Du snakker - Hvem lytter?

Publisert: 06.11.2017

DU snakker og HVEM lytter? En klassisk sikkerhetsadvarsel fra den kalde krigen. Men når hensikten er at folk skal lytte til det du sier er det ikke dumt å reflektere litt over hva som fungerer best for å få dem til å lytte. Her er noen refleksjoner etter «noen» foredrag rundt omkring på norske arbeidsplasser.

Så er nok en nasjonal sikkerhetsmåned bak oss. Omkring i landet har det vært betydelig aktivitet for å gi kunnskap, bevisstgjøre og motivere for gode sikkerhetstiltak. Flere hundretusen ansatte, og forhåpentligvis ledere, har gjennomført nanolæring i regi av NorSIS og mange virksomheter har også kjørt egne e-læringssystemer om sikkerhet i løpet av oktober måned.  

Som mange andre har jeg reist rundt med foredrag i oktober og har besøkt ansatte og ledere. I år har jeg besøkt forsvars-, justis-, kunnskaps- finans-, samferdsel-, helse- og energisektoren. Jeg har møtt økonomer, lærere, veterinærer, teknologer, akademikere, teologer, leger, ingeniører, jurister offiserer og mange flere yrkesgrupper. Jeg har besøkt private bedrifter, departementer, fylker, kommuner og fagforeninger.  Jeg har holdt foredrag for styreledere, konsernledere, mellomledere og helt vanlige ansatte. Jeg har snakket på mindre og større konferanser.  Det har blitt 42 foredrag under sikkerhetsmåneden og når en slik periode er over, kan det være fornuftig med noen refleksjoner. Noen av dem ender opp i dette blogginnlegget.

Jeg er privilegert som får lov til å holde på med noe som jeg brenner for. I flere år har jeg i stadig økende grad stått på «scenen» for å snakke om informasjonssikkerhet. Det er mange ønsker der ute og behovet for kunnskap om sikkerhet er noe som i økende grad er etterspurt – ikke minst fra ledere.

Hvert eneste foredrag er en unik mulighet til å forklare og motivere for sikkerhet på en måte som er mulig å gjennomføre for personene og virksomhetene jeg kommuniserer med. Over tid, gir disse møtene med virksomhetene, lederne og de ansatte en form meg unik feedback på hva som er utfordringene med godt sikkerhetsarbeid. Men det gir meg også en forståelse av hva som fungerer og ikke fungerer fra en «talestol».

Vi i sikkerhetsbransjen har en tendens til ubevisst eller bevisst å ignorere hvordan anbefalte sikkerhetstiltak fungerer i virkeligheten. Våre anbefalte tiltak skal implementeres og etterleves i reelle situasjoner, av virkelige mennesker. Alt for ofte har vi som bransje en teoretisk tilnærming og er flinke til å lire av oss sikkerhetsråd som på papiret gir god sikkerhet. I realiteten risikerer vi redusert sikkerhet fordi rådet blir bare enda et håpløst råd for mennesker som skal etterleve noe som viser seg å være veldig vanskelig i praksis.

Foredragene er også en støtte til sikkerhetskollegaer som kanskje i mange år har sagt de samme tingene jeg presenterer for deres arbeidsgivere. Som flere har sagt i ettertid; «de må liksom høre dette fra noen utenfor organisasjonen for å ta det på alvor». En blir som kjent ikke profet i eget land.

Den sekundære effekten er forhåpentligvis også en god synliggjøring av min egen arbeidsgiver, men mest av alt handler det om å spre kunnskap om hvordan ledere og ansatte kan bidra til å skape en sikrere virksomhet. Det er forhåpentligvis et tiltak som på kort og lang sikt er med på å forbedre sikkerhetstilstanden i samfunnet.

Samtidig er det lett å tenke at det eneste bidraget for min egen del «bare er å snakke» om sikkerhet. Ordtaket «godt gjort er bedre enn godt sagt» dukker opp av og til i bakhodet på dårlige dager. På gode dager (som det er flest av) er det at sikkerhetsbudskapet faktisk skal «selges». Det skal faktisk kommuniseres på en måte som gjør at noen er interessert i å lytte på deg og budskapet ditt.

Hvem du snakker til og med, er etter min mening noe av det viktigste du kan fokusere på. Det er selvsagt en fordel å kunne det du skal snakke om – men fagkunnskapen alene hjelper deg ikke – dersom det du snakker om ikke er relevant for målgruppen, og det ikke brukes et språk de i salen forstår.

Mine foredrag er på papiret (powerpointfilen!), med noen få unntak, aldri helt like. Den viktigste årsaken til det er de ulike målgrupper som skal høre på. Jeg deler målgruppene inn i fire hovedkategorier.

  • Ledere
  • Ansatte
  • IT-ansatte (teknisk bakgrunn)
  • «Menigheten» (sikkerhetsfolket)

Denne inndelingen har betydning for planlegging og utførelse. Hva ønsker de? Hva trenger de? (kanskje avtalt på forhånd) men også hvilket budskap ønsker vi å gi til dem. Det å bruke mesteparten av taletiden til å snakke om viktigheten av logging til en konsernledelse eller alle ansatte, er feil prioritering. At det er et viktigere tema for IT og sikkerhetsfolk er selvsagt.

Selv om jeg har min personlige måte å kommunisere på, baseres innholdet til syvende og sist på fagkunnskap som ikke bare er min, men en fagkunnskap som kommer fra, og er resultatet av mange dyktige og gode kollegaers årelange arbeid. Bare se litt på listen under blogginnlegget.

Andre ting som sektortilhørighet, kunnskap om eksisterende hendelser og mye annet er også viktige elementer som jeg nevner her.

Det er mange andre ting å tenke på når sikkerhet skal «selges inn» men jeg holder på at noe av det viktigste er å forstå hvem det er som skal høre på og tilpasse innhold, språk på en slik måte at du når frem med budskapet ditt.

DU snakker og HVEM lytter? Er en klassisk sikkerhetsadvarsel fra den kalde krigen. Men når hensikten er at folk skal lytte til det du sier er det ikke dumt å reflektere litt over hva som fungerer best for å få folk til å lytte.

Har du lest så langt har du akkurat «lyttet» til noen av mine tanker om det temaet. Takk for det!

Her er noe av det som er produsert fra NSM den siste tiden og som utgjør noe av det faglige underlaget for å kommunisere sikkerhetsfaget, men enda mer for å øke sikkerheten i samfunnet:

Risiko 2017 - NSMs årlige rapport om sikkerhetstilstanden. 

Helhetlig IKT risikobilde 2017 - NSMs rapport som publiseres ifm nasjonal sikkerhetsmåned 

Grunnprinsipper for IKT sikkerhet  

Håndbok om risikovurderinger  

Temahefte om logging  

Verdivurdering  

Temarapport om kvantekrypto 

comments powered by Disqus