【IT168 信息化】人们之所以不投资于信息安全，是因为甘冒“坏事不会发生在自己身上”的风险。所以，如果你想要在公司推行信息安全观念，顶尖的专家会这么告诉你：你必须先把它转变成人们会想购买的东西。

    推销的基本法则有两个：若非产品本身能提供买方想要的东西──诸如满足感、慰藉或金钱，便是产品本身能让买方远离他不想要的东西──诸如袭击、诈欺、窃盗或恐怖攻击。

    卖给某人他想要的东西远比卖给某人他想避免的东西来得容易，这在销售世界里可说是老生常谈的道理。人们总是心不甘情不愿地购买保险、购买家庭安全设施，或任何能维护计算机安全的东西。这并不表示他们从来不买这些东西，而是，购买这些东西往往要经过一番天人交战。其中的道理涉及人类心理层面。无论是厂商试图销售安全产品或服务，或企业CIO试图说服资深管理阶层投资安全软/硬件，又或安全主管试图导入一套安全政策要员工遵守，他们面对的其实是同样一种心态。

    你若愈了解你的买方，你便愈能成功地推销。

人们为何甘冒风险？

    首先，这涉及一点“前景理论（Prospect Theory）”，这是近来相当热门的行为经济学（Behavioral Economics）之根本理论。“前景理论”系由Daniel Kahneman(他因为这套理论及其它相关研究而荣获2002年诺贝尔经济学奖）及Amos Tversky于1979年发展出来的。该理论解释了人们在面对风险时，会如何做出抉择。在此研究之前，经济学家提出的“经济人”模式，认为一位充满理性的人会依据一些逻辑计算而做出抉择。Kahneman与Tversky则让大家了解，真正的人类行为不仅更微妙难测，也更加难缠。

    接下来，我们便做个实验来说明“前景理论”。将房间里的人分成两组，要求其中一组从以下两个选项中选出一项：100%的机率获得500元，及50％的机率获得1,000元；另外，也要求另一组从以下两个选项中选出一项：100%的机率损失500元、及50％的机率损失1,000元。

    这两种抉择非常类似，但传统经济学会认为，无论是获得或损失，都不会出现不一样的结果：人们是以直接明了的方式计算出相对结果，再据以做出抉择的。有些人偏好 100%确定的东西，有些人则偏好碰碰运气。无论结果是获得或损失，都不致于影响数学运算法则，当然也就不会影响结果了。这就是传统经济学里的“效用理论（Utility Theory）”。

    不过Kahneman与Tversky的实验却与“效用理论”相互抵触。他们认为，在“获得”的情况下，约有85％的人会选择100%能获得的小额金钱，而不是金额较大，但获得机率却只有一半的钱；而面对的如果是“损失”的情况时，约有70％的人会选择金额较大。但损失机率只有一半的钱，而不是100%确定会损失的小额金钱。

    许多研究人员一次又一次针对不同年龄层、性别、文化，甚至不同族群进行同一项实验，得出的结果都相同。“前景理论”直接否定了“经济人”这项传统想法，而认为人们对于获得或损失有一套自己的价值观。我们于是发展出认知上的两项经验法则：其一，已经到手的收益，比更大、但不必然能获得的收益来得好，正所谓“一鸟在手，胜过二鸟在林”；其二，已经确定的损失，比更大、却不必然会发生的损失还糟糕，正所谓“逃跑，保住性命、改日再战！”。当然，这并不非一成不变的法则。傻瓜就会选择100%到手的100元，而放弃50％获得100万元的机率。只是，在一切条件都相等的情况下，我们对于收益倾向采取“风险趋避（Risk-Adverse）”，对于损失则倾向采取“风险追寻（Risk-seeking）”。

    此一经验法则的影响力大到可能导致逻辑上前后矛盾的结果。利用Google搜寻Kahneman与Tversky广为人知的“亚洲疾病实验（Asian Disease Experiment）”例子，我们便可了解，若以不同的方法描述同一政策选择──宁可选择“600条生命中有200获救”，或选择「600条生命中有400条丧生“─时，将得出截然不同的风险反应。

    这样的经验法则会随着时间而深植人类的脑海。接受小收益，而非冒险等待较大的收益，遂成了较佳的生存策略。举例而言，狮群会选择追捕年幼，或受伤的牛羚，因为猎杀牠们所需投入的精力较低。成年及健康的猎物或许比较营养，然因为失手而饿肚子的机率也较大。小小的一餐便足以让狮群安然度过一天，保留体力等待隔日再出击。度过眼下的日子，远比期待明天「可能的」大餐重要多了。同样地，甘冒较大的损失风险，也比接受较小的损失还令人能接受。动物往往是在饥饿与重生的边缘徘徊求生存，任何食物损失─不论大小，都一样糟，都有可能导致牠们死亡。因此，最好的选择便是紧紧抓住当下的任何机会。