Det finns en verklighet som de flesta säkerhetsansvariga känner igen. Riskanalysen är genomförd. Hotbilden är dokumenterad. Åtgärdsförslagen ligger klara. Och ändå händer ingenting.
Inte för att ledningen är ointresserad. Utan för att budskapet aldrig landade. Det försvann i bruset av andra beslutsunderlag, andra prioriteringar, andra språk.
Det här är inte ett kommunikationsproblem i marginalen. Det är ett styrproblem i kärnan.
Översättning räcker inte
Den vanligaste rekommendationen till säkerhetsansvariga som vill nå sin ledning är att “översätta tekniskt språk till affärsspråk”. Det låter rimligt. Men det är bara halva sanningen.
Översättning löser problemet att mottagaren inte förstår orden. Men det löser inte problemet att mottagaren saknar grund att fatta beslut.
En CFO som hör “vi behöver uppgradera vår endpoint-detection” och förstår att det handlar om skydd mot intrång har fortfarande ingen grund att säga ja eller nej. Vad kostar det att inte göra det? Hur stor är sannolikheten? Vad är den förväntade förlusten?
Utan de siffrorna blir cybersäkerhet en kostnad att minimera, inte en investering att motivera. Och kostnader flyttas alltid nedåt på prioriteringslistan.
Det räcker inte att ledningen förstår vad du säger. De behöver förstå vad det kostar att inte agera, i kronor, i sannolikhet och i affärspåverkan.
Tre rum, tre språk
En organisation har inte en mottagare. Den har hundratals. Och de befinner sig i fundamentalt olika verkligheter. Det som fungerar i ett möte med IT-avdelningen fungerar inte i ledningsgruppen. Det som fungerar i ledningsgruppen fungerar inte på kontoret.
Ledningsrummet: beslut kräver underlag
Ledningsgrupper och styrelser fattar beslut baserat på risk, kostnad och affärskonsekvens. De är vana vid att väga investeringar mot avkastning och att prioritera mellan konkurrerande behov.
Men cybersäkerhet presenteras sällan i det formatet. Istället får ledningen höra om hotbilder, tekniska sårbarheter och regulatoriska krav. Allt relevant. Men inget av det besvarar den fråga som ledningen faktiskt ställer sig: vad händer om vi inte gör det här, och vad kostar det?
Det finns ett mönster som fungerar. Istället för att säga “vi behöver bättre segmentering i nätverket” kan man säga: “vår nuvarande exponering motsvarar en uppskattad förlustrisk på 8 miljoner kronor per år. Den här åtgärden minskar sannolikheten från 12 till 3 procent och kostar 400 000 kronor att genomföra.”
Plötsligt är det inte ett säkerhetssamtal längre. Det är ett affärssamtal. Och affärssamtal leder till beslut.
Den här poängen gjorde Elmesed Smaka nyligen på LinkedIn: “Translation helps. But quantification wins.” Den bästa kommunikatören i rummet kan misslyckas med att flytta beslutet framåt om hen inte sätter siffror på risken. Inte vaga siffror. Riktiga siffror.
Som vi beskrev i Lagen skyddar inte din verksamhet: det är ledningen som ska godkänna riskhanteringsåtgärder, följa upp att de fungerar och förstå vad som står på spel. Men för att kunna göra det behöver de underlag de kan agera på, inte information de måste tolka.
Verksamheten: beteende kräver förståelse
Ute i verksamheten ser verkligheten annorlunda ut. Medarbetare lever i uppgifter, deadlines och vardagsbeslut. Säkerhet konkurrerar med allt annat som kräver uppmärksamhet och förlorar nästan alltid om den upplevs som abstrakt.
Beteendeforskningen visar att tre faktorer behöver finnas samtidigt för att ett beteende ska förändras: förmåga, möjlighet och motivation. En person behöver kunna göra rätt, ha praktiska förutsättningar att göra rätt och förstå varför det är värt att göra rätt. Saknas någon av delarna får man information utan beteendeförändring.
