Fem tibetanere hver morgen. Minimum ét cardio træningspas dagligt. 300 gram grøntsager ved hvert måltid. 15 minutter i havearbejde hver eftermiddag. Italiensk, spansk og russisk lektioner på Duolingo hver aften.
Fra i morgen skal det være en del af min daglige rutine.
– Oddset for, at det sker, er ringere end oddset for, at det danske herrelandshold vinder fodbold-VM.
Årsagen er, at det ganske enkelt er uoverkommeligt at ændre vaner på så mange områder på én gang. Også selvom jeg tænker, at alle vanerne er gode og fine.
Afdelingen for informationssikkerhed har typisk et katalog af adfærdsregler, som medarbejderne skal følge for at sikre et fornuftigt informationssikkerhedsniveau i virksomheden. Og det sker – I kid you not – at listen over mellem 10 og 20 påbud og forbud kommunikeres i et hug og medarbejderne herefter forventes at følge reglerne fra da af.
Vaner, som er masseret godt og grundigt ind i den daglige rutine, forventes at blive lagt på hylden og nye procedurer sat i stedet.
Før smed vi papir i papirkurven; nu skal de i makulatoren.
Før lagde vi filer på USB, når vi skulle have dem med; nu skal alle filer tilgås i virksomhedens fildelingssystem.
Før tog vi kun ID’et frem ved personaleindgangen; nu skal vi bære det synligt på arbejdspladsen og huske at tage det af uden for matriklen. Før … fortsæt selv.
Selvom jeg har en ambition og motivation til at spise sundere, dyrke mere motion, holde haven og lære sprog, så er det urealistisk, hvis jeg fra den ene dag til den anden skal lægge så mange vaner om.
Men hvis jeg doserer det over tid, er der håb for at blot nogle af ambitionerne kan gå hen og blive en naturlig del af min hverdag.
Det samme gælder, hvis medarbejdernes informationssikkerhedsvaner skal lægges om. Det skal doseres over tid, så de første rutiner når at blive en naturlig del af hverdagen, inden de næste lanceres. Derfor tager informationssikkerhed tid. Og derfor skal de prioriterede handlinger udvælges på baggrund af en risikovurdering.