Godmorgen derhjemme i stuerne eller over morgenkaffen, måske endda på cyklen, hvor end I er. Tak fordi I lytter med. Jeg har glædet mig helt vildt meget til den her dag i dag. Ikke kun fordi det er torsdag og lille fredag, og der er 47 dage til jul, fordi vi skal snakke om cybersikkerhed og adfærd, og det er et af mit allermest yndlingsemner inden for cybersikkerhed. Og så har jeg endda fået lov til at få dig, Sara, min yndlingsekspert, inden for emnet til os at komme og snakke med i dag. Så vi har præsenteret nogle gode slides og nogle gode forhåbentlig brugbare pointer til jer derude. Ganske kort, så lige om lidt, så præsenterer vi os selv, og så har vi hver især lidt godt med i kufferten til jer i dag. Og til sidst, så vil der også lige være tid til lidt spørgsmål. Hvis I undervejs har nogle spørgsmål eller nogle kommentarer, så skriv ude i chatten. Så skal vi prøve at holde øje, men ellers så håber vi at få tid til det til sidst, når vi slutter omkring kl. 9.15. Hvis der er nogle tekniske problemer, så har vi altså også en god hjælpende hånd i Jonas her. Så skriv endelig også i chatten, så skal han nok hjælpe jer på vej. Det var sådan lidt det praktiske. Så lad os lige få en baggrund på dig og mig, hvis vi skifter til den næste slide. Sara, vil du sige et par ord om dig selv? Det gider jeg godt. Jeg hedder Sara, og jeg er til daglig, og jeg er jo IT-sikkerhedschef i Tivoli. Så det er fedt at komme herinde på en torsdag og tage et IT-sikkerhed, og det er også fedt hver evig eneste dag at køre i Tivoli og så arbejde med IT-sikkerhed. Så det er det, jeg laver til daglig. Og ved siden af det, så har jeg skrevet en bog, der kommer ud lige om lidt. Fordi jeg er fuldstændig pjattet med adfartsdesign og security notching og sikkerhedskultur og alt, hvad der overhovedet handler om mennesker og processer. Så people, processes og technology. Nogen andre må gerne lave det der technology. Så tager jeg det. Og der kommer også en QR-kode lidt senere i nogle slides, så man kan komme direkte ind, hvis man vil forbestille bogen. Jeg hedder Nana, det er mig til venstre på billedet herude. Jeg er sabersikkerhedskonsulent her i Implement, og når jeg siger her, så er det fordi, vi sidder i vores studier på Strandvejen ude i Thuborgs Gamle Hovedbygning i Hellerup. Et fantastisk byggeri, og her har jeg været i cirka fem år før. Det havde jeg en fortid som forsker ude på IT-universitetet og har taget vejen fra humanist over dataetik. Så kom GDPR, og så tog jeg helt ned i the rabbit hole, og nu er jeg over i cybersikkerhed. Nu sidder du fast, ligesom jeg ikke var. Nu var det her, jeg skulle være og arbejde med det. Men arbejder også en stor del med at få kommunikeret, at vi altså er mange humanister. Vi er mange med meget forskellige baggrunde, der arbejder inden for cybersikkerhed, og det er der også brug for, at vi gør. For der er rigtig meget brug for flere, der arbejder inden for det her felt og har vinkler og viden og perspektiver, så vi kan lave nogle løsninger, der rent faktisk virker, når vi snakker cybersikkerhed og IT-sikkerhed. Så er jeg lige i sidste uge udkommet med den her bog, Cybersikkerhed helt sikkert. Det er så fedt. Et af kapitlerne handler så om cybersikkerhed og adfærdsdesign, som vi skal snakke mere om i dag. Men generelt sådan en overordnet introduktion, hvis man ikke lige ved, hvor man skal starte med cybersikkerhed, så vil jeg da håbe, at der er rigtig meget godt at finde i den her bog. Den har jeg skrevet sammen med Mette, derfor har jeg lige taget hende med på billedet også, så hun også lige får lidt det arbejde, der lå i bogen. Det var nok om os. Det kan være, at jeg lige skal nævne, at jeg jo faktisk også er humanist, når man er uddannet bibliotekar. Så jeg har jo faktisk den samme baggrund, jeg er uddannet bibliotekar og har taget vejen. Endnu et godt eksempel. Og i min afdeling har vi altså også både en, der har læst koreansk og en, der er pilot. Og de arbejder, der har kommet cybersikkerhed i dag. Så alle er velkomne. Hvis der sidder nogen, der tænker, var det noget for mig at lytte med? Ja, det håber jeg virkelig, at det er. Jamen, lad os hoppe ud i lidt baggrund her. Hvorfor er det, at det er så vigtigt at snakke om cybersikkerhed og adfærd? Der tror jeg begge to, at vi har prøvet, at cybersikkerhed og IT-sikkerhed, det er sådan noget, der halter lidt bagefter en digital transformation eller noget, der bliver implementeret i en virksomhed. Jeg kan måske give et konkret eksempel ud af mange. Vi arbejdede sammen med en virksomhed, hvor der var nogen ude i forretningen, der havde fundet ud af, at de ville gerne have nogle videokameraer. De var kropspårende. Det var supersmart i forhold til de opgaver, de skulle løse, at man kunne følge med, hvor de er der. De var alt muligt i det. De var virkelig, virkelig langt i at have leverandør og samtaler. De var lige før kontrakten blev underskrevet. Og så kom sikkerhed og sagde, hvor hardware er lavet? Hvad har processen været? Hvem står bag det her? Ja, det ser vi jo i tiden. Alle de der sikkerhedsovervejelser. Og det var ikke, fordi der ikke var en indkøbsproces, hvor man skulle spørge nogen og overvejede, men på en eller anden måde var det lykkedes at komme forbi det der i indkøbsprocessen. Og der bliver vi simpelthen nødt til at tage et skridt tilbage og ikke bare være irriteret over, hvorfor ved de ikke, at de skal snakke med os i cybersikkerhed. Men virkelig sådan tage det alvorligt. Jamen, der er jo et eller andet i processen, der ikke fungerer. Der er nogen, der skal gøre noget anderledes for, at vi bliver hivet ind på et relevant tidspunkt, så vi får de rigtige sikkerhedsovervejelser. For de blev simpelthen nødt til at trække det hele tilbage og fuldstændig starte forfra, og der var rigtig mange tabte timer på det. Og det er jo bare et eksempel på, at det kommer sådan lidt bagefter og også nogle gange skaber en lidt ærgerlig stemning. Ja, fordi man... Og det gider ikke at snakke cybersikkerhed. Nej, men man har jo lidt det der prædikat, der siger, at det er dem, der siger nej. Ja. Fordi man allerede er kørt inden, og man husker ikke lige at få IT-sikkerhed med. Lige præcis. Og som dem, der sidder i en cybersikkerhedsfunktion eller IT-sikkerhedsfunktion, også bliver irriteret over at have den rolle, ikke? Og gerne