Sådan bruger du fakta, fornuft og følelser når du kommunikerer om it-sikkerhed

Når du skal sælge it-sikkerhed til ledelsen i en virksomhed, skal du overveje, hvordan du trænger igennem med dine budskaber. Ledere er forskellige og lytter efter forskellige ting. Denne guide giver dig tre idéer til, hvordan du kan få deres opmærksomhed og få dem til at handle på dine anbefalinger til styrket it-sikkerhed i virksomheden.

Det handler ikke kun om hvad du siger, men hvordan du siger det. Tit er det en kombination af forskellige kommunikationsformer, der virker bedst. Hvis du som IT-sikkerhedsansvarlige kan finde et mix af de tre måder at kommunikere på, som også matcher din leders profil og personlighed, vil du være godt klædt på, til at tage opmærksomheden og få succes med at sælge dine synspunkter ind til virksomhedsledelsen.

1) Brug logiske argumenter og bak dem op med fakta (logos)

En måde at sælge sine budskaber ind, er at bruge logiske argumenter og fornuft til at prøve at overbevise lytteren om sit synspunkt. Her kan du fx bruge statistikker over afviste angreb fra loggen i firewallen eller blokerede eksekveringer af skadelig kode i sin antivirus. Ved at præsentere tal og fakta om, hvordan trusler håndteres i systemerne, kan du appellere til det fornuftige i at have it-sikkerhed højt på dagsordenen.

2) Lad troværdige kilder og autoriteter være løftestænger for dit budskab (ethos)

Du kan også styrke dine argumenter, ved fx at citere udvalgte anbefalinger fra Rigspolitiet/NC3 eller Center for Cybersikkerhed. Når du henviser til alment accepterede troværdige kilder og autoriteter og gengiver deres fornuftige synspunkter, er det med til at styrke din egen faglige gennemslagskraft og autoritet.

3) Få lederens opmærksomhed ved at appellere til følelserne (pathos)

Mennesker er ikke blot rationelle og styret af fornuft. Det gælder heller ikke lederen i din virksomhed. Du kan ved at bruge spændende og måske farverige cases på sikkerhedsbrister fra spektakulære organisationer være med til at sætte fokus på, hvordan hændelserne opleves i virksomhederne. Her er det vigtigt, at bruge casehistorier, som også er relevante og genkendelige for netop jeres virksomhed.

Sådan kan du kommunikere - et GDPR eksempel

Persondataforordningen (GDPR) siger, at man ikke må gemme oplysninger i længere tid, end der er et formål med det. Som it-sikkerhedsansvarlig tænker du derfor, at du skal i gang med at få slettet data. Men du ved også at det bliver dyrt, tidskrævende, kræver systematik og vil være et opgør med den "gem alt"-kultur, der hersker i din organisation.

For at overbevise ledelsen om, at der skal investeres i dette projekt finder du argumenter for din sag med udgangspunkt i fakta (logos), fornuft (ethos) og følelser (pathos):

Fakta (Logos): Vi skal overholde persondataforordningens regler, ellers kan vi få en bøde på 4% af omsætningen. Vi har desuden estimeret at 76% af vores serverplads opfyldes af irrelevante data. Vi har store mængder af ustrukturerede data, som vi basalt set ikke kender indholdet af, og som derfor ikke skaber værdi for forretningen.

Fornuft (ethos): Jeg har altid været fortaler for, at vi skal overholde loven, og den siger, at vi skal slette. Datatilsynet har i øvrigt fastlagt nogle retningslinjer for sletning, som vi kan tage udgangspunkt i.

Følelser (pathos): Datingsitet Ashley Madison, som er et datingsite for folk, der ønsker at have en affære udenfor ægteskabet, blev hacket i 2015. Selvom sitet opkrævede penge for at slette brugeres konti, afslørede de lækkede data, at deaktiverede brugeres profiler og data ikke var blevet slettet. Det har resulteret i skilsmisser, selvmord og måske også fængslinger. Det er et godt eksempel på, at man skal slette de data, som man ikke længere har brug for, og som dem, data vedrører, har en berettiget forventning om er blevet slettet. Sletning er simpelthen det rette at gøre.