Select your country

Not finding what you are looking for, select your country from our regional selector:

Search

Från cybermedvetenhet till cyberbedömning: Hur CISO kan använda AIDA-marknadsföringsmodellen för att driva förändring

Av Tatiana Chamis-Brown, SVP Global Marketing.

TLDR; Att kombinera medvetenhet om cybersäkerhet med principerna för AIDA-marknadsföring kan hjälpa CISO:s att skapa säkerhetskulturer där medarbetarna inte bara förstår riskerna utan också är motiverade att vidta säkra åtgärder.

Oktober är månaden för medvetenhet om cybersäkerhet. Men är medvetenheten tillräcklig för att öka säkerheten?

Bedömning av cyberhot: från cybermedvetenhet till handling

Under Gartners Security & Risk Management Summit i London tog huvudtalarna upp och avfärdade vanliga myter som finns i branschen idag. En av dem fångade min uppmärksamhet var: Fler cyberexperter = Bättre skydd

Eftersom allt mer teknikarbete förutspås ske direkt inom affärsfunktioner och mindre inom IT (Gartner rapporterar att 73% av cheferna utanför IT vill ha fler tekniker i sina egna team), skulle man kunna hävda att decentraliseringen av IT utgör en säkerhetsrisk för organisationen. Och att det behövs fler säkerhetsexperter för att säkerställa ett bättre skydd, i ett sammanhang där antalet lediga tjänster inom cybersäkerhet enligt ISC2 uppgick till 3,4 miljoner år 2022.  

Gartner menar att cyber judgment - medarbetarnas förmåga att självständigt fatta beslut baserade på information om cyberrisker - är en mer effektiv väg framåt som gör det möjligt för organisationer att arbeta med ett minimum av effektiv expertis. Organisationer som implementerat konceptet har sett 2x lägre riskexponering 2,2x ökad hastighet i implementeringen av ny teknik. 

Jämfört med annan Gartner-statistik som t.ex:  

  • 65% av de anställda öppnar e-post från okända källor på arbetsenheter 
  • 61% skickar känslig information via okrypterad e-post
  • Och 93% erkände att dessa åtgärder skulle öka risken för företaget

Medvetenhet om cybersäkerhet är inte tillräckligt. För att kunna göra cyberbedömningar måste man omvandla medvetenhet till handling. 

Det är här CISO:s kan inspireras av marknadsföringstaktik som AIDA och användarcentrerad upplevelsedesign.

 

Vägskälet mellan cybersäkerhet, marknadsföring och användarcentrerad design

Cybersäkerhet, organisationsförändringar och marknadsföring blir alltmer sammanflätade. Även om dessa områden kan verka olika har de paralleller som, när de utforskas, avslöjar värdefulla insikter för CISO:s och CIO:s som vill möjliggöra cyberbedömning i sin organisation.  

Vi ska fördjupa oss i dessa paralleller och ta reda på hur de tillsammans kan bidra till ett säkrare och mer framgångsrikt digitalt landskap. 

Marknadsföringsmodellen AIDA (Attention, Interest, Desire, Action) kan vara ett bra ramverk för att beskriva dessa paralleller.

Parallell 1: Attention (medvetenhet om cybersäkerhet)

Inom marknadsföring handlar detta steg om att fånga publikens uppmärksamhet genom övertygande innehåll eller annonser. 

Inom cybersäkerhetsområdet är det avgörande att fånga uppmärksamheten. Precis som marknadsförare använder sig av uppseendeväckande annonser och övertygande budskap, använder sig cybersäkerhetsexperter av informationskampanjer och utbildningsprogram för att fånga medarbetarnas och användarnas uppmärksamhet. Detta bidrar till att öka medvetenheten om vikten av god säkerhetspraxis. 

Ett bra exempel är en kampanj från Internetstiftelsen, som driver med de vanliga svaga lösenord som leder till ökande fall av cyberbrottslighet.

