Header Ads Widget

Ticker

6/recent/ticker-posts

Las percepciones de seguridad móvil no se acercan a la realidad. Y eso es un problema.

Los mejores enfoques de seguridad, como la autenticación continua, son invisibles para el usuario y, por lo tanto, no tienen problemas. Eso es bueno en la práctica, pero puede ser malo en términos de percepción del cliente. Si no lo ven, suponen que no está allí.


En general, a los proveedores de seguridad les  encantan las encuestas a los consumidores en las que los consumidores dicen que nunca, nunca, harían negocios con un minorista o un banco con malas prácticas de seguridad. Pero los consumidores históricamente han sido terribles predictores de su propio comportamiento, y también tienden a decirles a los minoristas y bancos lo que quieren escuchar, en lugar de la verdad.

Y la verdad, según los informes financieros públicos de muchas empresas que han sufrido violaciones de datos públicos, es que los consumidores, en parte gracias a los programas de responsabilidad cero de las compañías de tarjetas de pago, tienden a no cambiar de minoristas o bancos cuando ocurren tales violaciones de datos. ¿Por qué? Varias razones. En primer lugar, la responsabilidad cero se encarga de que no pierdan dinero (en realidad limita las pérdidas a 50 dólares, pero casi ningún negocio lo hace cumplir, y tienden a simplemente comerse todas las pérdidas de los consumidores). Si los consumidores perdieran grandes cantidades de dinero de minoristas o bancos violados, sí, huirían, pero eso no sucede.

Entonces tienes la realidad de que los consumidores a menudo no leen sobre estas infracciones y, incluso si lo hacen, tienden a no importarles. Si una tienda ofrece un producto o servicio que quieren y el precio es bueno, no van a abandonar a ese minorista debido a una filtración de datos hace nueve meses que no terminó impactando al consumidor. En cuanto al consumidor que miente a una encuesta, se trata simplemente de enviar el mensaje que desea enviar. Esos consumidores quieren que los minoristas / bancos protejan su dinero, por lo que marcarán alegremente la casilla que dice "Abandonaré un minorista que no tenga una gran seguridad" porque, bueno, ¿por qué no? No los obliga a hacer nada.

Menciono esto debido a un par de encuestas que llegaron a mi escritorio esta semana. El proveedor de identidad Ekata informó que "el 91 por ciento no volverá a utilizar una plataforma si es víctima de un fraude". No es verdad. Suponiendo que la encuesta sea precisa, simplemente significa que la inmensa mayoría de los consumidores dirán esto al completar una encuesta, no que de hecho abandonarán esa plataforma. Eso es una ilusión del proveedor.

Un consejo para los líderes CISO / CSO o de TI que está echando por un proveedor de seguridad que hace que una afirmación de que los consumidores abandonarán distribuidor o los bancos (procesadores de tarjetas de pago y marcas de tarjetas son un caso diferente): Pregunta el representante de ventas para nombrar cualquier propiedad pública minorista o banco que ha sido violado y luego sufrió un número estadísticamente significativo de salidas de clientes. Luego acceda a la base de datos de la SEC, busque las presentaciones trimestrales de esa empresa y vea si informó alguna pérdida relacionada con la infracción . No encontrarás ninguno. Es un argumento que funciona en encuestas pero no en el mundo real.

Parte de esto se debe a la fricción de salida. La simple verdad es que es una molestia cambiar de banco, y cuantos más servicios usa el consumidor, más difícil es dejarlo, y una molestia cambiar de minorista (porque lo más probable es que al cliente le gusten la mercancía y el precio y la conveniencia o, de lo contrario, no lo haría. no ser un cliente habitual desde hace mucho tiempo). Hago una excepción para Visa y Mastercard porque hay poca o ninguna fricción al cambiar de una a otra. Y los principales procesadores pierden dinero cuando se vulneran porque son otros negocios, no los consumidores, los que los abandonan.

Esto nos lleva al segundo elemento que cruzó mi escritorio. Era una encuesta de Iovation, un proveedor de detección de fraudes. Esa encuesta encontró que "cerca de dos tercios (64 por ciento) están de acuerdo en que cambiarían las instituciones financieras / compañías de tarjetas de crédito por otras que tienen protocolos de seguridad más avanzados, mientras que el 61 por ciento está de acuerdo en que cambiarían a una compañía que fabrica seguridad más fácil para ellos ".


"Facilita la seguridad" es un punto interesante al que volveré a tratar en un momento. Pero existe un gran problema con los consumidores que dicen que "cambiarían las instituciones financieras / compañías de tarjetas de crédito por otras que tengan protocolos de seguridad más avanzados". Específicamente, la inmensa mayoría de los consumidores no tiene ni idea de qué protocolos de seguridad existen con las instituciones financieras o las empresas de tarjetas de pago. ¿Cuándo fue la última vez que vio a un consumidor realizando una prueba de penetración en una institución financiera, obteniendo acceso a informes forenses para esa empresa o realizando una declaración jurada ante el CISO de esa institución?

Los bancos, por muy buenas razones, mantienen en secreto tantos detalles sobre sus programas de seguridad durante el mayor tiempo posible. Entonces, ¿cómo pueden los consumidores afirmar que cambian de negocio basándose en información a la que no pueden acceder?