ville med lidt tidligere. Så hvordan får vi gjort det? Hvordan får vi tænkt adfærd? I stedet for at gå og være ærgerlige på hinanden, så faktisk tage det alvorligt. Der er noget adfærd her, vi skal ind og arbejde med. med IT-sikkerhedsafdelingen skal have det der from no to no. Ja. Og det kan jeg godt lide. Ja. At det der med, at det handler ikke om, at vi skal være dem, der siger nej. Det handler om, at vi skal være dem, der spreder viden og får de gode tanker ind fra starten. Ja, lige præcis. Men det kræver, at man virkelig tænker over adfærd. Hvad er det, man vil have folk til at gøre anderledes end det, de allerede gør? Ja. Ja. Det gør de. Og det er det, vi så zoomer ind på i dag. Så derfor så kaster jeg den her over til dig, og du får klikkeren. Ej, jeg får klikkeren nu. Jeg har den. Jeg har den. Jeg har den. Det, vi skal starte med her, det er en lille øvelse, som jeg nogle gange laver, når jeg er ude og holde alle mine fordrag. Jeg kunne godt tænke mig at lave den med dig. Ja. Om jeg er derude. Fordi vi skal starte med vores hænder. Hvis vi sidder med et keyboard, eller leger vi sidder med et keyboard, så tager vi lige hænderne og løfter dem 20 cm op. Og det her, det bliver et ret sjovt billede, hvis der er nogen, der tager et skære billede lige nu. Hvis vi leger, at hele verden, alle mennesker, hele verden, overalt, slap keyboardet og hold hænderne sådan her. Hvad vil der så ske? Ikke skid. Børsen krækker. Det hele går jo galt. Nej, det er det, der er så vildt. Det er jo, at det er jo mennesker, der interagerer med IT. Det er jo mennesker, der interagerer med teknik. Der vil ikke være nogen, der hacker. Der vil ikke være nogen, der laver fejl. Der vil ikke være nogen, der sender nogle forkerte mails til de forkerte. Der vil ikke være nogen. Altså, det kan godt være, at der ikke er nogen, der krypterer. Det kan godt være, at der ikke er nogen patcher. Men det er der heller ingen grund til, fordi det sker ikke noget. Og det, der er så fedt ved den her øvelse, det er, at det er jo adfærd. Det er jo det, at nogen gør noget. Der altid er årsag til en hændelse. Christian Hunt, han siger, at alle risici er i virkeligheden human risk. Og det begreb skal i virkeligheden dø, synes jeg. Men det handler om adfærd, fordi enten skyldes det, at nogen gør noget, de ikke skulle have gjort. Klikker på et link, hacker en server eller et eller andet. Eller også skyldes det, at nogen ikke gør noget, de skulle have gjort. Patchet, krypteret, forholdt sig til den rette modtagere og sådan noget. Så alt stammer fra menneskelig adfærd. Alle de her risici. Og det er jo faktisk det, som jeg arbejder med. Det er det, at vi har lavet den her, jeg kalder det jo et femtrinsmodel. Vi mangler bedre. Men det er fordi, det handler om adfærd. Vi skal finde ud af, hvad er det for nogle handlinger, der gør, at en risiko bliver mere eller mindre sandsynlig, og at konsekvensen bliver større eller mindre. Og det kigger vi overhovedet ikke på i dag. I dag, der kigger vi på teknik. Og vi kigger på alt muligt andet, men vi kigger ikke på den aktuelle handling. Så det vi skal gøre, nu kommer vi til den her slide, som handler lidt om sport. Ja. Curling. Vi kender godt curling. De fleste derude, vi kender også godt curling, fordi der var nogle kvinder, der gik ret langt med det der curling. Men curling er jo den her holdsport. Det er på is. Jeg ved ikke, der er nogen, der har været en god idé engang. Det handler om, at man har sådan en sten, som har et holdtag, og så tegner man et mål på isen. Og så handler det om, at få den der sten sluppet afsted, og så skal den sådan bevæge sig hen og ramme måler. Og det, der er fedt ved curling, det er, at de er sådan lidt der holdsport, og de har kostet. Altså, når man ser over, det virker sådan helt vanvittigt. Men ja, så det de gør for at få den der sten til at enten bevæge sig hurtigere eller længere, det er, at de fejrer isen helt sindssygt. Og det fjerner friktionen. Altså isen bliver jo glattere, fordi man fjerner friktionen, og den bliver også lidt varmere, så den bliver helt glattere. Og når de så vil gerne have den her sten til at stoppe, så holder det op med at feje. Og så er der jo tilført friktion. Og så stopper den. Så når vi arbejder med adførsdesignere, handler det om at bygge den her verden omkring folks handlinger. Og vi ved, at hjernen, den menneskelige hjerne, den er jo fuldstændig gennem, lige siden stenalderen, lige siden vi var aber, har det handlet om at overleve. Og vi overlevede ved at undgå fysiske farer. Altså det var fordi dem, der ikke var bange, de overlevede ikke. Og at spare på energi. Og vores hjerner bruger sindssygt meget energi. De bruger 25 procent af al den energi, man bruger på en dag. Alle de kalor, man bruger på en dag, de bliver faktisk brugt af vores hjerner. Og derfor prøver vi altid at gøre det, der er nemmest. Og det, der er nemmest, det er den vej, hvor der ikke er friktion. Ligesom i curling. Så hvis der er friktion, så stopper stenen. Og hvis ikke der er friktion, så glider det nemt. Det er fuldstændig det samme med en menneskelig handling, med en menneskelig adfærd. At hvis vi gør det rigtige valg til det lette valg, så er det det, vi får. Så det er derfor, vi skal kigge på curling. Vi skal tænke på os selv som sådan nogle små IT-sikkerhedsmennesker med koste, der fejrer vejen for den rigtig sikre adfærd. Men før vi gør det, skal vi finde ud af, hvor vi gerne vil have folk hjem. Og det gør vi sådan her. Vi kigger på den risikofyldte adfærd. Der er ikke nogen, der er i tvivl om, at det han er i gang med her. Det er sådan rimelig risikofyldt. Og vi skal kigge på vores risikoscenarier. Mit postulat er, at al sikkerhedsarbejde skal starte med en risiko. Hvis ikke der er nogen risiko, så skal vi jo ikke gøre det. Så vi kigger på de risikoscenarier, vi. har og siger, hvad er det for nogle handlinger, folk i vores organisation har, som gør, at risikoen, at der er en større sandsynlighed for, at det sker. Eller at, ja, tilbage til, at konsekvensen bliver større. Så det kan være, at vi har en risikofyldt adfærd, der gør, at folk de sender noget til de forkerte. Det kan være, at vi har en adfærd, der gør, at de klikker på et phishing link eller udfylder deres credentials. Der kan være mange ting af de her handlinger, som vi godt