Parallell 2: Interest (Organisatorisk förändring)

Inom marknadsföring är målet att väcka publikens intresse genom att visa upp produktens eller tjänstens unika egenskaper eller fördelar, efter att ha fångat uppmärksamheten. 

Organisationsförändringar börjar ofta med att skapa intresse och engagemang bland medarbetarna. På samma sätt som marknadsförare måste skapa intresse för en produkt, måste ledare inom organisationer odla intresse för nya policys, rutiner eller tekniker. Detta intresse kan leda till mer framgångsrika förändringsimplementeringar. 

Detta är viktigt med tanke på att nästan hälften (47%) av alla säkerhetsincidenter härrör från interna aktörer, oavsett om de är avsiktliga eller oavsiktliga, enligt Orange Cyberdefense's Security Navigator 2023-rapport. 

Taktik som ofta används inom marknadsföring kan användas av CISO:s för att göra detta. Till exempel genom att ge anställda relevanta och övertygande skäl att agera på cybersäkerhet som på ett avgörande sätt relaterar till deras behov, önskemål eller problem. CISO:s kan använda storytelling, fakta, vittnesmål eller fallstudier för att visa hur ett cybersäkert beteende kan gynna enskilda individer och organisationen.

Parallell 3: Desire (Användarcentrerad design)

Inom marknadsföring syftar desire-fasen till att få publiken att längta efter produkten eller tjänsten genom att lyfta fram dess värde och relevans för deras behov. Användarcentrerad design handlar om att skapa produkter och upplevelser som användarna vill ha. Genom att förstå användarnas behov, preferenser och smärtpunkter kan designers bygga produkter som användarna verkligen vill ha. På samma sätt kan cybersäkerhetsexperter använda användarcentrerad design för att skapa upplevelser som minskar friktionen för att anta "rätt" cybersäkert beteende. Gartner föreslår en cyklisk strategi i tre steg för att göra detta:

  1. Ideation: Prata med medarbetarna för att ta reda på hur de upplever kontrollerna
  2. Design: Skapa säkerhetskontroller tillsammans med medarbetarna och testa dem i olika affärsgrupper för att förstå de potentiella friktionsimplikationerna
  3. Post-deployment: Granska mönster i undantagsförfrågningar och policyöverträdelser för att upptäcka underliggande friktion

Parallell 4: Action (Cyber-bedömning)

AIDA-modellens sista steg, handling, stämmer väl överens med marknadsföringsmålen. Det är här marknadsförare strävar efter att omvandla intresse och önskan till konkreta handlingar, som att anmäla sig till en produktdemo eller göra ett köp. Inom cybersäkerhet är detta en parallell till målet att omvandla medvetenhet och förståelse för säkerhetspraxis till konkreta åtgärder, som att implementera starka lösenord eller rapportera misstänkta aktiviteter. CISO:s kan använda strategier från marknadsföringsböcker som använder beteendepsykologiska taktiker, t.ex. socicial proof. I social proof är den underliggande principen att människor tenderar att följa andra i situationer där "lämpligt" beteende är okänt, som ett sätt att känna sig trygga, omtyckta eller accepterade. CISO:s kan till exempel implementera mekanismer som inkluderar spelifiering baserat på statistik.

Sammanhängande tankesätt för framgång

Genom att kombinera medvetenhet om cybersäkerhet med principerna för AIDA-marknadsföring och användarcentrerad design kan CISO:s skapa säkerhetskulturer där de anställda inte bara förstår riskerna utan också motiveras att vidta säkra åtgärder. CISO:s kan göra det enklare att implementera nya säkerhetsåtgärder, eftersom medarbetarna är mer benägna att acceptera förändringar som är utformade med deras behov i åtanke. Detta sammankopplade tankesätt är avgörande för att möjliggöra organisatoriskt cyberomdöme, eftersom vi navigerar mot ytterligare IT-decentralisering i ett ständigt föränderligt hotlandskap.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.