研究揭示了安全漏洞后消费者的行为

Branden R. Williams博士分享研究和见解,以帮助安全领导者更好地了解违规事件发生后的消费者行为

消费信用卡购买
Thinkstock

违规后,消费者会逃离您的业务吗?

如果您相信某些头条新闻,答案是肯定的。旨在评估消费者情绪的感知调查的支持。但是他们的行为与他们的自夸相符吗?

布兰登·威廉姆斯博士(@布兰登·威廉姆斯)决定进行更深入的探索。他是该行业的著名专业人士,在商业,技术,信息安全方面拥有二十年的经验。这包括作为顾问,主管和行业领导者在付款方面的丰富经验。他写了几本有关PCI合规性的书,并主持了几次与支付安全性相关的行业活动& compliance.

布兰登威廉姆斯

布兰登·威廉姆斯博士

威廉姆斯博士曾与商人收购委员会MAC(推特, 网站),以捕获和分析行为数据。他们的发现可以在 消费者对违规行为的态度:消费者对零售违规行为的反应 (下载链接)。这是布兰登·威廉姆斯博士的五个问题:

是什么促使您研究违规后的消费者行为?捕捉行为而不是感知需要什么?

这项研究的想法是在我查看了一些统计数据后提出的,这些统计数据表明消费者在违规行为发生后会避开商家。该统计数据的旁边是Target,Home Depot和Sears的徽标。当然,这些违规行为对这些公司不利,但它们仍然存在,并且没有关闭商店。

没加起来。

我决定问一个问题,即消费者在违规后实际做了什么,而不是违规后可能做些什么。该结果与先前的研究形成对比。我们要求消费者详细说明他们的购物习惯。

在我撰写研究报告时,不断出现的一个大问题是如何将其转化为小型企业。如果一家小型企业有足够的保险来支付可能因违规行为而产生的费用和罚款,那么他们应该能够以类似的方式度过难关(对现金流采取相同的谨慎态度)。

让我们专注于研究。根据您的经验,对安全领导者如何进行和审查研究有何见解?

这是一个棘手的问题。作为一名学者,我必须根据许多因素来评估研究,但是最大的不同是数据的呈现方式。在针对从业人员的白皮书中,有时我们忽略了细节。

我认为安全专业人员可以做的最大的事情就是评估研究的进行方式,看看您是否同意结果。在这项研究中,我要求消费者具体记录他们的消费行为。在我提到的另一项研究中,要求消费者谈论他们的感受。考虑一下对话进行的方式:

问题:商家A违反了规定。你会在那儿购物吗?

消费者:嗯,可能不会。违反是不好的,对吧?所以不行。我会避免去那个商人购物。

当然,消费者将以这种方式做出回应。即使我们中的许多人都是可怕的数字公民,但我确实相信,大多数拥有计算机或智能手机的人都意识到,如果他们可以访问敏感信息,那么其他人也可以使用正确的工具。这可能会引起一些恐惧,而恐惧又会导致他们以这种方式做出反应。

但是,如果违规商人是一家大公司,离他们家不远(方便),出售非耐用品或必需品(需求),而他们所要做的就是扔掉旧的信用卡并激活新的一,他们似乎继续在那儿购物。

当您汇总并查看消费者违反行为后的行为的证据时,有什么让您感到惊讶?有什么特别的吗?

意识统计数据确实让我感到惊讶。我生活在这个世界上,所以所有这些违背行为对我而言都是不同的记忆。但是,事实是13%的人没有听说过我们提出的任何违规行为?真令人惊讶。它似乎也偏于稍早一点,这意味着,较年轻的受访者更可能意识到违规行为。

另一个未列入论文的有趣统计数据是意识上的性别差异。女性对她们经常光顾的商店表现出更多的意识(塔吉,迈克尔斯),男性对她们经常光顾的商店表现出更多的意识(Home Depot,西尔斯)。

这对于公司如何思考和处理违规行为有何建议?

可以将信息安全漏洞与类似自然灾害的数字灾难进行比较,例如Winter Storm Jonas。该事件会导致运营中断,需要一定的资本支出以清理并恢复正常运营。

遭受违约的公司的管理人员必须在宣布违约后注意现金流。现金将因临时销售减少以及与清理工作相关的公司支出大幅增加而减少。支付卡违规后,公司面临的常见成本包括调查和取证服务,律师费,咨询费,IT和安全基础结构,为支持新系统而增加的人员数量以及为诉讼和解而保留的储备金。此外,如果商户的违约后偿付能力有问题,则商户的处理方或收单行可能会扣留结算资金以支付费用。

商家应考虑其在正常操作中使用的数据类型。什么样的罪犯想要拿走它?如何将其货币化?我该如何降低我的设置风险,以消除与窃取此类数据相关的违规风险?

安全主管可以在其组织中使用此研究报告执行1-2项什么?

首先,这应该是过滤FUD的好方法。如果您是零售商,并且供应商告诉您他们的解决方案将通过确保您免受违规的侵害而保留品牌价值,则应询问他们如何得出结论。这是一种过时的声音,可能表明销售人员对该领域缺乏知识。

其次,在传达违规影响时,正确传达信息非常重要。影响是财务上的,应将其视为自然灾害。当我们建造建筑物时,我们要牢记环境。如果我们靠近海洋,我们将采取不同的预防措施,以确保建筑物的安全性,而不是在山脚下。同样重要的是,重点关注适合您公司的解决方案,并确保这些解决方案与您的公司战略保持一致(低成本零售商不会购买最昂贵的安全工具)。

版权© 2016 IDG通讯,Inc.