ved, fordi vi snakker om det, og vi laver fine plakater og musimotter og alt sådan noget, men man ikke må gøre det. Men hvis ikke vi mapper det til den reelle risiko, så kan vi ikke tracke det senere hen, om det faktisk har en effekt. Så vi går ind og kigger på de her handlinger, som er risikofyldte. Og så går vi ind, og så næste trin handler om, at vi skal drømme lidt, for så skal vi begynde at sige, hvad ville vi gerne have lige gjort? Og det er jo der, hvor vi snakker om, hvad er den rigtige adfærd? Så hvis den forkerte adfærd, man sender noget forkert til de forkerte, så er den rigtige. adfærd, at man sætter sig ned og sikrer sig, at det er den rigtige modtager, og at man har sikret sig, at det materiale, man sender, sender man som et link, i stedet for en vedhæfte fi. Hvis man kigger på phishing, og folk de klikker på phishing links, så vil den adfærd, vi gerne vil have, være, at de rapporterer en phishing mail. Så for hver af de her ting, der forværer en risiko, der skal vi sige, hvad vil vi gerne have? Og nogle gange, så er det flere ting, vi gerne vil have lige gjort. Og så kommer vi til det, som jeg håber, at I tager med. Hvis I kun så en ting med i dag, det er det, jeg kalder 100 dollar spørgsmål. Og det kommer her. Det handler om, hvorfor gør de det ikke i dag? Hvorfor har de ikke den rigtige adfærd i dag? Hvorfor gør de det ikke? Og når vi gør det, så kigger vi på nogle forskellige ting. Jeg har lavet fem grupper, som jeg kigger på, fordi det typisk finder friktioner. Og det, der gør, at de ikke har den rigtige adfærd i dag, det er jo det, der er friktioner i virkeligheden. Så jeg kigger på organisationen. Er det tydeligt, hvem det er, der har ansvar for at gøre det her? Og for at sikre det her? Jeg kigger på udstyret. Hvis ikke de har en knap, hvor de kan rapportere en phishing mail, så gør de det ikke. Hvis ikke, at det er muligt at kryptere en mail, så gør de det ikke. Det er den tekniske del af det. Så kigger jeg på stakeholders, altså på den målgruppe. Og der kan jeg faktisk godt finde på at bruge noget tid på at analysere målgruppen og så sige, nemlig, er den her målgruppe, ved de godt, at de skal gøre det? For eksempel, hvordan er det i målgruppen? Er vi sådan nogen, der gør sådan? Opfatter vi os sådan? Det kommer også senere. Men jeg kan også godt finde på at sige, nemlig, allerede tilbage i første trin, og så sige, nemlig, jeg har lavet et begreb, jeg kalder risk savviness. Og det er sådan en risikoforståelse, men savviness indebærer også, at man ved, hvordan man skal agere. Og det er jo virkelig det, vi kan ændre, for vi kan begynde at mappe folk. Så vil sige, hvis det er på og ned produktionen, så er der ikke så stor sandsynlighed for, at han bliver takket til, at der er en eller anden hacker, men hvis de får hans credentials, så kan de heller ikke rigtig gøre så meget. Men hvis det nu er Sanne fra Service Desk, så står telefonnummeret, det står måske på website, og hun har måske også privilegeret adgangen, fordi hun skal kunne ændre passwords og sådan noget. Så hvis hun bliver hacket, så kan det have en langt større impact. Og det her stakeholders, det er jo her, jeg går ind og siger, hvem er det, der har den her adfærd? Ved de godt, at de skal have det? Og hvordan er deres egen risikoforståelse for egen adfærd? Der kan være noget i det, der gør, at de ikke har den, det gør det rigtigt. Så kigger jeg på processerne. Er det tydeligt, hvad man skal gøre? Er processen vildt kompleks? Jamen du skal tage den her mail, så skal du kopiere den, så skal du vedhæfte den i en mail, og så skal du sende den til I til Sikkerhed. Det kommer ikke til at ske. Hver trin, man skal gøre, er jo en friktion. Så har du tabt folk. Så har du tabt folk. Og det sidste, jeg kigger på, det er det her med hele kulturen. Er vi opfatter, at man sig selv som sådan nogen, der rapporterer mails? Opfatter man den her handling, det her med at sikre sig, at det er den rette modtager, som noget, vi gør? Eller er det okay, hvis man bare har travler, hvis man bare har fokus på bolden, at vi skal løse vores opgaver, og det skal gå stærkt? Så hvordan er vores kultur omkring det her I til Sikkerhed og de her sikre adfærd? Og det er jo først, når vi har afdækket alle de her ting, at vi kan begynde at strække en løsning sammen. Fordi f.eks. i phishing-eksemplet, det kan være, at vi både skal have en phishing-knap. Det kan også være, at vi skal have kommunikeret til de her mennesker, at de rent faktisk har et ansvar. Det kan også være, at vi skal have trænet dem i, hvordan de gør. Og du kan se, den tekniske del, der ryger lige ind i mit sikkerhedsprogram, og så siger, at vi skal have en eller anden form for phishing-tool. Den informative del, det kan være, at man har en intern kommunikationsafdeling, der står for det. Træningsdelen, så er det, at vi kommer til de der e-learning. Og normalt så, de der årlige e-learnings på 20 minutter, der er lavet deres små tegnefilm, hvor der er jo der, jeg siger, at i bedste tilfælde, så er det der underhold, mens de spilder deres tid. Det ændrer jo ikke adfærd. Men træning i lige præcis den konkrete adfærd, vi gerne vil have, det giver mening, hvis vi har analyseret frem til, at det er det, der mangler. Så det er jo først, når vi ligesom har været igennem de her trin, at vi kan begynde at sige, at hver enkelt af de her sikre adfærd, der er der de her friktioner, dem fjerner vi på den her måde, så er der en lang størrelse. sandsynlighed for det. Og man kan bare ikke gøre det med en ordentlig e-learning. Det er ligesom det, der er mit postulat. Man er simpelthen nødt til at dykke ned i for hver risiko. Til gengæld, når man gør det, så kan du sige til din ledelse, jeg skal bruge 20.000 på at træne de her mennesker, særligt fra servicedesk og hendes kolleger, en hel dag i de her ting. Så siger de, og det gør man, når man er leder, så siger de, hvad får jeg for det? Så siger man, den her adfærd, de har her, den ligger heroppe i understøtter. Det her risikoscenarie heroppe i min risikomatrix, det forventer jeg kunne flytte herned. Og året efter, når du laver en ny risikovurdering, så kan du se, hvordan de har flyttet sig, og så kan du fortænke dine adfærdsmæssige handlinger ind i det perspektiv. Så du har dit styr på din funding, du ved, hvorfor du gør det. Og det