Las empresas que son responsables en su gestión de riesgos de ciberseguridad obtienen mejores resultados con los inversores que sus pares que no hacen esos esfuerzos, según muestra una investigación reciente.

La investigación ha demostrado que cuando una empresa experimenta una brecha de  ciberseguridad, otras empresas del mismo sector también se vuelven menos atractivas para los inversores.

«Estudios anteriores han encontrado evidencias de este ‘efecto contagio’ a raíz de las violaciones de la ciberseguridad», dice el coautor Robin Pennington, profesor asociado de contabilidad en el Poole College of Management de la Universidad Estatal de Carolina del Norte.

«Sin embargo, hasta donde sabemos, el nuestro es el primero en demostrar el problema experimentalmente. No sólo confirmamos el efecto de contagio, sino que encontramos que hay pasos claros que las empresas pueden dar para reducir su impacto. Específicamente, las compañías harían bien en implementar las pautas de comunicación voluntaria de la AICPA sobre los esfuerzos de implementación hechos en materia de la ciberseguridad».

Para explorar los temas relacionados con el efecto contagio, los investigadores llevaron a cabo un estudio con 120 inversionistas no profesionales. En el estudio, los participantes recibieron información sobre una compañía ficticia, a la que llamaremos Compañía A. Los investigadores también informaron brevemente a algunos de los participantes sobre el programa de gestión de riesgos de ciberseguridad de la Compañía A. A continuación, pidieron a los participantes que hicieran una evaluación inicial del atractivo de invertir en la empresa A, así como de la probabilidad de adquirir acciones de la empresa.

Los investigadores luego dijeron a los participantes del estudio que una empresa del sector de la Compañía A fue víctima de una violación de la ciberseguridad. A continuación, pidieron a los participantes que presentaran una evaluación revisada del atractivo de la empresa A y de la probabilidad de invertir en ella. Los participantes recibieron un comunicado de prensa de la empresa A. Algunos de ellos recibieron una versión del comunicado que incluía una referencia al programa de gestión de riesgos de ciberseguridad de la empresa A. A continuación, los investigadores pidieron a los participantes en el estudio que realizaran una evaluación final del atractivo de la empresa A y de la probabilidad de comprar acciones de la misma.

Los investigadores descubrieron que las empresas que divulgaron los esfuerzos de gestión de riesgos de ciberseguridad, tanto antes como después de la infracción de un competidor, obtuvieron mejores resultados.

«Si bien la compañía sufre una cierta disminución en su atractivo después de la brecha de seguridad, en promedio baja menos si revela su programa de gestión de riesgos de ciberseguridad, de una manera similar a las pautas de información voluntaria de la AICPA», dice Pennington.

Los investigadores también analizaron los datos del estudio para determinar el impacto de otro efecto, llamado «efecto de competencia», que anteriormente se había asociado con las violaciones de la ciberseguridad en la investigación de archivos. En este contexto, el efecto sobre la competencia se produce cuando los inversores ven una violación de la ciberseguridad en una empresa como una ventaja para los competidores de esa empresa, lo que hace que esos competidores sean más atractivos para los inversores.

«Vimos evidencia del efecto de la competencia con algunos inversionistas en nuestro estudio, pero en promedio el efecto de contagio superó el efecto de la competencia», dice Pennington.

«Nuestro estudio ofrece evidencia experimental tanto de los efectos de contagio como de competencia, así como de sus fortalezas relativas», dice Pennington. «Pero creo que la conclusión es que hay ventajas muy reales en revelar voluntariamente los esfuerzos de gestión de riesgos de ciberseguridad, tal y como sugiere la AICPA. Este no es un ejercicio puramente teórico, puede afectar el atractivo de su empresa para los inversores».