La investigación encuentra que cuando una empresa experimenta una brecha de seguridad cibernética, otras empresas del mismo campo también se vuelven menos atractivas para los inversores. Sin embargo, a las empresas que son abiertas sobre su gestión de riesgos de ciberseguridad les va significativamente mejor que a sus pares que no revelan sus esfuerzos de ciberseguridad.

"Estudios anteriores han encontrado evidencia de este 'efecto de contagio' a raíz de las brechas de seguridad cibernética, "dice Robin Pennington, coautor de un artículo sobre el trabajo y profesor asociado de contabilidad en el Poole College of Management de la Universidad Estatal de Carolina del Norte. "Sin embargo, a nuestro conocimiento, el nuestro es el primero en probar el problema de forma experimental. No solo confirmamos el efecto contagio, pero descubrió que hay pasos claros que las empresas pueden tomar para reducir su impacto. Específicamente, las empresas harían bien en implementar las pautas de informes voluntarios de la AICPA sobre la divulgación de los esfuerzos de seguridad cibernética ".

Para explorar cuestiones relacionadas con el efecto contagio, Los investigadores realizaron un estudio con 120 inversores no profesionales. En el estudio, los participantes recibieron información sobre una empresa ficticia, que llamaremos Compañía A. A algunos de los participantes también se les informó brevemente sobre el programa de gestión de riesgos de ciberseguridad de la Compañía A. Luego se pidió a los participantes que dieran una evaluación inicial del atractivo de invertir en la Compañía A, así como la probabilidad de comprar acciones de la empresa.

Luego se les dijo a los participantes del estudio que uno de los pares de la Compañía A fue víctima de una violación de seguridad cibernética. Luego se pidió a los participantes que dieran una evaluación revisada del atractivo de la Compañía A y la probabilidad de invertir en ella. Luego, los participantes recibieron un comunicado de prensa de la Compañía A. Algunos participantes recibieron una versión del comunicado que incluía una referencia al programa de gestión de riesgos de ciberseguridad de la Compañía A. Luego se pidió a los participantes del estudio que dieran una evaluación final del atractivo de la Compañía A y la probabilidad de comprar acciones en ella.

Los investigadores encontraron que las empresas que revelaron los esfuerzos de gestión de riesgos de ciberseguridad antes y después de la infracción de un competidor obtuvieron mejores resultados.

"Si bien la empresa sufre una cierta disminución de su atractivo después de la infracción, en promedio, sufre menos si divulga su programa de gestión de riesgos de ciberseguridad, de una manera similar a las pautas de informes voluntarios de AICPA, "Dice Pennington.

Los investigadores también analizaron los datos del estudio para determinar el impacto de otro efecto, llamado "efecto competencia, "que anteriormente se ha asociado con brechas de seguridad cibernética en la investigación de archivos. En este contexto, el efecto competencia es cuando los inversores ven una infracción de seguridad cibernética en una empresa como una ventaja para los competidores de esa empresa, lo que hace que esos competidores sean más atractivos para los inversores.

"Vimos evidencia del efecto competencia con algunos inversores en nuestro estudio, pero, en promedio, el efecto contagio superó al efecto competencia, "Dice Pennington.

"Nuestro estudio ofrece evidencia experimental de los efectos de contagio y competencia, así como sus fortalezas relativas, ", Dice Pennington." Pero creo que la conclusión aquí es que hay ventajas muy reales en la divulgación voluntaria de los esfuerzos de gestión de riesgos de ciberseguridad, como sugiere la AICPA. Este no es un ejercicio puramente teórico, puede afectar el atractivo de su empresa para los inversores ".

El papel, "¿Las divulgaciones voluntarias mitigan el efecto de contagio de violaciones de seguridad cibernética?" se publica en el Revista de sistemas de información .