er tilbage til mine principper om, at hvis du ikke kan forklare det, kan du ikke forsvare det. Men det kan du, når du mapper det på den her måde. Jeg får tusind tanker på baggrund af det, du siger, fordi for det første, de her fem ting, man skal gå igennem, og fem friktioner, og steder, hvor man også kan skabe motivation. Jeg kan komme på eksempler, flere eksempler på dem alle sammen, hvor medarbejdere, og det er jo altid med god vilje, man ser jo også lidt som kommunikationsmedarbejder, så er det en kommunikationskampagne. Eller man ser som dem, der sidder i den tekniske del, det er bare det, der skal til. Så det er jo også det der med at få bygget nogle bruger på tværs. Og så kunne jeg godt lide det, du siger sidst her også med, at man kan argumentere tydeligt over for ledelsen. Fordi ledelsesopbakning er bare så vigtigt. Vi hører jo så også nogle gange, når man kommer og siger, at vi skal altså både bruge sande, og vi skal også lige, og vi skal lige, og så skal der ske det her. Uh, det lyder også meget. Men argumentet igen, når det bliver så tydeligt, jamen hvad er det for en risiko? Det matcher op på, hvad er det, I får? Og hvis I kun kører kampagnen, så får I ikke. Men så ligger der jo en risikoaccept i, at man ikke får den funding. Og det er jo faktisk det, jeg gerne vil have tilbage til, at det her, det handler om risiko. Hvis ikke der er en risiko, skal vi ikke gøre det. Og hvis ledelsen siger, vi skal ikke have de her ting, I skal ikke forstyrre dem, vi kan da ikke hive dem ud en hel dag, så siger man, jamen det er jo en risikoafvejning, og det er dig, kære ledelse, som tager den beslutning. Og siger, det skal de ikke. Jamen fint, jamen så ligger der bare en implicit risikoaccept i det. Og det noterer jeg så her i mit regneraks, så når der sker et eller andet, så har jeg i hvert fald sagt, I vidste det godt, I har taget en ledelsesmæssig beslutning. Ja, fordi nu er jeg jo i til sikkerhedschef til daglig. Det er jo ikke min beslutning. Jeg ejer ikke risikoen, men jeg ejer ansvaret for at sikre, at ledelsen kan tage en rigtig beslutning. Må jeg stille dig et spørgsmål sådan her fra Hoften, hvis vi lige går sådan en lille tur. Ja, vi er gode til det der. Hvordan oplever du, når man er ude og snakker om det her, altså er der en bedre forståelse nu om, at vi også skal snakke adfærd? Det synes jeg, der er. Og jeg synes også, at vi begynder at kunne argumentere for det. Ja. Der er jo også, men det kan man jo så se for 10 år siden, var det 10 år siden, at Jutte fra Marketing kom, hvor vi alle sammen var sådan en koden, hvor er det fedt. Og den er vi ligesom ved at se inden for IT-sikkerhed også, det der. Nå, der er. Der er noget der. Og vi bevæger os også i hele det her. Jeg har jo lavet et postulat om, at jeg security er, hvordan jeg skal dø. Det har skabt meget palaver på LinkedIn og sådan noget. Men der er ligesom sådan en trend, der hvis du ser også er sandt, så begynder at undervise i human risk, hvilket også er et frygteligt, frygteligt term. Altså, det kan vi jo ikke være bekendt. Det er lidt ligesom, når de her store phishing organisationer, de har jo et begreb, de kalder repetitive offenders. Det skal nok få folk til at... Ja. Det er lidt blaming der, nej. Ja. Men det er rigtigt. Og jeg ser jo meget til ham, der hedder Karnemann, som vandt Nobelprisen i adfærdsøkonomi. Og Karnemann, han siger, at hvis det eneste værktøj, du har, det er en hammer, så ligner alle problemer søm. Yes. Og det er jo det, vi har set i IT's sikkerhed i mange, mange år, at det har jo været teknisk drevet. Det er kommet ud af nogle folk, men sindssygt. Altså, virkelig dygtige folk har vi jo haft her i Danmark, men de har jo haft et teknisk fokus, så derfor har de forsøgt at løse problemerne teknisk. Så har der været sådan en compliance-ting, og så har vi prøvet at tænke om compliance, det er sagen. Vi skal bare have nogle checkmarks, vi skal have den årlige e-learning. Og nu er vi ligesom ved at være klar til næste modenhedskridt, hvor det handler om, okay, det er people, det er processes, det er technology. Vi får ligesom set. mere helt på det. Så det synes jeg godt, vi kan sige. Ja. Jamen, det er jeg glad for, at hører, at der er nogle bedre tendenser på vejen. Det synes jeg, der er. Jeg kan jo også se, når jeg bliver booket ud og fortæller organisationer og deres medarbejdere om, hvordan sikker adfærd er, at der er en helt anden bevågenhed på det nu. Ja. Det er jo ikke bare dem nede i IT's sikkerhed, der har ansvaret mere. Nej. Ja. Så det vil jeg sige. Og det kan man godt... Ja. Og det giver mig anledning til, at nu får jeg magten her. Og klikker videre til det her, som jo meget godt understøtter det, som du allerede har sagt. Jeg kommer nok bare med et lidt andet eksempel, hvor når vi arbejder med adfærd, og det er jo inden for alle mulige felter. Altså det her, det er jo en model og en tilgang, som du også siger, er rejst fra andre felter, og nu er ved at komme ind i cybersikkerhed. Ja. Vi bruger den her 5D-model, som jeg har også lavet en lille henvisning ned under mine kollegaer, og så også har videreudviklet på, hvor, som du også sagde før, det handler om at definere det. Vi skal simpelthen forstå, hvad er det, udfordringen er, inden vi overhovedet går videre. Inden vi kan stille diagnosen. Lad os være sikre på, at vi har forstået problemet rigtigt. Der er sådan et eksempel, mine kollegaer rigtig godt kan lide at bruge, at der var nogen, der eller andet sad i en kontorbygning, brokkede sig over, at en elevator var for langsom. Ej, så begynder man straks at tænke på løsning. Elevatoren skal være hurtigere. Hvordan kan vi gøre det mere effektivt mellem etagerne? Jamen, måske var det faktisk ikke det. Altså det er jo et års dyret. Ja. Der bliver sat lidt spejl op. Jamen, så står folk lige og tjekker håret, og har man ikke noget i tænderne, så oplevelsen af ventetiden faktisk korter, og det er jo ikke lang tid, man står ved den elevator. Men det er et lille eksempel på det der, at man lige er sikker på, har jeg forstået det her problem ordentligt? Hvad er det, situationen er? Hvordan er den oplevet? Og hvad kan vi gøre? Men det er jo faktisk lidt ligesom i lufthavnen. Ja. Der har været en lufthavn, hvor folk har stået og ventet sindssygt længe på bagagen. Ja. Og de ville gerne give