信息安全心理学--公开阅读版

信息安全心理学————及其在销售中的应用李德全博士，副总工程师2014年5月航天恒星科技有限公司（503所）2014年5月航天恒星科技有限公司（503所）李德，师2014年5月1说明本文档适合信息安全销售和售前人员阅读。此类研究较少可资参考的理论不多不成体系此类研究较少，可资参考的理论不多，不成体系，请见谅！CaveatEmptor：1本文档不定会教给您如何销售安全的新方法1.本文档不一定会教给您如何销售安全的新方法，也许您早已经是这么做的，本文档只是从另外一个视角讨论而已别期望太高个视角讨论而已，别期望太高。2.正如安全技术是双刃剑一样，这里提到的方法亦如是作者对切后果概不负责2014年5月航天恒星科技有限公司（503所）如是。作者对一切后果概不负责。2测试一：今天过节，发过节费，平均每人500元，但是我们不搞平均，我们搞一个游戏。请选择：A.直接获得500元B.猜硬币，赢得1000，输了没有你选哪个？2014年5月航天恒星科技有限公司（503所）3测试二：今天过节，聚餐。但是公司没有这笔预算，需要大家凑钱。请选择：C.直接掏200元D.猜硬币，输了掏400，赢的免了你选哪个？2014年5月航天恒星科技有限公司（503所）（多少人会选A、D）4目录一、前景理论及其应用√二、权衡及其应用、权衡及其应用2014年5月航天恒星科技有限公司（503所）5安全是客观的现实的安全是一种数学，可以根据各种威胁的概率和各种对策的效能进行计算。你可以依据你所在社区的犯罪率和你锁门的习惯等计算你相对于入室盗窃的安全程度；我们也可以计算一个人被谋杀的概率，不管他是在街上被陌生人谋杀还是被熟人谋杀；我们甚至还可以计算你的身份被窃取的概率只要有大量我们甚至还可以计算你的身份被窃取的概率，只要有大量的犯罪行为方面的统计。保险公司成天都在搞这些。2014年5月航天恒星科技有限公司（503所）6安全也是主观的心理的感觉不基于概率和数学，而是基于你对风险和对策的心理反应。也许你认为遭受入室盗窃的风险最大，被谋杀的风险稍小，遭受身份窃取的风险最小；即使处于同样的环境下，另外的某人可能认为相反的某人可能认为相反。有的人可能看到机场安检检查得很彻底就会觉得很安全，有的人却刚好相反有的人却刚好相反。2014年5月航天恒星科技有限公司（503所）7主客观可能不符即使你认为你是不安全的，事实上，你可能是安全的即使你认为你是安全的，事实上，你可能是不安全的！你的感觉与现实可能是不符的！认知的偏差很可能导致人们对风险的误判。2014年5月航天恒星科技有限公司（503所）8销售安全—难如果一个人想要什么东西，你卖给他很容易。如果一个人不想要什么东西，你说我有什么东西可以避免或防止你不想要的，我卖给你，这很难。（大家都烦推销保险的吧推销安全也是一样的（大家都烦推销保险的吧，推销安全也是样的。不是说没人买，只是需要艰苦的努力。）2014年5月航天恒星科技有限公司（503所）9Why？心理学途径：了解你的客户越多，你越容易卖出货物。2014年5月航天恒星科技有限公司（503所）10安全心理学涉及的4个研究领域行为经济学，研究心理、社会、感觉以及它们对经济行为的影响。决策心理学，研究如何进行决策。风险心理学，研究对风险的理解和感知，何时夸大风险，何时低估风险。神经系统科学，安全的心理学与我们如何思考有很大的关系理智的和情感的系，理智的和情感的。2014年5月航天恒星科技有限公司（503所）11经济人（economicman）模型人是有理性的。利己是人的本性利己是人的本性个人利益的最大化2014年5月航天恒星科技有限公司（503所）(美国式的自私利己理论)12前景理论一组选择：A.肯定获得500元B.猜硬币，赢得1000，输了没有猜硬币，赢得，输了没有二组选择：C.肯定掏500元D.猜硬币，输了掏1000，赢的免2014年5月航天恒星科技有限公司（503所）（多数人选择A（85%）和D（70%））13前景理论人对收益和付出是有主观判断的（保证当前收获，减少当前损失）1.确定的收益优于获得更大收益的机会。一鸟在手胜过二鸟在林。2.确定的付出劣于更大付出的风险。留得青山在不怕没柴烧Runawayandlivetofightanother怕没柴烧Runawayandlivetofightanotherday2014年5月航天恒星科技有限公司（503所）14前景理论基本原理前景理论有以下三个基本原理大多数人在面临获得的时候是风险规避的.大多数人在面临损失的时候是风险偏爱的.人们对损失更敏感(相比于获得).2014年5月航天恒星科技有限公司（503所）15偏好bias偏好是由进化获得的举例：举例一只老虎发现一块肉和一只相当于2块肉分量的活只老虎发现块肉和只相当于2块肉分量的活兔子。老虎要么吃肉，兔子趁机跑掉，要么去追兔子肉被别的动物吃掉兔子，肉被别的动物吃掉。如果你是老虎你怎么办？如果你是老虎，你怎么办？2014年5月航天恒星科技有限公司（503所）16安全，买还是不买？购买安全---实实在在的是在付出不买安全---也许面临更大的损失（毕竟没有发生，谁知道不买安也许面临更大的损失（毕竟没有发，谁知道呢？）如果从负面的角度谈问题，可能难以打动用户。（比如这么说：我们帮你达到不出问题少出问题的目的）2014年5月航天恒星科技有限公司（503所）17表达效果测试1：假设你是市长，市里爆发了瘟疫，预计将夺走600人的生假设你是市长，市里爆发了瘟疫，预计将夺走人的命。