Uit onderzoek blijkt dat wanneer een bedrijf een cybersecurity-inbreuk ervaart, andere bedrijven op hetzelfde gebied worden ook minder aantrekkelijk voor investeerders. Echter, bedrijven die open zijn over hun cyberbeveiligingsrisicobeheer doen het aanzienlijk beter dan hun concurrenten die hun inspanningen op het gebied van cyberbeveiliging niet bekendmaken.

"Eerdere studies hebben bewijs gevonden voor dit 'besmettingseffect' in de nasleep van cybersecurity-inbreuken, " zegt Robin Pennington, co-auteur van een paper over het werk en een universitair hoofddocent accounting aan het Poole College of Management van de North Carolina State University. "Echter, voor zover we weten, de onze is de eerste die het probleem experimenteel heeft getest. We hebben niet alleen het besmettingseffect bevestigd, maar ontdekte dat er duidelijke stappen zijn die bedrijven kunnen nemen om de impact ervan te verminderen. specifiek, bedrijven zouden er goed aan doen om de vrijwillige rapportagerichtlijnen van de AICPA over het openbaar maken van cyberbeveiligingsinspanningen te implementeren."

Om problemen met betrekking tot het besmettingseffect te onderzoeken, onderzoekers voerden een onderzoek uit met 120 niet-professionele beleggers. In de studie, deelnemers kregen informatie over een fictief bedrijf, die we bedrijf A zullen noemen. Sommige deelnemers kregen ook kort te horen over het programma voor cyberbeveiligingsrisicobeheer van bedrijf A. De deelnemers werd vervolgens gevraagd om een ​​eerste beoordeling te geven van de aantrekkelijkheid van beleggen in bedrijf A, evenals de waarschijnlijkheid van het kopen van aandelen in het bedrijf.

Deelnemers aan het onderzoek kregen vervolgens te horen dat een van de collega's van bedrijf A het slachtoffer was van een cyberbeveiligingsinbreuk. De deelnemers werd vervolgens gevraagd om een ​​herziene beoordeling te geven van de aantrekkelijkheid van bedrijf A en de waarschijnlijkheid om erin te investeren. De deelnemers kregen vervolgens een persbericht van bedrijf A. Sommige deelnemers ontvingen een versie van het persbericht met een verwijzing naar het programma voor cyberbeveiligingsrisicobeheer van bedrijf A. Aan de deelnemers aan het onderzoek werd vervolgens gevraagd om een ​​definitieve beoordeling te geven van de aantrekkelijkheid van bedrijf A en de waarschijnlijkheid dat het bedrijf aandelen zou kopen.

De onderzoekers ontdekten dat bedrijven die zowel voor als na de inbreuk van een concurrent hun inspanningen op het gebied van cyberbeveiligingsrisicobeheer openbaar maakten, het het beste deden.

"Hoewel het bedrijf na de inbreuk wat minder aantrekkelijk wordt, gemiddeld lijdt het het minst als het zijn programma voor cyberbeveiligingsrisicobeheer openbaar maakt, op een manier die vergelijkbaar is met de vrijwillige rapportagerichtlijnen van de AICPA, ' zegt Pennington.

De onderzoekers analyseerden ook de onderzoeksgegevens om de impact van een ander effect vast te stellen, het "concurrentie-effect" genoemd, " die eerder in verband werd gebracht met cybersecurity-inbreuken in archiefonderzoek. In deze context, het concurrentie-effect is wanneer investeerders een cybersecurity-inbreuk bij een bedrijf zien als een voordeel voor de concurrenten van dat bedrijf, waardoor die concurrenten aantrekkelijker worden voor investeerders.

"We hebben in ons onderzoek wel bewijs gezien van het concurrentie-effect bij sommige investeerders, maar gemiddeld overtrof het besmettingseffect het concurrentie-effect, ' zegt Pennington.

"Onze studie biedt experimenteel bewijs voor zowel de besmettings- als de concurrentie-effecten, evenals hun relatieve sterke punten, "zegt Pennington. "Maar ik denk dat de conclusie hier is dat er zeer reële voordelen zijn aan het vrijwillig openbaar maken van inspanningen op het gebied van cyberbeveiligingsrisicobeheer, zoals de AICPA suggereert. Dit is geen puur theoretische oefening - het kan van invloed zijn op de aantrekkingskracht van uw bedrijf op investeerders."

De krant, "Verminderen vrijwillige onthullingen het besmettingseffect van cybersecurity-inbreuken?" wordt gepubliceerd in de Tijdschrift voor informatiesystemen .