gæsterne en god oplevelse, men det der ventetid ved bagagen, det kunne de simpelthen ikke logistisk gøre noget ved. Nej. Så gjorde de simpelthen sådan, så den der, den tur man skulle gå, når man kom ud af flyvemaskinen, og ned til bagagen, den blev længere, de lavede den mere snørklet. Ja. Sådan, så det passede med, og når folk kom frem, så var bagagen der. Ja. Og de havde en meget bedre oplevelse. Ja. Altså, det er jo en måde at bruge det på. Ja. Og der er vi jo også over hele det her nudging og sådan noget, som der også har været snak om i mange år og sådan noget. Ja. Men altså, inden for sig, app og sikkerhed, jeg tænker lidt alle knepkælder. Gør I det? Det gør det da også. Altså, fordi det handler jo om vores virksomhedssikkerhed og vores samfundssikkerhed. Ja. I stedet for at sådan gå gennem modellen på teoretisk niveau, så har jeg taget et eksempel med fra en virksomhed, som vi arbejdede med, og som havde, hvad kan man sige, fundet en risici, som var vigtig for dem at adressere. Stor virksomhed ud mod noget offentlige transporter og busser og alt muligt. Og det var simpelthen kommet dem for øre, at rigtig mange af deres medarbejderne har jo brugt transporttid til at få arbejdet, lige få tjekket mails, lige få fulgt op på noget i telefonen. Og det er et velkendt fænomen, og der kan man så sige, hvad har det med cybersikkerhed at gøre? Altså, at folk de står og taler office-slader i bussen. Men det har det, fordi du får sagt noget om, hvad er den kommende handel er, eller hvem er en medarbejder, der måske er lige ved at blive fyret. Folk kan ret hurtigt glemme, at der er altså nogen, der lytter med. Og du vil ret hurtigt kunne finde nogle rigtig gode informationer om, hvad der foregår i den her virksomhed. som virkelig kompromitterer sikkerheden. Og det er jo det, som cyber- og informationssikkerhed også handler om. Så det her, det var blevet udvalgt som noget, der skulle arbejdes med. Og der var jo et stort præstyr om, hvordan kan folk overhovedet finde på det, og vi må have nogle plakater og noget opmærksomhed omkring det her. Og der fik vi så lov til at komme ind og sige, kan vi lige træde et skridt tilbage og finde ud af, hvorfor er det, folk gør det her? I første omgang. Hvorfor er det, at de ikke tager de her snakke inde på kontoret? Inden vi går ud i at finde en løsning. Og bare hoppe ud i det. Og vi fik både snakket med nogle folks observerede ankomstområdet og være med ude i bussen og finde ud af, hvad det er, der går ud på. Og det, der så kom frem, var, at rigtig mange medarbejdere, når de sad i det her åbne kontorlandskab, ikke ville forstyrre deres kollegaer. Og der var ikke så mange telefonbokser, man lige kunne træde ind i. Der var helt konkret også et ringgøringskosteskab, man lige kunne gå ind i. Men hvis det var optaget, så det var egentlig ud af noget godt, man ville gerne tage hensyn til sine kollegaer, være lidt effektiv, jeg klarer det lige på computeren, når jeg sidder i toget eller i bussen på vej til eller fra arbejde. Det var bare ikke særlig hensigtsmæssigt. Så de her kampagner kunne vi jo så godt have en stor tvivl om, vil det overhovedet have nogen effekt? Fordi folk vil jo så nok vide, jamen det skal jeg ikke gøre, men de har ikke nogen mulighed for at handle på det. Og det må man jo endelig gøre. Der skal være mulighed for at handle, så snart du giver folk, at det her er forkert, så skal du kunne komme ud af det. Det skal være en positivt lavet adfærdsangivende kommunikation. Lige præcis. Det var med de flotte ord. Så det kostede jo så faktisk lidt mere, fordi så skulle der også nogle rigtige telefonbokser op, så folk havde mulighed for det. Og inde i receptionsområdet også noget sådan. Det her, det er vores virksomhed. Her går linjen, hvor virksomhedens informationer stopper. Altså så man på små steder hele tiden bliver der gjort opmærksom på, at her må du tale. privat. Her er vi ude i det offentlige. Sådan også fornøjet til, hvor er vi henne i de her forskellige rum. Og så har vi de her to både dokumenter og deliver, hvor vi prøvede det af. Først igen, kend din målgruppe. Den punkt kunne jeg også rigtig godt lide. Det er ikke det samme, om du sidder nede i production, eller hvor du er henne i den her ret store organisation. Så hvor er det aller, aller vigtigst? Hvem er det? Det er et aller, aller størst problem for. Så er det jo der, vi skal sætte ind. Prøve det af i et kontor først. Nå, men de her lydbokser, de er jo faktisk ikke helt tætte nok. Og vi skal have den anden slags. Altså, der er jo alt muligt, der kommer frem. Og det er jo så også der, hvis jeg skal sige nogle lidt af udfordringerne med det her. Det kan godt tage lidt tid at komme hen til de rigtige løsninger. For man bliver nødt til at teste af. Og der kan jo godt måske være nogle utålmodige ledere, eller nogen, der kigger på budgettet. Men der må vi bare sige, hvis du vil have noget, der virker, så bliver du nødt til det. Og lav en lille test først. Lige med målgruppen. Altså, det kan være så lidt som at gå ned til søren og lige sige, hvad tænker du om de her tanker? Vil det fungere i din hverdag? Prøv det af. Inden det bare ruller ud til 1.500 mennesker i sådan en stor virksomhed. For der sparer man sig altså også nogle penge. Inden man så til sidst kan skalere det. Lige præcis. Fordi det er altså sådan, vi får arbejdet ordentligt med de her risici. Og kan sige, det var jo det her, I ville, og så skal der det her og det her til. Og det er jo derfor, det er så smart at mappe det tilbage til sin risikoscenarie. Fordi dem har du jo prioriteret. Du ved jo, hvad dine kritiske processer er. Du ved, hvis du, altså hvis man gør det ordentligt, så ved man, hvad ens kritiske processer er. Man ved, hvad der er de vigtigste risikoscenarie, og hvad der ikke er lige så vigtigt. Hvor er impacten henne? Og når du har det, jamen så kan du jo også prioritere din awareness og dine adfærdsindsatser. Så sige, jamen det her er vigtigere end det her. Så er det her. Vi starter. Og de her mennesker, hvis de bliver hacket, så er det vigtigere end de her mennesker. Jamen så er det dem, vi starter med. Og så er det dem om at gå ud og forstå de mennesker. Det er det, du er fuldstændig ret i. Det er det, man går ud. Jeg kalder det let røvenprincippet. Du kan ikke ændre adfærd fra dit skrivebord. Det