Pesquisas descobriram que, quando uma empresa passa por uma violação de segurança cibernética, outras empresas na mesma área também se tornam menos atraentes para os investidores. Contudo, as empresas que são abertas sobre seu gerenciamento de risco de cibersegurança se saem significativamente melhor do que seus pares que não divulgam seus esforços de segurança cibernética.

"Estudos anteriores encontraram evidências desse 'efeito de contágio' na esteira das violações de segurança cibernética, "diz Robin Pennington, co-autor de um artigo sobre o trabalho e professor associado de contabilidade na Poole College of Management da North Carolina State University. "Contudo, para nosso conhecimento, o nosso é o primeiro a testar o problema experimentalmente. Nós não apenas confirmamos o efeito de contágio, mas descobriu que há passos claros que as empresas podem tomar para reduzir seu impacto. Especificamente, as empresas fariam bem em implementar as diretrizes de relatórios voluntários do AICPA sobre a divulgação de esforços de segurança cibernética. "

Para explorar questões relativas ao efeito de contágio, pesquisadores realizaram um estudo com 120 investidores não profissionais. No estudo, os participantes receberam informações sobre uma empresa fictícia, que chamaremos de Empresa A. Alguns dos participantes também foram informados brevemente sobre o programa de gerenciamento de risco de segurança cibernética da Empresa A. Os participantes foram então convidados a dar uma avaliação inicial da atratividade de investir na Empresa A, bem como a probabilidade de compra de ações da empresa.

Os participantes do estudo foram informados de que um dos colegas da Empresa A foi vítima de uma violação de segurança cibernética. Os participantes foram então solicitados a fazer uma avaliação revisada da atratividade da Empresa A e a probabilidade de investir nela. Os participantes receberam um comunicado à imprensa da Empresa A. Alguns participantes receberam uma versão do comunicado que incluía uma referência ao programa de gerenciamento de risco de segurança cibernética da Empresa A. Os participantes do estudo foram então solicitados a fazer uma avaliação final da atratividade da Empresa A e a probabilidade de comprar ações dela.

Os pesquisadores descobriram que as empresas que divulgaram os esforços de gerenciamento de risco de segurança cibernética antes e depois da violação de um concorrente se saíram melhor.

"Embora a empresa sofra algum declínio na atratividade após a violação, em média, é o que menos sofre se divulgar seu programa de gerenciamento de risco de segurança cibernética, de uma forma semelhante às diretrizes de relatórios voluntários da AICPA, "Pennington diz.

Os pesquisadores também analisaram os dados do estudo para verificar o impacto de outro efeito, chamado de "efeito de competição, "que foi anteriormente associada a violações de segurança cibernética em pesquisas de arquivos. Neste contexto, o efeito da concorrência é quando os investidores veem uma violação da segurança cibernética em uma empresa como uma vantagem para os concorrentes dessa empresa - tornando esses concorrentes mais atraentes para os investidores.

"Vimos evidências do efeito da concorrência com alguns investidores em nosso estudo, mas, em média, o efeito de contágio superou o efeito de competição, "Pennington diz.

"Nosso estudo oferece evidências experimentais para os efeitos do contágio e da competição, bem como seus pontos fortes, "Pennington diz." Mas acho que a conclusão aqui é que existem vantagens muito reais em divulgar voluntariamente os esforços de gerenciamento de risco de segurança cibernética, como sugere o AICPA. Este não é um exercício puramente teórico - pode afetar o apelo da sua empresa aos investidores. "

O papel, "As divulgações voluntárias atenuam o efeito de contágio da violação da segurança cibernética?" é publicado no Journal of Information Systems .