Petra Jonsson från Secify lyfte den här COM-B-modellen i ett webbinarium hos Cybernoden om kommunikationsstrategier för cybersäkerhet, en genomgång som i hög grad inspirerat det här perspektivet.
Det innebär att en policy som säger “rapportera incidenter” inte leder till rapportering om processen tar tio minuter, om kulturen signalerar att det är besvärligt, eller om medarbetaren inte förstår vad som räknas som en incident. Vi vet att rökning dödar. Ändå röker folk.
Det som fungerar i verksamheten är konkreta beteenden i konkreta situationer. Inte “jobba säkert” utan “lås datorn när du lämnar skrivbordet”. Inte “var uppmärksam på phishing” utan “tryck på rapportera-knappen i mejlklienten om något känns fel”.
Samordnaren: mandat kräver synlighet
Mellan ledningen och verksamheten sitter ofta en person, informationssäkerhetssamordnaren, med ansvar för att hålla ihop alltsammans. Utan formellt mandat. Utan budget. Utan plats i ledningsgruppen.
Den personen behöver en annan typ av kommunikation. Uppåt behöver hen kunna presentera risker i termer som leder till beslut. Nedåt behöver hen kunna förklara krav i termer som leder till handling. Och i båda riktningarna behöver hen synlighet, för en funktion som ingen ser är en funktion utan inflytande.
Information är inte kommunikation
Det finns en grundläggande distinktion som ofta förbises: att sända ett meddelande är inte samma sak som att kommunicera. Kommunikation kräver att mottagaren tar emot, förstår och har förutsättningar att agera.
De flesta säkerhetsinitiativ stannar vid information. Policyer skickas ut. Utbildningar genomförs. Mejl med nya riktlinjer distribueras. Sen antar man att jobbet är gjort.
Men följer man upp? Vet man om Kalle på ekonomi förstod? Om Lotta i kundtjänst upplevde det som relevant? Om driftteamet faktiskt ändrade sitt arbetssätt?
Psykologen James Reason utvecklade schweizerostmodellen som visar hur incidenter uppstår när flera försvarslager fallerar samtidigt. Kommunikation som aldrig nådde mottagaren är ett sådant hål. Det ser ut som att försvaret finns, men i praktiken fungerar det inte. Organisationen märker det först när det redan har gått fel.
ISO 27001 adresserar det här explicit. Standarden kräver att organisationer definierar vad som ska kommuniceras, när, till vem och hur, och att det går att visa att kommunikationen faktiskt skett. Men i praktiken är kommunikation sällan det man fokuserar på i ett ISO-införande. Tekniska kontroller tar företräde.
Varför cybersäkerhetskommunikation förtjänar en egen strategi
Det finns en invändning som alltid dyker upp: behöver säkerhetskommunikation verkligen behandlas separat?
Svaret är att andra områden som ekonomi och HR redan har allmängiltig förståelse i organisationen. Folk förstår budget och kostnader och arbetsrätt på en övergripande nivå. Det löper som nerver genom verksamheten.
Men cybersäkerhet befinner sig i ett annat läge. Det är förpassat till några enskilda personers skrivbord. Övriga förväntas inte förstå eller bry sig. Säkerhetskommunikation har ett extra hinder: att först etablera grundläggande relevans innan man kan kommunicera specifika krav.
Fem komponenter i en enkel kommunikationsarkitektur
Ett kommunikationsramverk för informationssäkerhet behöver inte vara stort. Det behöver vara uthålligt.
Rytm. Hur ofta syns säkerhetsfrågorna i organisationen? Inte bara vid incidenter eller kampanjveckor. Regelbundenhet skapar igenkänning. Igenkänning skapar förtroende.
Röst. Hur låter organisationen när den pratar om säkerhet? Är tonen hotfull och juridisk, teknisk och jargongtung, eller mänsklig och stöttande? Röst handlar om vilken relation man vill ha till mottagaren.
