Todos los que utilizan tecnología hoy en día (y eso es todo el mundo) enfrentan una amplia gama de desafíos de seguridad. Los dispositivos pueden perderse o ser robados. Las cuentas pueden ser pirateadas. La información personal puede ser filtrada en línea.
Por lo tanto, no hace falta decir que una buena seguridad es un requisito clave para cualquier aplicación SaaS hoy en día. Pero no es suficiente con solo construir tecnología segura; las actitudes y comportamientos del usuario también son críticos para construir un producto SaaS exitoso y seguro.
Las alertas y notificaciones de seguridad son una parte importante del desarrollo y refuerzo de la confianza del usuario. Para ser efectivas, los equipos de producto que desarrollan notificaciones de seguridad para sus aplicaciones deben considerar cómo sus alertas pueden lograr dos objetivos:
Ayudar a los usuarios a tomar buenas decisiones sobre temas relacionados con la seguridad
Transmitir la información que los usuarios necesitan para tener confianza en el producto o servicio
En esta publicación, echaré un vistazo a varios ejemplos de correos electrónicos de notificaciones de seguridad efectivas y las lecciones que los equipos de producto pueden aprender de ellos.
1. Dar a los usuarios información clara y útil
Este correo electrónico de Apple se genera cuando un usuario no puede encontrar su dispositivo iOS y se dirige a la aplicación Buscar iPhone para obtener ayuda. Pueden usar la aplicación para activar el Modo Perdido, que indica al dispositivo perdido que envíe un ping a la nave nodriza y proporcione su ubicación, que Apple facilita rápidamente en forma de un correo electrónico que se ve así.
Nota cómo Apple muestra con prominencia mucha información útil en este correo electrónico. Incluso incluyen un mapa que muestra el viaje del teléfono extraviado. Cuando el usuario hace clic en Ver Ubicación, se les envía a un mapa en línea que les muestra la ubicación actual de su dispositivo, junto con varias opciones que pueden ayudarles a recuperarlo.
Apple también sabiamente renuncia al marketing explícito o mensajes de marca. Lo último que un usuario necesita es sentir que se les está enviando un anuncio cuando están preocupados por haber perdido un costoso equipo. El logo de iCloud no es prominente y está ahí más como una forma de recordar al usuario sobre el servicio del que dependen, y para señalarles hacia los enlaces útiles al final.
2. Notificar rápidamente a los usuarios sobre actividad inusual en la cuenta
Si alguna vez has usado Facebook a través de un nuevo dispositivo o navegador web, probablemente has encontrado capas adicionales de seguridad que van más allá de una simple pantalla de inicio de sesión. Los usuarios con autenticación de dos factores (2FA) deben introducir un código generado en la aplicación de Facebook en un dispositivo que ya se confía. E incluso cuando se introduce un código con éxito, Facebook envía inmediatamente correos electrónicos post-inicio de sesión a todas las direcciones asociadas con la cuenta, junto con notificaciones dentro de la aplicación.
Al igual que el correo electrónico de Buscar iPhone de Apple, se adhieren a la información necesaria y no convierten el mensaje en un anuncio. La marca directa tranquiliza al destinatario de que Facebook se preocupa por ellos.
Igualmente importante, los botones proporcionan pasos claros y accionables, por si el usuario se sorprende con este aviso y necesita hacer algo al respecto. Nota que Facebook utiliza su color principal de marca para el más importante de los dos CTAs.
Y si este tipo de alertas son molestas, ofrecen una opción que lleva al usuario a un lugar donde pueden gestionar cómo y cuándo reciben alertas. También hay un enlace para darse de baja al final para las personas que no quieren ser molestadas con este tipo de mensajes en el futuro.
3. Tener mucho cuidado con los restablecimientos de contraseña
Es una buena idea incluir el correo electrónico en el flujo cuando alguien restablece su contraseña, en caso de que su cuenta haya sido accedida por un actor malicioso. Deberías enviarles una notificación por correo electrónico y exigirles que visiten una página web para restablecer su contraseña. Puede ser un poco engorroso, pero es un paso que agrega una capa de seguridad al proceso, como lo hace Steam aquí.
Claro, podrías cuestionar el estilo en texto plano, pero hay momentos en que un enfoque simple es apropiado, dependiendo de las necesidades y preferencias de tu audiencia.
Este correo electrónico también hace un buen trabajo al establecer expectativas para el usuario:
No lo envió un humano, así que por favor no respondas – los enlaces a continuación esperemos que te ayuden si estás confundido.
Haz clic en el enlace y usa una clave de restablecimiento de contraseña introducida manualmente. Es simple, y usar una clave aleatoria en lugar de información personal identificable ayuda a mitigar posibles miedos de phishing.
Aquí está la dirección IP de la persona que hizo esta solicitud, por si acaso no hiciste esto y necesitas actuar contra la persona que lo hizo.
4. Tener cuidado con las acciones que ponen nerviosos a los usuarios
Aun los usuarios más conocedores de Internet pueden dudar al hacer un cambio en cómo realizan negocios en línea. Por ejemplo, si tu servicio ofrece una nueva opción que hará que las transacciones sean más convenientes para los clientes, pueden seguir sintiéndose un poco nerviosos por las implicaciones de ese cambio. Observa lo que hizo PayPal aquí como un ejemplo de cómo manejar este tipo de evento desencadenado.
Es un correo electrónico extenso, pero dado el tema, es uno que probablemente se leerá con más cuidado que un mensaje de "Has enviado dinero a alguien". PayPal utiliza el comienzo del correo electrónico para establecer claramente el cambio realizado y qué dispositivo afecta. Luego explican los beneficios, seguidos de una garantía de que la Protección de Compras aún se aplica. Cierran con instrucciones paso a paso para desactivar la función si el usuario se da cuenta de que comparte el dispositivo con otras personas.
PayPal mantiene la marca al mínimo y no se molesta con imágenes o cualquier otra cosa que diga "este es un mensaje de marketing", lo que ayuda a tranquilizar al usuario de que la empresa tiene sus mejores intereses en mente y no está viendo esto como una oportunidad para venderles algo.
5. Tratar la seguridad como una parte continua de la experiencia del usuario
A veces, es útil simplemente informar a los usuarios sobre las formas en que puedes ayudarles a lograr tranquilidad, incluso si el mensaje no está relacionado con un evento desencadenado. Este correo electrónico de Wells Fargo, que presenta su nueva característica del Centro de Seguridad, hace un buen trabajo de eso.
Aun los mensajes de marketing como este pueden ayudar a reforzar la confianza general que un usuario tiene en un servicio. Este enfatiza una nueva característica útil que los clientes probablemente apreciarán, dado que las violaciones de seguridad en los sitios web y las filtraciones de información aparecen regularmente en las noticias. La iconografía ayuda a dividir el correo electrónico para que no sea demasiado denso, y termina con un CTA claro. Y aunque es probable que muchas personas no sepan mucho sobre el Mes Nacional de Concienciación sobre la Ciberseguridad, aún fue inteligente que Wells Fargo conectara el lanzamiento de esta característica a ese evento.
También utilizan una línea de asunto clara y directa y una dirección de "De:", ambos ayudan a que el mensaje se destaque un poco más en una bandeja de entrada desordenada.