Monday, May 26, 2008

Excellent Schneier Article on Selling Security

Bruce Schneier wrote an excellent article titled How to Sell Security. This is my favorite section:

How does Prospect Theory explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difficulty of selling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prevention of a security breach? It's a choice between a small sure loss -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security product -- and a large risky loss: for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of an attack on one's network... [A]ll things being equal, buyers would racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack won't happen than suffer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sure loss that comes from purchasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security product.

Security sellers know this, even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't understand why, and are continually trying to frame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products in positive results. That's why you see slogans with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic message, "We take care of security so you can focus on your business," or carefully crafted ROI models that demonstrate how profitable a security purchase can be. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se never seem to work. Security is fundamentally a negative sell.

One solution is to stoke fear. Fear is a primal emotion, far older than our ability to calculate trade-offs. And when people are truly scared, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're willing to do almost anything to make that feeling go away...

Though effective, fear mongering is not very ethical. The better solution is not to sell security directly, but to include it as part of a more general product or service... Vendors need to build security into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products and services that customers actually want. CIOs should include security as an integral part of everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y budget for...

Security is inherently about avoiding a negative, so you can never ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cognitive bias embedded so deeply in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human brain. But if you understand it, you have a better chance of overcoming it.


That neatly summarizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest challenge facing our industry. This problem is compounded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate ladder one rises, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manager will "take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack won't happen." How many of you have listened to CEOs and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r business leaders talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to "take risks," "take a big swing," and so on?

I would add that many customers assume that security is already integrated, when it's not. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, many customers assume that incidents happen to "someone else," because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are "special," and never to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

I would be interested in knowing what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk literature says about people who don't put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own assets at risk, but who put ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r's assets at risk -- like financial sector traders. Does Bruce's summary -- all things being equal, we tend to be risk-adverse when it comes to gains and risk-seeking when it comes to losses -- apply when ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people's assets are being put in jeopardy? (Or is that a universal business problem?)

7 comments:

Porter said...

Rich,

I bet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is already statistical evidence of this. I wonder if you took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of poker tournaments. One where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player uses his own money, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use fake money. I would imagine that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are more risks taken when using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fake money than when using your own.

Granted, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r variables at work, but this could give some useful results.

- CP

Anonymous said...

Bruce Schneier has got it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong way around, you first "wait" for a attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n pitch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fix ;-)

marklar said...

The assumption that security is already integrated is indeed a common one, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adage "trust but verify" applies here too.

Anonymous said...

i love this blog.. nice

Johann van der Merwe said...

Richard, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to your question,

"I would be interested in knowing what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk literature says about people who don't put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own assets at risk, but who put ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r's assets at risk",

is partly contained in work by Ross Anderson. http://www.cl.cam.ac.uk/~rja14/#Econ

"Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years, it's become clear that many systems fail not for technical reasons so much as from misplaced incentives - often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who could protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who suffer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of failure."

"Prospect Theory" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Economics of Information Security" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore work togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to create an even worse situation:

Bruce is saying that you will not protect you own assets and Ross is saying you may not even consider protecting ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r's assets because it may be not be your problem when security fails.

Now, if you also consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 The Psychology of Security....

http://www.schneier.com/essay-155.html

So I think this is not only a universal business problem, but inherent in humanity.

Anonymous said...

I think part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem stems from a lack of good metrics and measurements. With risky financial transactions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's more of a history of numbers (usually tied directly to dollars) that you can use to estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of risk. People may under or over estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk, but at least you can come up with a justifiable model. With security, this is much harder. I see lots of dollar numbers, but rarely does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodolgy behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se numbers look good.



If I buy an orange future at $50, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a bumper crop and I can only sell it for $20, I know I've lost $30. Now someone tell me how much you lost with your last security incident. Does that include employee-hours worked? Loss of future business? Loss of reputation?

helenjacobs said...
This comment has been removed by a blog administrator.