Undersøgelse finder, at virksomheder kan gøre klogt i at dele cybersikkerhedsindsatsen

Forskning viser, at når en virksomhed oplever et brud på cybersikkerheden, andre virksomheder inden for samme felt bliver også mindre attraktive for investorer. Imidlertid, virksomheder, der er åbne om deres cybersikkerhedsrisikostyring, klarer sig markant bedre end peers, der ikke afslører deres cybersikkerhedsindsats.

"Tidligere undersøgelser har fundet beviser for denne 'smitteeffekt' i kølvandet på cybersikkerhedsbrud, " siger Robin Pennington, medforfatter til et papir om arbejdet og en lektor i regnskab ved North Carolina State University's Poole College of Management. "Imidlertid, til vores viden, vores er den første til at teste problemet eksperimentelt. Vi bekræftede ikke kun smitteeffekten, men fandt ud af, at der er klare skridt, virksomheder kan tage for at reducere dens indvirkning. Specifikt, virksomheder ville være klogt i at implementere de frivillige rapporteringsretningslinjer fra AICPA om afsløring af cybersikkerhedsindsats."

For at udforske spørgsmål vedrørende smitteeffekten, forskere gennemførte en undersøgelse med 120 ikke-professionelle investorer. I undersøgelsen, deltagerne fik information om et fiktivt firma, som vi vil kalde virksomhed A. Nogle af deltagerne fik også kort fortalt om virksomhed A's risikostyringsprogram for cybersikkerhed. Deltagerne blev derefter bedt om at give en indledende vurdering af attraktiviteten ved at investere i virksomhed A, samt sandsynligheden for at købe aktier i virksomheden.

Deltagerne i undersøgelsen fik derefter at vide, at en af ​​virksomhed A's jævnaldrende var offer for et brud på cybersikkerheden. Deltagerne blev derefter bedt om at give en revideret vurdering af virksomhed A's attraktivitet og sandsynligheden for at investere i den. Deltagerne fik derefter en pressemeddelelse fra virksomhed A. Nogle deltagere modtog en version af udgivelsen, der indeholdt en henvisning til virksomhed A's risikostyringsprogram for cybersikkerhed. Deltagerne i undersøgelsen blev derefter bedt om at give en endelig vurdering af virksomhed A's attraktivitet og sandsynligheden for at købe aktier i den.

Forskerne fandt ud af, at virksomheder, der afslørede indsatser for cybersikkerhedsrisikostyring både før og efter en konkurrents brud klarede sig bedst.

"Selvom virksomheden lider af en vis nedgang i attraktivitet efter bruddet, det lider i gennemsnit mindst, hvis det afslører sit risikostyringsprogram for cybersikkerhed, på en måde, der ligner AICPAs frivillige rapporteringsretningslinjer, " siger Pennington.

Forskerne analyserede også undersøgelsens data for at fastslå virkningen af ​​en anden effekt, kaldet "konkurrenceeffekten, " som tidligere har været forbundet med cybersikkerhedsbrud i arkivforskning. I denne sammenhæng Konkurrenceeffekten er, når investorer ser et cybersikkerhedsbrud hos én virksomhed som en fordel for virksomhedens konkurrenter – hvilket gør disse konkurrenter mere attraktive for investorer.

"Vi så beviser for konkurrenceeffekten hos nogle investorer i vores undersøgelse, men i gennemsnit overvældede smitteeffekten konkurrenceeffekten, " siger Pennington.

"Vores undersøgelse tilbyder eksperimentel dokumentation for både smitte- og konkurrenceeffekter, såvel som deres relative styrker, " siger Pennington. "Men jeg tror, ​​at takeawayen her er, at der er meget reelle fordele ved frivilligt at afsløre indsatser for cybersikkerhedsrisikostyring, som AICPA foreslår. Dette er ikke en rent teoretisk øvelse – det kan påvirke din virksomheds appel til investorer."

Papiret, "Afbøder frivillige afsløringer smitteeffekten af ​​cybersikkerhedsbrud?" er offentliggjort i Journal of Information Systems .