Räckvidd. Var befinner sig människor redan? Säkerhetsbudskap som bara finns i policydokument på intranätet når de som redan letar. Man behöver vara där medarbetarna faktiskt är: i Teams, i möten, vid kaffemaskinen.
Repertoar. Några få budskap som återkommer. Inte nya slogans varje gång. Igenkänning över tid gör att säkerhet blir något bekant istället för något nytt att förhålla sig till.
Reaktionsplan. Hur kommunicerar man den dag det faktiskt händer något? När stressen är hög och tiden knapp. Då är det för sent att börja fundera på ton, ansvar och budskap.
Kvantifiera uppåt, konkretisera nedåt
Om det finns ett mönster i allt det här så är det detta: kommunikation uppåt behöver kvantifieras. Kommunikation nedåt behöver konkretiseras.
Uppåt handlar det om att ge ledningen underlag de kan agera på. Risker uttryckta i kronor och sannolikheter. Åtgärder kopplade till minskad exponering. Inte “vi borde” utan “det här kostar X att inte göra och Y att genomföra”.
Nedåt handlar det om att ge verksamheten handlingar de kan utföra. Beteenden i vardagen, inte abstrakta principer. Och framför allt: en förklaring av varför. Varje policy bör börja med en kort beskrivning av varför den finns och varför den berör läsaren.
Mellansegmentet, samordnare, avdelningschefer och systemägare, behöver båda delarna. De behöver förstå affärskonsekvensen för att kunna förankra uppåt och den praktiska innebörden för att kunna förklara nedåt.
Från kontroll till medskapande
Hur vi kommunicerar om säkerhet avspeglar hur vi ser på människor i organisationen.
Om kommunikationen primärt handlar om vad folk gör fel, vad de måste sluta med och vilka konsekvenser som väntar, då signalerar vi att säkerhet handlar om kontroll. Men de flesta gör inte fel för att de vill sabotera. De gör fel för att systemet runt omkring dem inte ger dem rätt förutsättningar.
En organisation som skiftar från kontroll till medskapande gör en avgörande förflyttning. Människor bidrar när de vet vad de ska göra, när det är lättare att göra rätt än fel, och när de förstår att deras handlingar faktiskt gör skillnad.
Visa att bidragen märks. Tacka för rapportering. Lyft goda exempel. Ge återkoppling inte bara när det går fel, utan när det går rätt.
Det börjar inte med fler mejl
Problemet är sällan att organisationen kommunicerar för lite om säkerhet. Problemet är att kommunikationen inte är anpassad efter mottagarens verklighet, inte leder till handling och inte upprätthålls över tid.
Som vi konstaterade i Femton år av samma hotbild: Sverige saknar inte kompetens, rapporter eller medvetenhet. Det som saknas är systemförändring.
Och den förändringen kräver att cybersäkerhet kommuniceras som det det faktiskt är: en affärsfråga uppåt, en vardagsfråga nedåt och en styrningsfråga i mitten.
Om din kommunikation inte leder till beslut uppåt och beteende nedåt, då har du inte ett kommunikationsproblem. Då har du ett styrproblem som ser ut som ett kommunikationsproblem.
Behöver ni stöd med att bygga en kommunikationsstruktur som når rätt personer med rätt budskap? Kontakta oss för en kostnadsfri genomgång.
Fler insikter
Relaterade artiklar
Ensam om ansvaret. Informationssäkerhetssamordnaren som aldrig fick mandat.
En person. Inget mandat. Inga resurser. Så ser verkligheten ut för informationssäkerhetssamordnaren i svenska kommuner.
Leveranskedjan är din största cybersäkerhetsrisk – inte din storlek
42 procent av svenska organisationer har låg mognad i leverantörskedjan. Att vara liten skyddar inte – det gör dig till den svagaste länken.