La conclusión es que no pueden. Pero, y aquí es donde Molly Hetz, gerente de marketing de productos de Iovation y autora principal del informe, hace una observación útil, esos consumidores pueden tomar esa decisión en función de su percepción de seguridad. Y ahí es donde las cosas se complican.

Considere: uno de los mejores enfoques de seguridad y autenticación en la actualidad es la autenticación continua, donde el sistema considera la velocidad de escritura, la presión de escritura (para dispositivos móviles), la dirección IP, el tiempo de acceso, los archivos a los que se accede, la duración de la sesión, la precisión de escritura ( número de errores tipográficos por minuto), etc., y lo compara todo con un perfil de una sesión que presumiblemente era del usuario real asociado con esas credenciales. La mejor parte de la autenticación continua es que de hecho es continua, lo que significa que teóricamente no será engañada por un atacante que hace todo correctamente y dentro del carácter durante 10 minutos y luego hace las cosas malvadas que el atacante siempre planeó hacer.

Soy fanático de la autenticación continua. Funciona mucho mejor que las contraseñas, los PIN, la biometría (al menos los datos biométricos populares como el reconocimiento facial, de huellas dactilares y de voz, en lugar de mi favorito, que es el escaneo ocular) y la autenticación multifactor (MFA, que a menudo es susceptible a errores de man-in). ataques intermedios, especialmente con un código numérico enviado a un dispositivo móvil a través de un mensaje de texto).

Una de las ventajas de la autenticación continua es que es transparente para el usuario, lo que significa que no genera fricciones y no retrasa ni desmerece en absoluto al usuario. Pero Hetz tiene el argumento legítimo de que cuando una institución financiera utiliza un mecanismo de autenticación tan fluido, el usuario no lo ve. Y cuando los usuarios no ven un enfoque de seguridad, es muy posible que asuman que no lo hay. Esta es una contradicción de seguridad clásica: el uso de un enfoque más seguro puede hacer que los usuarios asuman que es un enfoque menos seguro porque esos usuarios asocian la fricción: saltar a través de muchos aros visibles, como "haga clic en todas las imágenes que tienen una señal de calle "

Las instituciones financieras "necesitan tener algo de seguridad visible, porque si [los usuarios] no ven nada que valide esa seguridad", los usuarios asumirán que no existe, dice Hetz.

Pero hay otros puntos en el informe que no son correctos sin contexto. Por ejemplo: "Sigue siendo importante tener tarifas de servicio bajas (62 por ciento) y un buen servicio al cliente (55 por ciento), pero está claro que las necesidades de privacidad y seguridad deben abordarse primero".

Hay razones por las que los clientes cambian de banco y razones para que se queden. Cuantos más servicios bancarios se utilicen (pago de facturas en línea, por ejemplo), más difícil será cambiar de banco. El cliente piensa "¡Aargh! Si me cambio, tengo que volver a ingresar manualmente todos los detalles de todas las compañías a las que pago. Me tomó meses antes de que finalmente completara la lista". O considere algunos de los bots más sofisticados que utilizan las instituciones financieras en la actualidad. Cuantas más cuentas tenga un cliente con esa institución financiera (corriente, ahorros, hipoteca, jubilación, tarjeta de crédito, tarjeta de débito, cuentas de transporte para pagos ACH o Venmo o Zelle, etc.), más útiles pueden ser esos bots. Nuevamente, hace que sea más abrumador para un cliente elegir mover cuentas.

Veamos nuevamente esa respuesta de la encuesta. Las altas tarifas de servicio y el mal servicio al cliente son razones absolutas que pueden abrumar las preocupaciones del dolor de la salida, pero es poco probable que las percepciones de privacidad y seguridad hagan que un cambio valga la pena. Una excepción (que no es realmente una excepción) sería un cliente cuya cuenta bancaria se vació en realidad mediante fraude, y cuyo banco tardó mucho en reponer la cuenta y no respondió cuando se le solicitó actualizaciones de estado. Pero eso es menos un problema de seguridad que uno de servicio al cliente. Y, sí, un mal servicio al cliente obligará absolutamente a los clientes a irse.

Otro ejemplo: "Cerca de dos tercios (64 por ciento) están de acuerdo en que cambiarían las instituciones financieras / compañías de tarjetas de crédito por otras que tengan protocolos de seguridad más avanzados, mientras que el 61 por ciento está de acuerdo en que cambiarían a una compañía que facilite la seguridad. para ellos." Sí, no tanto. Según el argumento de Hetz, un consumidor absolutamente puede tener una percepción, que puede o no ser válida, de una seguridad débil en una institución financiera actual. Pero, ¿cómo pueden los consumidores tener una percepción de seguridad en una institución financiera que aún no han usado? En el mejor de los casos, pueden ver los reclamos de marketing de esa otra institución (no creo que debamos abordar cuán inútiles son esos reclamos de seguridad) y podrían haber escuchado comentarios de boca en boca de otros consumidores.

Esa conclusión requiere una interpretación muy generosa y egoísta de los resultados de la encuesta.


Publicar un comentario

0 Comentarios