¡Atención empresas! Es mejor compartir los esfuerzos de seguridad cibernética

La investigación encuentra que cuando una compañía experimenta una violación de la seguridad cibernética, otras compañías en el mismo campo también se vuelven menos atractivas para los inversores. Sin embargo, a las compañías que están abiertas sobre su gestión de riesgos de ciberseguridad les va significativamente mejor que a sus pares que no divulgan sus esfuerzos de ciberseguridad.

"Estudios anteriores han encontrado evidencia de este 'efecto de contagio' a raíz de las infracciones de seguridad cibernética", dice Robin Pennington, coautor de un artículo sobre el trabajo y profesor asociado de contabilidad en el Colegio de Administración Poole de la Universidad Estatal de Carolina del Norte. "Sin embargo, hasta donde sabemos, el nuestro es el primero en probar el problema de manera experimental. No solo confirmamos el efecto de contagio, sino que descubrimos que hay pasos claros que las empresas pueden tomar para reducir su impacto. Específicamente, sería aconsejable que las empresas implementen el voluntario informar las pautas de la AICPA sobre la divulgación de los esfuerzos de seguridad cibernética ".

Para explorar cuestiones relacionadas con el efecto de contagio, los investigadores realizaron un estudio con 120 inversores no profesionales. En el estudio, los participantes recibieron información sobre una compañía ficticia, que llamaremos Compañía A. A algunos de los participantes también se les informó brevemente sobre el programa de gestión de riesgos de ciberseguridad de la Compañía A. Luego se pidió a los participantes que hicieran una evaluación inicial del atractivo de invertir en la Compañía A, así como la probabilidad de comprar acciones en la compañía.

Lea también: Todas las novedades sobre la nueva PS5

A los participantes del estudio se les dijo que uno de los compañeros de la Compañía A fue víctima de una violación de seguridad cibernética. Luego se les pidió a los participantes que hicieran una evaluación revisada del atractivo de la Compañía A y la probabilidad de invertir en ella. Luego, los participantes recibieron un comunicado de prensa de la Compañía A. Algunos participantes recibieron una versión del comunicado que incluía una referencia al programa de gestión de riesgos de ciberseguridad de la Compañía A. Luego, se pidió a los participantes del estudio que hicieran una evaluación final del atractivo de la Compañía A y la probabilidad de comprar acciones en él.

Los investigadores descubrieron que a las compañías que revelaron los esfuerzos de gestión de riesgos de ciberseguridad tanto antes como después de la violación de un competidor les fue mejor.

"Si bien la compañía sufre una disminución en el atractivo después de la violación, en promedio sufre menos si revela su programa de gestión de riesgos de ciberseguridad, de una manera similar a las pautas de informes voluntarios de la AICPA", dice Pennington.

Los investigadores también analizaron los datos del estudio para determinar el impacto de otro efecto, llamado "efecto de competencia", que anteriormente se ha asociado con violaciones de ciberseguridad en la investigación de archivos. En este contexto, el efecto de competencia es cuando los inversores ven una violación de la seguridad cibernética en una empresa como una ventaja para los competidores de esa empresa, lo que hace que esos competidores sean más atractivos para los inversores.

"Vimos evidencia del efecto de competencia con algunos inversionistas en nuestro estudio, pero en promedio el efecto de contagio superó el efecto de competencia", dice Pennington.

"Nuestro estudio ofrece evidencia experimental tanto del contagio como de los efectos de la competencia, así como de sus puntos fuertes relativos", dice Pennington. "Pero creo que la conclusión aquí es que hay ventajas muy reales de revelar voluntariamente los esfuerzos de gestión de riesgos de ciberseguridad, como sugiere la AICPA. Este no es un ejercicio puramente teórico, puede afectar el atractivo de su empresa para los inversores".