【IT168 信息化】人们之所以不投资于信息安全,是因为甘冒“坏事不会发生在自己身上”的风险。所以,如果你想要在公司推行信息安全观念,顶尖的专家会这么告诉你:你必须先把它转变成人们会想购买的东西。
推销的基本法则有两个:若非产品本身能提供买方想要的东西──诸如满足感、慰藉或金钱,便是产品本身能让买方远离他不想要的东西──诸如袭击、诈欺、窃盗或恐怖攻击。
卖给某人他想要的东西远比卖给某人他想避免的东西来得容易,这在销售世界里可说是老生常谈的道理。人们总是心不甘情不愿地购买保险、购买家庭安全设施,或任何能维护计算机安全的东西。这并不表示他们从来不买这些东西,而是,购买这些东西往往要经过一番天人交战。其中的道理涉及人类心理层面。无论是厂商试图销售安全产品或服务,或企业CIO试图说服资深管理阶层投资安全软/硬件,又或安全主管试图导入一套安全政策要员工遵守,他们面对的其实是同样一种心态。
你若愈了解你的买方,你便愈能成功地推销。
人们为何甘冒风险?
首先,这涉及一点“前景理论(Prospect Theory)”,这是近来相当热门的行为经济学(Behavioral Economics)之根本理论。“前景理论”系由Daniel Kahneman(他因为这套理论及其它相关研究而荣获2002年诺贝尔经济学奖)及Amos Tversky于1979年发展出来的。该理论解释了人们在面对风险时,会如何做出抉择。在此研究之前,经济学家提出的“经济人”模式,认为一位充满理性的人会依据一些逻辑计算而做出抉择。Kahneman与Tversky则让大家了解,真正的人类行为不仅更微妙难测,也更加难缠。
接下来,我们便做个实验来说明“前景理论”。将房间里的人分成两组,要求其中一组从以下两个选项中选出一项:100%的机率获得500元,及50%的机率获得1,000元;另外,也要求另一组从以下两个选项中选出一项:100%的机率损失500元、及50%的机率损失1,000元。
这两种抉择非常类似,但传统经济学会认为,无论是获得或损失,都不会出现不一样的结果:人们是以直接明了的方式计算出相对结果,再据以做出抉择的。有些人偏好 100%确定的东西,有些人则偏好碰碰运气。无论结果是获得或损失,都不致于影响数学运算法则,当然也就不会影响结果了。这就是传统经济学里的“效用理论(Utility Theory)”。
不过Kahneman与Tversky的实验却与“效用理论”相互抵触。他们认为,在“获得”的情况下,约有85%的人会选择100%能获得的小额金钱,而不是金额较大,但获得机率却只有一半的钱;而面对的如果是“损失”的情况时,约有70%的人会选择金额较大。但损失机率只有一半的钱,而不是100%确定会损失的小额金钱。
许多研究人员一次又一次针对不同年龄层、性别、文化,甚至不同族群进行同一项实验,得出的结果都相同。“前景理论”直接否定了“经济人”这项传统想法,而认为人们对于获得或损失有一套自己的价值观。我们于是发展出认知上的两项经验法则:其一,已经到手的收益,比更大、但不必然能获得的收益来得好,正所谓“一鸟在手,胜过二鸟在林”;其二,已经确定的损失,比更大、却不必然会发生的损失还糟糕,正所谓“逃跑,保住性命、改日再战!”。当然,这并不非一成不变的法则。傻瓜就会选择100%到手的100元,而放弃50%获得100万元的机率。只是,在一切条件都相等的情况下,我们对于收益倾向采取“风险趋避(Risk-Adverse)”,对于损失则倾向采取“风险追寻(Risk-seeking)”。
此一经验法则的影响力大到可能导致逻辑上前后矛盾的结果。利用Google搜寻Kahneman与Tversky广为人知的“亚洲疾病实验(Asian Disease Experiment)”例子,我们便可了解,若以不同的方法描述同一政策选择──宁可选择“600条生命中有200获救”,或选择「600条生命中有400条丧生“─时,将得出截然不同的风险反应。
这样的经验法则会随着时间而深植人类的脑海。接受小收益,而非冒险等待较大的收益,遂成了较佳的生存策略。举例而言,狮群会选择追捕年幼,或受伤的牛羚,因为猎杀牠们所需投入的精力较低。成年及健康的猎物或许比较营养,然因为失手而饿肚子的机率也较大。小小的一餐便足以让狮群安然度过一天,保留体力等待隔日再出击。度过眼下的日子,远比期待明天「可能的」大餐重要多了。同样地,甘冒较大的损失风险,也比接受较小的损失还令人能接受。动物往往是在饥饿与重生的边缘徘徊求生存,任何食物损失─不论大小,都一样糟,都有可能导致牠们死亡。因此,最好的选择便是紧紧抓住当下的任何机会。