人们之所以不投资于信息安全,是因为甘冒“坏事不会发生在自己身上”的风险。所以,如果你想要在公司推行信息安全观念,顶尖的专家会这么告诉你:你必须先把它转变成人们会想购买的东西。
推销的基本法则有两个:若非产品本身能提供买方想要的东西──诸如满足感、慰藉或金钱,便是产品本身能让买方远离他不想要的东西──诸如袭击、诈欺、窃盗或恐怖攻击。
卖给某人他想要的东西远比卖给某人他想避免的东西来得容易,这在销售世界里可说是老生常谈的道理。人们总是心不甘情不愿地购买保险、购买家庭安全设施,或任何能维护计算机安全的东西。这并不表示他们从来不买这些东西,而是,购买这些东西往往要经过一番天人交战。其中的道理涉及人类心理层面。无论是厂商试图销售安全产品或服务,或企业CIO试图说服资深管理阶层投资安全软/硬件,又或安全主管试图导入一套安全政策要员工遵守,他们面对的其实是同样一种心态。
你若愈了解你的买方,你便愈能成功地推销。
人们为何甘冒风险?
首先,这涉及一点“前景理论(Prospect Theory)”,这是近来相当热门的行为经济学(Behavioral Economics)之根本理论。“前景理论”系由Daniel Kahneman(他因为这套理论及其它相关研究而荣获2002年诺贝尔经济学奖)及Amos Tversky于1979年发展出来的。该理论解释了人们在面对风险时,会如何做出抉择。在此研究之前,经济学家提出的“经济人”模式,认为一位充满理性的人会依据一些逻辑计算而做出抉择。Kahneman与Tversky则让大家了解,真正的人类行为不仅更微妙难测,也更加难缠。
接下来,我们便做个实验来说明“前景理论”。将房间里的人分成两组,要求其中一组从以下两个选项中选出一项:100%的机率获得500元,及50%的机率获得1,000元;另外,也要求另一组从以下两个选项中选出一项:100%的机率损失500元、及50%的机率损失1,000元。
这两种抉择非常类似,但传统经济学会认为,无论是获得或损失,都不会出现不一样的结果:人们是以直接明了的方式计算出相对结果,再据以做出抉择的。有些人偏好 100%确定的东西,有些人则偏好碰碰运气。无论结果是获得或损失,都不致于影响数学运算法则,当然也就不会影响结果了。这就是传统经济学里的“效用理论(Utility Theory)”。
不过Kahneman与Tversky的实验却与“效用理论”相互抵触。他们认为,在“获得”的情况下,约有85%的人会选择100%能获得的小额金钱,而不是金额较大,但获得机率却只有一半的钱;而面对的如果是“损失”的情况时,约有70%的人会选择金额较大。但损失机率只有一半的钱,而不是100%确定会损失的小额金钱。
许多研究人员一次又一次针对不同年龄层、性别、文化,甚至不同族群进行同一项实验,得出的结果都相同。“前景理论”直接否定了“经济人”这项传统想法,而认为人们对于获得或损失有一套自己的价值观。我们于是发展出认知上的两项经验法则:其一,已经到手的收益,比更大、但不必然能获得的收益来得好,正所谓“一鸟在手,胜过二鸟在林”;其二,已经确定的损失,比更大、却不必然会发生的损失还糟糕,正所谓“逃跑,保住性命、改日再战!”。当然,这并不非一成不变的法则。傻瓜就会选择100%到手的100元,而放弃50%获得100万元的机率。只是,在一切条件都相等的情况下,我们对于收益倾向采取“风险趋避(Risk-Adverse)”,对于损失则倾向采取“风险追寻(Risk-seeking)”。
此一经验法则的影响力大到可能导致逻辑上前后矛盾的结果。利用Google搜寻Kahneman与Tversky广为人知的“亚洲疾病实验(Asian Disease Experiment)”例子,我们便可了解,若以不同的方法描述同一政策选择──宁可选择“600条生命中有200获救”,或选择「600条生命中有400条丧生“─时,将得出截然不同的风险反应。
这样的经验法则会随着时间而深植人类的脑海。接受小收益,而非冒险等待较大的收益,遂成了较佳的生存策略。举例而言,狮群会选择追捕年幼,或受伤的牛羚,因为猎杀牠们所需投入的精力较低。成年及健康的猎物或许比较营养,然因为失手而饿肚子的机率也较大。小小的一餐便足以让狮群安然度过一天,保留体力等待隔日再出击。度过眼下的日子,远比期待明天「可能的」大餐重要多了。同样地,甘冒较大的损失风险,也比接受较小的损失还令人能接受。动物往往是在饥饿与重生的边缘徘徊求生存,任何食物损失─不论大小,都一样糟,都有可能导致牠们死亡。因此,最好的选择便是紧紧抓住当下的任何机会。
如何营销信息安全观念?
“前景理论”如何解释推销安全相关产品或服务的困难呢?我们可以将此视为是在“必然的小损失”(安全产品的成本)及“可能的大损失”(例如,某网络遭攻击的后果)之间做抉择。当然,这中间涉及许多细节,例如,买方必须深信这项产品真得能发挥作用,买方也必须了解本身面临的威胁,以及安全不保时可能产生什么后果。我们假设一切情况都相同,买方便往往宁可冒险认为不会发生安全攻击事件,也不愿花一笔固定的金额购买安全产品或服务。
安全产品或服务厂商知道这一点,但不知怎么地,他们就是一再地以“能带来正面结果”这样的讯息在推销自己的产品。你不难看到周遭四处充斥着这样的广告标语:“我们照顾你的安全,让你专心照顾你的生意”,或小心翼翼地建构投资回报率(ROI)模型,试图展示购买安全产品与服务能带来多大的好处。只是,这种方法从没成功过,基本上,你得从负面结果来推销安全。
解决之道便是强化卖方的“害怕”。“害怕”是一种原始的情绪,比我们算计得失的能力还古老。当人们真正感到害怕时,他们会愿意做任何事,只求让这种感觉消失。许多心理学研究人员赞同这项论点。防盗器销售员会告诉你,客户都是在自己,或邻居被抢之后,才向他们购买产品的。九一一恐怖攻击事件加深了人们内心的恐惧感,让整个安全产业掀起一片反恐声浪。当情绪盘据心头时,人们便较难做出理性的思考。
虽然效果十足,利用人们的害怕心里进行推销总有那么一点不道德。最好的解决之道是,别直接推销安全,而是将它纳入一般的产品或服务中。你的车子是安全的,在你购买时便已内建安全机制了,并非个别销售的;你的房子也一样,计算机、网络也不例外。厂商得将安全内建在客户实际需要的产品或服务中。CIO应该将安全纳入每项采购预算的一环。而且,安全不该是员工得另行遵守的政策,而应是整体信息科技政策的一部分。
防护的本质是要趋吉避凶,你无法忽略此一经验法则已深植于人类大脑的事实。然而,一旦你了解这个道理,便有更大的机会克服之。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
移动安全培训迫在眉睫
移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。
-
公司网络安全:别忽略数据
分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。
-
新数据对信息治理和安全至关重要
公司已经意识到,为了平衡经济和性能效率,使用移动设备和云计算这样的技术,信息安全投资至关重要。
-
业务流程管理可有效控制影子IT
Derek Lonsdale是PA Consulting集团的IT转型和精益方面的专家,本文中,他将分享业务流程如何帮助企业有效避免影子IT。