kan ikke lade sig gøre. Så det handler om at komme op og komme ud i butikken. Jeg har været bartender på en fredagsrok, hvilket når man er A-mennesker er den rigtig meget op og bare ikke. Jeg har været nødt til at sidde i intern service. Jeg har været over og stå bag receptionen på vores hotel. Jeg har været ude. Vi er nødt til at forstå, hvordan de her menneskers hverdag er. Hvis de skal orientere sig i 31 team sites, så misser de noget. Det er bare sådan, det er. Men det ved man ikke, før man er ude hoste. Så du er fuldstændig ret. Det er den der analyse. Og man får hurtigt skyklapper på. Vi var ude i en anden organisation, hvor man så havde besluttet, at alle skulle bære synlig ID-kort. Og det lyder også rigtig godt. Men når man har så mange forskellige medarbejdergrupper på så mange forskellige lokationer, som de havde, så er det faktisk ikke bare sådan lige. Det der med at virkelig forstå, hvordan skal de få dem udleveret? Hvor på arbejdstøjet skal de sidde? Hvad er det for en kultur, de så kommer af? Hvor jeg kender da, hun har jo været her i 42 år. Hvorfor skal jeg til at tjekke, at hun har ID-kort? Altså forstå dem, forstå de forskellige måde. Altså en forskellig friktion, som er meget forskellig i de forskellige målgrupper. Det er ikke en lille opgave. Det er det. Men man er også bare nødt til at sige, one size fits no one. Ja. Altså det virker ikke på ret mange, når man laver de der kæmpestore metakampagner og ruller det ud. Fordi folk føler sig ikke ramt. Jeg tror, at det er Morten Mønster, der har det der eksempel med mobbning. Hvor han siger, at mobbepolitik, alle er som ren enige i en mobbepolitik, fordi vi anser ikke os selv for dem, der mobber. Så det er jo sådan et gratis budskab, for alle er fuldstændig enige. Det ændrer ikke en skid. Så det er jo det samme med IT-sikkerhed. Vi synes jo alle sammen, at vi skal holde hackerne ude. Det er der ikke nogen, der er uenige i. Men vi tænker ikke os selv som et muligt mål. Eller vores egne handlinger som en mulig mål. Og der tænker jeg, at der er jo også noget i forhold til bias, at man tror jo også selv ofte, at man er lidt bedre, end man er så spotty ting. Altså der må være noget inden for edfærdsteorien, der understøtter det. Altså vi har jo den her bias, der hedder overconfidence bias. Yes, det var den. Og den gør jo, at vi tror alle sammen, at vi er en lille smule bedre end eller andre. Vi tror, at vi er bedre til at forstå dem. Vi tror, at vi er bedre til at kommunikere. Vi tror, at vi er bedre til at håndtere situationer. Og noget af det i min bog, der handler det jo netop om det her med, hvad gør den her overconfidence bias ved vores evne til at lave contingency planer? Hvis vi tror, at vi er smadrer gode, så behøver vi ikke skrive det ned. Hvad er vores evne til at vurdere en risiko? Jeg er mega god. Jeg har mega meget styr på alle de her trusler. Det er faktisk sådan, at 76 procent af folk i Sverige i en undersøgelse mente, at de var bedre til at købe bilen gennemsnitlig. Der var et amerikansk universitet, hvor de undersøgte de her lærere og de her undervisere, at 80 procent af underviserne på det her universitet, de mente, at de var bedre til at undervise end alle de andre. Der er også et eller andet der. Og alle studier understøtter, at vi har den her overconfidence bias. Og den er, Karnemann han blev på et tidspunkt spurgt, hvad er den mest farlige bias? Altså man har jo mappet 380 eller sådan noget. Og han mener, at overconfidence bias er den mest farlige, fordi den kan få os til at gøre ting, som er urealistiske. Så har vi en optimism bias, der gør, at vi tror, at det mest optimistiske udkommer af en given hændelse, er det mest realistiske. Det fucker også med vores risikovurderinger. Så vi er jo bias på alle mulige måder. Og det er vores medarbejder i organisationen jo også. Men mit postulat er, at vi skal jo kigge på os selv som sikkerhedsprofessionel og så sige, at hvis jeg tror, at jeg er bedre til at kommunikere, end jeg i virkeligheden er, så er det jo der, at den der test kommer ind i billedet. Så skal vi jo teste vores kommunikation på en lille målgruppe før, at vi breder det ud til alle. Fordi hvis vi nu ramler vores overconfidence bias, så nytter det ikke. Og jeg oplever så også, at man får rigtig meget medvilje og respekt på, at man kommer ud åbent og ærligt og siger, at vi har det her problem, som vi gerne vil arbejde med. Jeg ved, at din hverdag er langt fra min. Jeg er simpelthen så nysgerrig på, hvordan det fungerer. Hvad tænker du om det her? Jeg har simpelthen aldrig mødt nogen, som så ikke ville tage godt imod. Jeg har mødt, hvis man kommer for hurtigt ud og siger, at du skal læse den her pamflet, og så skal du gå med det her kort. Det skal vi ikke. Så får det modstænd. Ja, præcis. Men hvis man allerede har været åben, nysgerrig, prøvet at forstå, og så er man jo klædt på, når der så kommer nogle spørgsmål. Det er præcis. Altså, hvordan skal vi få det udleveret? Ja, nu skal du høre, at vi har aftalt med bum bum bum, at det kan I gøre sådan og sådan. Men det der med at gå ud og være nysgerrig på det og være lidt ydmyg på det, det handler faktisk lidt om et begreb, der hedder reciprocitet. Og reciprocitet er ikke kun en godt ord, når man spiller Scrabble. Ja, men det er det altså. Men reciprocitet handler om den her trang, vi har til at give noget tilbage til nogen, der giver noget til os. Og et spørgsmål kan faktisk ses lidt som om, at man giver noget til en. Det her med, at jeg giver dig min opmærksomhed, jeg giver min nysgerrighed. Og hvis jeg skal beskrive det, så er det lidt ligesom, hvis man bliver inviteret til middag hos nogen, så har man en eller anden lyst til at tage noget med. Eller hvis man har været til middag hos nogle gode venner, så tænker man med det samme, når man går hjem, nu er det min tur til at invitere næste gang. Jeg håber, I kender det dem. Det er der trang til at give noget. Den er fuldstændig instinktiv i os. Det er helt tilbage til stenalderen og vores stammefolk, hvor man ikke overlevde, hvis ikke man var i en flok. Og det ligger så instinktivt i os. Og jeg har rigtig mange eksempler, hvor man kan bruge det, når man arbejder med it-sikkerhed. Det her med at give sin nysgerrighed. Spørger folk nysgerrigt ind til det. Jeg bruger det også. Jeg laver videoer. Så