现在有两种救援计划：A.肯定有200人获救B.1/3的可能600人都获救，2/3的可能无人获救请做出你的选择：AorB?2014年5月航天恒星科技有限公司（503所）18表达效果测试2：假设你是市长，市里爆发了瘟疫，预计将夺走600人的生假设你是市长，市里爆发了瘟疫，预计将夺走人的命。现在有两种救援计划：C.肯定有400人死亡D.1/3的可能不会有人死亡，2/3的可能600人会死亡请做出你的选择：CorD?（著名的亚洲疾病问题）2014年5月航天恒星科技有限公司（503所）（著名的亚洲疾病问题）19应用到安全销售1.把其产品表达为正面的，比如“我们来管安全，你集中精力到业务中”（其实，运维服务就是这个）2.捆绑销售3.构造（伪造？）投入产出分析。2014年5月航天恒星科技有限公司（503所）20目录一、前景理论及其应用二、权衡及其应用√2014年5月航天恒星科技有限公司（503所）21安全的代价安全是有代价的；采用复杂的口令有代价吗？代价的形式：金钱、时间、方便性、能力、自由…安全是相对的，需要权衡；没有绝对的安全没有绝对的安全。－－如何避免9.11这样的事件－－简单啊都别乘飞机了！－－简单啊，都别乘飞机了！2014年5月航天恒星科技有限公司（503所）22权衡单以效果看控制是没有意义的“这个用于对付某威胁有效吗”不是个好问题应该是，“这个用于对付某威胁合适吗”防弹背心应对子弹是很有效的，但是在相对安定的社会生活中天天穿上它却是不合适的它提供的额外的安全性是活中天天穿上它却是不合适的，它提供的额外的安全性是不值得的，因为代价是：太贵，不舒服或者不时髦！换个环境，也许你会有另一种决策。2014年5月航天恒星科技有限公司（503所）23（权衡是基于判断而不是事实）权衡风险意识是由数百万年的进化而根深蒂固的。总的来说，我们的风险意识是很好的，正是它使得我们得以生存并延续得我们得以生存并延续。之所以有很多的风险会估计错误，那是因为我们的进化还没有那么快没有反映新出现的风险的进化还没有那么快，没有反映新出现的风险。社会和技术的发展远快于物种的发展社会和技术的发展远快于物种的发展。动物界同样如此，存活下来的动物都是适应世界动物界同样如此，存活下来的动物都是适应世界的，但是一些反应慢的，就无法生存了。2014年5月航天恒星科技有限公司（503所）24导致权衡不当的因素不当估计：风险的严重性风险的概率代价的大小对策相对于风险降低的效果不同风险与代价之比较…2014年5月航天恒星科技有限公司（503所）25风险的错误估计夸大大而少见（spectacular）的风险而低估常见的风险估计非常规条件下的风险的困难性估计非常规条件下的风险的困难性个性化的风险比匿名的风险更夸大低估愿意接受的风险（吸烟）而高估不可控条件下或不确定的风险--（对未知的恐惧）夸大新闻、舆论关注的风险（如恐怖活动）2014年5月航天恒星科技有限公司（503所）26风险的错误估计高估突发的风险，低估渐发的风险高估有意的或人为的风险，低估自然风险高估有意的或人为的风险，低估自然风险高估只影响自己的风险，低估影响众人的风险（人多胆壮，有垫背）2014年5月航天恒星科技有限公司（503所）27错误估计的应用（利用）客户的错误认知纠正（或加大）其错误认知让客户感觉更危险让客户感觉其更安全2014年5月航天恒星科技有限公司（503所）28利用客户的错误认知示范效应---谁谁谁做了什么及时利用新闻报道的事件及时利用新闻报道的事件及时利用同行业同区域事件2014年5月航天恒星科技有限公司（503所）29让客户感觉更危险使用重大安全事件、邻里事件（特定事件）重大安事件、邻里事件（特定事件）增加恐惧心理FUD（如果客户过度乐观的话）（如果客户过度乐观的话）2014年5月航天恒星科技有限公司（503所）30让客户感觉更安全提高安全性，并使之感觉到不提高安全性，却使之以为安全性得以提高2014年5月航天恒星科技有限公司（503所）31信息安全剧场做一些看似安全，实际无用的事情，旨在“混淆视听”，提供表面的“安全感觉”2014年5月航天恒星科技有限公司（503所）32（哨兵带枪不装弹）信息安全剧场应用正面使用：当“感觉的”的低于“实际的”安全的时候，用以使得二者一致。不当使用：以“感觉的”安全掩盖“实际的”不安全2014年5月航天恒星科技有限公司（503所）33信息安全剧场用于安全服务消除客户由于不当估计（代价与成效）而带来的焦虑平衡客户心态平衡客户心态提高客户的满意度2014年5月航天恒星科技有限公司（503所）34总结--如何销售安全？正面销售捆绑销售捆绑销售夸大投入产出利用重大事件利用邻里事件利用剧场作用2014年5月航天恒星科技有限公司（503所）35参考文献BruceSchneier，essay“ThePsychologyofSecurity”匿名“行为经济学”网络资源BruceSchneier，《carryon》Wiley2013MichelleBaddeley，techreport“InformationSecurity:LessonsfromBehaviouralEconomics”2014年5月航天恒星科技有限公司（503所）362014年5月航天恒星科技有限公司（503所）37