fokus enbart ligger på risker och hot upplevs det lätt som ett hinder. Men om säkerhet istället kopplas till sådant som verksamheten redan värderar – som stabil leverans, effektivitet och förtroende – blir det något som stödjer snarare än bromsar.
Till sist handlar det om uthållighet.
Många organisationer satsar i punktinsatser: en kampanj, en utbildning eller ett utskick. Sedan går man vidare. Men beteenden förändras inte över en natt.
Det som fungerar är konsekvens över tid. Inte perfektion, och inte stora satsningar – utan en jämn närvaro.
En “good enough”-strategi:
- utgår från mottagarens verklighet
- fokuserar på beteenden, inte information
- gör det enkelt att göra rätt
- håller över tid
Inte för att den är perfekt – utan för att den fungerar.