jeg står foran et meget håndholdt kamera. Men jeg har jo fundet ud af, at alle de unge mennesker, hvor er de henne? De læser ikke processer. De læser ikke internet-artikler, kan jeg godt fortælle jer. De sidder inde i hans telefon, så tænker jeg, hvordan kommer jeg derind? Så jeg laver videoer. Jeg laver videoer på maks. et minut. Så laver du sikkert password. Det her skal du vide om VPN. Sådan her deler vi filer. Og man kan se på videoerne, at jeg er ukomfortabel. En lille smule kører jeg ind foran det her kamera. Du bringer også dig selv i spil. Jeg bringer mig selv i spil. Det viser, at jeg går det ekstra mil for at få forklaret de her mennesker om de her ting. Og så får de lyst til at give mig noget tilbage. Og så er det jo meget nærliggende. De giver noget tilbage, som er det, jeg beder om. Så bruger de VPN. Så laver de sikkert password. Og jeg tænker også, at der må være noget i det her med, at de får dig på som ansigt. Det er dig lidt mere personligt, end at det er sådan en lidt mere sløret, stor organisation. Man kan jo også se det, hvis man køber noget. Det har jeg lagt mærke til nogle nethandler. Hvis du får eller nogle gange, at der er et håndskrevet kort med, ej tak fordi du handlede hos mig. Så bliver det sådan, ej gud, der sidder en person i den anden ende. Det er det. Det er det personlige. Altså det der med, at der er en afsender. Altså jeg vil sige, at man er lidt jadevildt, når man så går igennem kantinen. Men det er også fedt, fordi så er man tilgængelig, og så kan de stille spørgsmål. Men det der med, at der er en personlig afsender. Jeg tror jo faktisk ikke på stockfotos og tegnefilm og sådan noget i det her øjensmaterie. Jeg tror på, at man skal lave det selv. Fordi det her personlige og det her med, at der er en afsender, det er i høj grad noget, der motiverer. Men det er svært. Jeg tror, at når vi ser i IT-sikkerhedsbranchen, så de store firmaer, det er jo, man kan jo ikke sælge det. Man kan jo ikke lave et awareness firma og så sælge, at I skal faktisk lave det selv. Så det vi ser lige nu, det er, at folk prøver at sælge stockfotos og awareness, der er lavet med AI og sådan noget. Fordi det er jo det, de kan sælge. Og den er da også måske rar, som organisationer tænker, hvis vi har det her, hvis vi gør det her på den her måde, vi følger deres, det de køber, tjek, og så er vi videre. Så har vi compliance. Og det er jo der, hvor hvis jeg skal lige tage Jonas Advokat-hat på, der er jo stadig noget arbejde, når vi kommer ud og snakker med virksomheder i, at det kan være, I når lidt færre risicihåndteringer på den her måde. Fordi det kræver et forarbejde, det kræver en bearbejdelse, det kræver noget opfølgning, en test inden man, altså, det kræver noget mere, men det bliver ordentligt. Altså, det bliver noget, der får en effekt. Vi mitigerer rent faktisk noget risiko. Ja. Og nu er jeg jo på dit hold, så det er jo svært at stille det kritiske spørgsmål, ikke? Men møder du den der sådan, ah, ved du hvad, det er for tungt. Det er simpelthen for tungt at arbejde med. Ja. Og det gør man jo, fordi det er ikke nemt. Og vores hjerner tilbage til alt det der med spare energi, de vil jo gerne have det nemt. Det vil jo være dødnemt, hvis vi bare lige kan købe de her 20 små tegnefilm. Så vi kalder det mikrolæringer, fordi det har vi hørt, det er det helt nye. Så sender vi det ud til folk, og så ved vi, ja, så kan vi sige tjek, tjek, tjek. Og det sker jo, I så syr til 1000 og et eller to, eller hvad man nu bliver certificeret efter. Den siger jo ikke noget. om, hvordan man skal lave risikobaserede awareness. Den siger bare, at du skal gøre det. Ja. Og hvis du så køber det der, de der 20 små film med stokfotos og små mænd, jamen så kan du, så har tjek, så har du rent faktisk ledet op til det. Ja, det er rigtigt. Men hvis vi kigger på nistonen, der kommer, den taler jo om sikkerhedskultur. Og det kan du altså ikke klare med små e-learnings, eller små videoer. Ja. Den siger ikke ret meget om awareness, men den siger faktisk rigtig meget om sikkerhedskultur. Men den går ikke sådan decideret ind at definere, hvad det er. Ja. Så har vi jo så igen et problem med, at det bliver ikke nemt. Ja. Det synes jeg er ret interessant, og der sker det skifte lige nu, hvor vi bevæger os fra at tale om awareness. Hvilket er sjovt, for det gør Dora. Ja. Det kommer fra samme sted. Den taler om awareness 31 gange, eller hvor meget det er. Men NISO siger sikkerhedskultur. Ja. Så er der noget skiftet der? Der er et eller andet skift. Og så er der det her skifte hen imod os, at det er ledelsen mere og mere, der får hånden på kokekladen. Og jeg kan godt forstå, at de så gerne vil kunne tjekke, tjekke, tjekke, for så har jeg gjort det. Men det er jo der, der er et vigtigt stykke kommunikationsarbejde i at komme ind og sige, nu har vi muligheden for at snakke om det her på en ordentlig måde, altså med adfærd, og komme hele vejen rundt om. Ja. Ja. Øhm. Jeg går lige videre til. Den her, fordi vi nærmer os sådan stille og roligt sidste del af det her webinar. Det er gået alt for hurtigt. Øhm. Men hvis man har et spørgsmål, så må I gerne bare stille det ud i chatten. Jeg kan godt se det lidt småt til det der, for jeg lige sådan læner mig frem. Men skriv endelig, hvis I har et spørgsmål. Og ellers så starter jeg her, hvis du kunne vælge et budskab om cybersikkerhed og adfærdsdesign. Og nu vælger jeg tre målgrupper. Uh! Ja. Jeg udbygger lige lidt. Ja. Gør lige det. Til dem, der ikke ved noget om cybersikkerhed. Dem, der laver noget andet ude i virksomheden. Og siger, det er faktisk ikke mig. Ja. Og så dem, som faktisk sidder med cybersikkerhed. Og så ledelsen. Ja. Kan man gøre det sådan? Det kan man jo godt. Jeg kunne godt tænke mig at vende den om. Ja. Og så starter med ledelsen og sige, altså det her med at have en risikobaseret tilgang til ledelsen. Ja. Og sige, nemlig, vi kommer aldrig til at løse alt. Men vi skal løse det vigtigste. Ja. Så det vil være mit budskab til ledelsen, det er at finde ud af, hvor er risikoen størst, og så sætte ind der. Ja. Og det er jo faktisk nærmest det samme til I til sikkerhedsarbejde. Fordi at one side fits no one. Og det er ikke de samme trusler, som man har, som I til sikkerhedsarbejde, i den ene organisation, som man har i den anden. Så det der med at forstå