#002 Risiko og handling

De fleste ønsker å unngå tap, men det kan likevel være vanskelig å bruke penger på sikkerhetstiltak. En teori fra psykologien hjelper oss med å forstå hvordan folk tenker i møte med positiv og negativ risiko.

Det er enklere å kjøpe seg noe man har lyst på, fremfor å bruke penger på å prøve å unngå noe negativt. Dette møter vi som jobber med sikkerhet ofte, når vi prøver å selge inn tiltak som koster penger, men som ikke gir noen synlig gevinst i seg selv.

Forskerne Daniel Kahneman og Amos Tversky har en teori omkring folk sine valg i møte med risiko. Se videoen (skru gjerne på undertekster med CC-knappen), eller les videre.

Gevinster og tap

Dette kan illustreres med følgende problem:

  • Hvis du får valget om å få 5000 kroner, med 100% sikkerhet, eller du kan ha 50% sannsynlighet for å få 10 000 kroner. Hva ville du velge?

De aller fleste velger det sikre valget, den sikre gevinsten. Men på den andre siden:

  • Hvis du får valget om å tape 5000 kroner med sikkerhet, eller du kan ha 50% sannsynlighet for å tape 10 000 kroner. Hva ville du velge da?

Da er det faktisk flesteparten som velger den risikable veien, nemlig 50% sannsynlighet for å tape 10 000 kroner.

Årsaken er at de fleste av oss ønsker å unngå sikre tap, så vi holder oss litt fast i muligheten for å unngå dette likevel.

Kostnad og nytte

Det kan naturligvis oppstå anger i etterkant, i etterpåklokskapens navn, men vi er ikke nødvendigvis helt rasjonelle, matematiske i alle valg. Eller kanskje er det akkurat dette vi er?

Dette handler nemlig om nytte og kostnad, og slik vi opplever dette ut fra hver enkelt sitt synspunkt. Hvis vi skal selge inn sikkerhet, så er det nyttig å synliggjøre dette.

Men hvis vi kun setter en pris på tiltaket, så kan det hende at vi feiler. For det betyr nemlig at vi setter den prisen på tiltaket som er et faktisk tap. Det blir som å si at vi taper kostnaden av tiltaket med 100% sikkerhet, fremfor å la det være en ubestemt sannsynlighet for at vi får et tap som ikke er sikkert.

Med mye snakk om tap og sannsynlighet, er det jo naturlig å koble dette på risiko og risikovurdering. Og det er akkurat dette som kanskje er det gode tiltaket her.

Fornuft fremfor frykt

Vi kan jo bruke frykt, for å prøve å skremme gjennom tiltak. Følelser kan være effektive for å få med folk på en overbevisning om at noe haster, er veldig prekært, og at konsekvensene kan bli enorme.

Men frykt kan også ha sine ulemper, for eksempel at vi reagerer med fornektelse. "Dette skjer ikke med oss". Eller handlingslammelse, "Men hvis selv ikke de største kan beskytte seg, hvordan skal vi klare å beskytte oss da? Da kan vi like godt la være å bruke penger på tiltak".

Men risikovurderingen den hjelper oss til å sette ikke bare tall på ting, men også å vise verdi av mulige tiltak, og sette disse i et system.

Og dermed kan vi bruke den psykologien og kunnskapen om dette, til å lykkes bedre i tiltak vi ønsker å gjøre, og få til enda bedre sikkerhet i virksomheten.

Få alle ansatte involvert i sikkerhetsarbeidet.

Lær hvordan MailRisk synliggjør risiko i e-post.

Continue reading

Simulated phishing: How to design a suitable scam

How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.

How to succeed with security behavior change

To stay safe online, people need to care more about the security decisions they face every day. But unless the obvious gains obviously exceed the required effort, change is often avoided. Luckily, behavior change in general has been subject to a lot of research, and here are some takeaways for information security professionals.

Simulated phishing: Communications strategy

How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.

See all posts →

Human security sensors ebook cover

Ready to get started?

We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:

  • How to nurture drivers for employee engagement
  • How to avoid common obstacles for reporting
  • Practical examples and steps to get started

Download free PDF →