Det finns en återkommande frustration i organisationer som jobbar med cybersäkerhet. Man har lagt tid på utbildningar, skickat ut information och byggt policyer – men ser ändå inte den beteendeförändring man hoppats på.
I ett webbinarie med Petra Jonsson lyfts just den här utmaningen – och varför många organisationer fastnar trots goda intentioner.
Det är lätt att dra slutsatsen att problemet ligger hos människor. Att de inte förstår, inte bryr sig eller inte prioriterar rätt.
Men det är ofta en missvisande bild.
Människor gör sällan saker för att sabotera… de anpassar sig och löser problem.
Det vi tolkar som fel beteende är i många fall rationella beslut i en pressad vardag. Människor gör det som fungerar här och nu – inte det som står i ett dokument.
Sluta leta fel hos individen
En av de viktigaste insikterna från webbinariet är att skifta fokus från individ till system.
När någon klickar på en phishing-länk är det lätt att fråga varför personen gjorde fel. Men den frågan leder sällan framåt.
En mycket bättre fråga är vad i situationen som gjorde det här till det rimligaste valet just då.
Det förändrar perspektivet. Om valet var rimligt i stunden, då handlar problemet inte om okunskap – utan om förutsättningarna runt omkring.
Det leder vidare till en central insikt: människor följer inte policyer i första hand. De följer den verklighet de arbetar i.
Därför faller strategier i praktiken
Många strategier bygger på hur vi vill att människor ska agera, snarare än hur de faktiskt gör.
I verkligheten fattas beslut snabbt, ofta under tidspress och med begränsad information. Om säkerhet upplevs som krångligt, otydligt eller tidskrävande, prioriteras det bort.
Om säkerhet upplevs som krångligt… så kommer det väldigt ofta att prioriteras bort.
Det handlar inte om ovilja, utan om prioriteringar i en redan pressad vardag.
Här blir det tydligt varför information i sig sällan räcker. Att människor vet vad de borde göra betyder inte att det händer i praktiken.
Vi tänker att nu har vi informerat och då är det klart… men så funkar det ju sällan.
För att ett beteende ska förändras krävs mer än kunskap. Det måste också vara möjligt att agera – och kännas relevant.
Från budskap till beteende
Det här är ytterligare en återkommande poäng från webbinariet: kommunikationen behöver utgå från mottagaren.
Olika delar av organisationen drivs av olika logiker:
- Ledningen fokuserar på risk och affär
- Verksamheten på leverans och tempo
- IT på system och teknik
När samma budskap skickas till alla riskerar det att inte träffa någon.
Samtidigt saknas ofta en avgörande komponent: varför det spelar roll. Många budskap beskriver vad som ska göras, men inte varför det är viktigt just nu.
Utan tydlig relevans blir det svårt att prioritera.
Börja i rätt ände
En konkret rekommendation från webbinariet är att planera baklänges. Istället för att börja med kommunikationen, börjar man med effekten man vill uppnå.
- Vad vill vi förändra?
- Vilket beteende krävs?
- Vad behöver vara sant för att det ska hända?
- Och först därefter: vad behöver vi kommunicera?
Det är ett enkelt skifte, men det förändrar hela angreppssättet.
Därför avgörs allt i praktiken
Till sist handlar mycket om friktion.
Många strategier faller inte på innehåll, utan på hur det fungerar i vardagen. Om det tar för lång tid att göra rätt, eller om systemen inte fungerar smidigt i stressade situationer, kommer människor att hitta andra vägar.
Det är därför en fungerande strategi alltid testas i verkligheten – inte bara i teorin.
Och kanske är det här den viktigaste insikten från webbinariet med Petra Jonsson:
Vi måste… översätta säkerhet till ett språk som folk faktiskt fattar.
Det låter enkelt. Men det kräver ett annat sätt att se på kommunikation.
Inte som informationsspridning – utan som beteendedesign.