det billede, og så tilbage til Adfordsdesign og sige, hvorfor ser det ud, som det gør, og hvor kan vi sætte ind i forhold til, at det skal være risikobaseret. Og til de her mennesker ude i organisationen, så er det jo noget med at forstå, at det kan godt være, at du ikke selv synes, at du har noget af værdi, men bare det, at folk får adgang til dig. Det er din mailbox. Det gør, at de kan begynde at griblekabler. Så det her med, at bare tælg dit brugernavn og password, er guld værd for en hacker. Og forstå det. Det er en rigtig god start. Ja. At alle har noget med det at gøre. Alle har på en eller anden måde noget med det at gøre. Og vi ser det jo rigtig meget i nogle tendenser, at selv helt almindelige mennesker, fordi de scraper bare, helt almindelige menneskers brugernavn og login, kan jo være starten på de største angreb. Så alle har en rolle? Ja. Det vil være mit budskab. Hvad med dig? Jeg er helt enig. Og jeg vælger så også en specifik målgruppe. Ja. Og der vil jeg faktisk godt tale lidt til min egen faglighed og til dem, der er kommunikationsuddannede. Så hvis du kunne vælge ét budskab om cybersikkerheds- og adfærdsdesign for mange større virksomheder, har jo en kommunikationsafdeling, som man så arbejder sammen med. Måske, hvis man er heldig. Hvis man er heldig. Ja. Og der kan nemlig også være lidt sådan en, åh, med cybersikkerhed. Det er det tekniske. Det er ikke rigtigt os. Ja. Altså det har jeg mødt. Det har jeg mødt. Vi kan godt hjælpe med at lave plakaterne, men uh, de bliver næsten sådan. Jeg har mødt det rigtig mange gange, at de tænker, at det er jo jer, der gør det. Ja, det er ikke os. Og der må jeg jo bare gribe i egen barm, for jeg er kommunikationsuddannet oprindeligt og kommer fra den faglighed, så jeg kan godt forstå det. Og der håber jeg, og efterhånden med mere og mere viden og mere godt materiale på det her område, at der er flere, der vil træde ind i virkelig at tænke adfærdsdesign og cybersikkerhed. De behøver ikke at forstå. alle forkortelserne, alle teknikken, men samarbejdet med cybersikkerhedsafdelingen. Og hvordan understøtter vi det at hjælpe hinanden med at forstå, fordi de ved jo noget om virksomheden og hvordan man kommunikerer godt til, kender målgrupperne rigtig godt. Og kanalerne kender de rigtig godt. Så at de tør at bringe den faglighed ind i det arbejde og tænke adfærd som noget mere end plakater og en god side på intranettet og så videre. Og hjælp med at tænke det der adfærd. Der ligger bare nogle virkelig spændende opgaver. Og nogle virkelig spændende jobs i at kunne koble det fra den side også. Vi har en slide med her, hvor jeg lige skamløst gør reklame for mig selv, fordi vi har et webinar mere. Desværre ikke med dig, men med en god kollega, Carsten Jørgensen. Det ville jeg være glad for, hvis du gjorde. Jeg holdt en afstemning på LinkedIn, hvor jeg havde nogle emner fra den kommende, eller den bog, som er kommende. Nu skal jeg ikke sige kommende, for den er kommende. Jeg kommer. Ja, det er simpelthen så underligt. Og det var også risikostyring, som folk rigtig, rigtig gerne ville høre om. Det er også bare opklift vigtigt. Vi har jo bundet op til det flere gange i dag. Helt uden at tænke på det, så passer det jo egentlig meget godt i tråd med hinanden. Der er et lille link her, der er også en QR-kode. Hvis man vil følge det, så kan man melde sig til, og det er om 14 dages tid. Så får man lige sat lidt flere ord på risikostyring. Og så har vi jo de her bøger. Har du et par ord lige at sige om din bog her? Hvorfor skal man læse den? Det skal man, fordi nu har vi alt for længe kigget på The Weakest Link og Human Factor og sådan noget, som de der kolleger ude i organisationen. Og nu er det tid, at vi tager den der linse af venneren 180 grader og kigger på os selv. Så den her bog, det er jo med alle mulige farverige historier, og jeg har jo alle mulige dyr med. Jeg har skrevet med min editor i går, var det det der med isbjerne? Nå nej, det er det med en usyn i goriller. Så jeg har jo alle mulighed prøvet at gjort det lidt let og lidt tilgængeligt og lidt underholdende at lære om sig selv og hvordan vores egne biases påvirker os i vores arbejde, når vi arbejder i det sikkert. Så derfor er det både underholdende og lærerigt. Og der kommer helt konkrete, praktiske eksempler på, du kan gøre sådan her, du kan gøre sådan her, eller du kan gøre sådan her. Så det er en ikke akademisk, teoretisk tilgang meget mere sådan, prøv det her, for jeg har prøvet det. Ja, og den bog, jeg har været med til at skrive her, den på samme måde, jeg kan høre, vi har lidt samme målgruppe, det der med, når nu vi inviterer flere ind til at tænke på den her måde og til at tænke og træde ind i cybersikkerhedsverdenen, så skal vi også have noget ordentligt materiale til det. Vi underviser på Statens Informationssikkerhedsuddannelse her i Implement og har haft rigtig mange deltagere, der siger, det er meget fint med cybersikkerhed, men hvad er det lige med ISO? Hvordan passer det med Dora? Du sad også og havde alle de her forkortelser, og det kommer vi meget hurtigt til. Der er egentlig ikke så meget farligt ved det, men man skal jo selvfølgelig lige have lov til at vide, hvordan hænger det sammen? Hvad er processerne for det? Hvad er det, de mener? Og der har vi så en model, vi kalder Sikkerhedshuset og de vigtigste emner, man skal kugle lidt om. Helt sådan en highlights risikostyring og hvad er alle de her forkortelser, roller og ansvar og det sidste kapitel så her om adfærd. Så der er QR-koder til dem begge to, hvis man har lyst til at kigge lidt nærmere på det. Det håber vi. Og nu har den stået her stykke tid, så derfor så tillader jeg mig at gå videre til den her. Ja. Og så sig tusind tak til dig, Sarah, fordi du ville komme herud en tidlig morgen. Ja. I november. Tænkte jeg allerede i november. Og jeg vil også gerne lige sige tak til Jonas, som har jo hjulpet os med det tekniske undervejs. Og så selvfølgelig tak til jer, som sad derude og lyttede med. Hvis I har nogle spørgsmål eller kommentarer eller noget, der ikke var tydeligt, anything, vi vil meget, meget gerne høre fra jer. Det gider vi da. Så ræk endelig ud. Jeg har smækket en e-mail på i bunden. Det var det. Jeg tænker, at vi lader folk slippe ud i morgentrafikken. Ja. Ha' en god dag. Hej. Hej. Jo.