La ricerca rileva che quando un'azienda subisce una violazione della sicurezza informatica, anche altre società nello stesso settore diventano meno attraenti per gli investitori. Però, le aziende che sono aperte sulla loro gestione del rischio di sicurezza informatica ottengono risultati significativamente migliori rispetto ai colleghi che non rivelano i loro sforzi per la sicurezza informatica.

"Studi precedenti hanno trovato prove di questo 'effetto contagio' a seguito di violazioni della sicurezza informatica, "dice Robin Pennington, coautore di un articolo sul lavoro e professore associato di contabilità presso il Poole College of Management della North Carolina State University. "Però, per quello che ci risulta, il nostro è il primo a testare sperimentalmente il problema. Non solo abbiamo confermato l'effetto contagio, ma ha scoperto che esistono misure chiare che le aziende possono intraprendere per ridurne l'impatto. Nello specifico, le aziende farebbero bene ad attuare le linee guida di segnalazione volontaria dell'AICPA sulla divulgazione degli sforzi in materia di sicurezza informatica".

Per esplorare le questioni relative all'effetto contagio, i ricercatori hanno condotto uno studio con 120 investitori non professionali. Nello studio, ai partecipanti sono state fornite informazioni su una società fittizia, che chiameremo Azienda A. Ad alcuni partecipanti è stato anche brevemente parlato del programma di gestione del rischio di sicurezza informatica dell'Azienda A. Ai partecipanti è stato poi chiesto di dare una prima valutazione sull'attrattiva di investire nella Società A, così come la probabilità di acquistare azioni della società.

Ai partecipanti allo studio è stato quindi detto che uno dei colleghi dell'azienda A è stato vittima di una violazione della sicurezza informatica. Ai partecipanti è stato quindi chiesto di fornire una valutazione rivista dell'attrattiva della società A e della probabilità di investire in essa. Ai partecipanti è stato quindi fornito un comunicato stampa dalla società A. Alcuni partecipanti hanno ricevuto una versione del comunicato che includeva un riferimento al programma di gestione del rischio di sicurezza informatica della società A. Ai partecipanti allo studio è stato quindi chiesto di fornire una valutazione finale dell'attrattiva dell'azienda A e della probabilità di acquistare azioni al suo interno.

I ricercatori hanno scoperto che le aziende che hanno divulgato gli sforzi di gestione del rischio di sicurezza informatica sia prima che dopo la violazione di un concorrente hanno ottenuto i risultati migliori.

"Mentre l'azienda subisce un certo calo di attrattiva dopo la violazione, in media soffre di meno se rivela il suo programma di gestione del rischio di sicurezza informatica, in modo simile alle linee guida di segnalazione volontaria dell'AICPA, "dice Pennington.

I ricercatori hanno anche analizzato i dati dello studio per accertare l'impatto di un altro effetto, chiamato "effetto concorrenza, " che è stato precedentemente associato a violazioni della sicurezza informatica nella ricerca d'archivio. In questo contesto, l'effetto sulla concorrenza è quando gli investitori vedono una violazione della sicurezza informatica in un'azienda come un vantaggio per i concorrenti di quell'azienda, rendendo quei concorrenti più attraenti per gli investitori.

"Nel nostro studio abbiamo visto prove dell'effetto concorrenza con alcuni investitori, ma in media l'effetto contagio ha sopraffatto l'effetto concorrenza, "dice Pennington.

"Il nostro studio offre prove sperimentali sia per il contagio che per gli effetti della concorrenza, così come i loro punti di forza relativi, " Pennington dice. "Ma penso che la conclusione qui sia che ci sono vantaggi molto reali nel rivelare volontariamente gli sforzi di gestione del rischio di sicurezza informatica, come suggerisce l'AICPA. Questo non è un esercizio puramente teorico, può influire sull'attrattiva della tua azienda nei confronti degli investitori".

La carta, "Le divulgazioni volontarie mitigano l'effetto di contagio della violazione della sicurezza informatica?" è pubblicato in Journal of Information Systems .