Firmy, które są przejrzyste w swoich działaniach związanych z zarządzaniem ryzykiem cyberbezpieczeństwa, są bardziej atrakcyjne dla inwestorów, po tym, jak nastąpi naruszenie danych w ich branży. Jednak w „efekcie zarażenia” inwestorzy rzadziej wykazują zainteresowanie firmą po tym, jak inna organizacja z tej samej branży doznała naruszenia danych. Artykuł omawiający ten efekt, zatytułowany „Czy dobrowolne ujawnienia łagodzą efekt zarażenia naruszeniem bezpieczeństwa
cybernetycznego?”, został opublikowany w czasopiśmie Journal of Information Systems przez Andreę Seaton Kelton z Middle Tennessee State University.
Gdy firma cierpi z powodu naruszenia danych, efekt jest dwojaki. Bezpośrednie naruszenie wiąże się z bezpośrednimi stratami finansowymi, ale również sygnalizuje potencjalnym inwestorom ostrożność, a nawet wycofanie się. Efekt jest wystarczająco silny, aby zanieczyścić inne firmy w branży, nawet jeśli nie doznały naruszenia.
– Mimo że firma odczuwa pewien spadek atrakcyjności po naruszeniu, średnio cierpi najmniej, jeśli ujawni swój program zarządzania ryzykiem cyberbezpieczeństwa, w sposób podobny do dobrowolnych wytycznych AICPA (American Institute of Certified Public Accountants) powiedział Robin Pennington, profesor rachunkowości w Poole College of Management w North Carolina State University i współautor artykułu. – Widzieliśmy dowody na efekt konkurencji z niektórymi inwestorami w naszym badaniu, ale średnio efekt domina przytłoczył efekt konkurencji.
Artykuł oparty jest na badaniu przeprowadzonym wśród 120 nieprofesjonalnych inwestorów, którzy musieli dokonać kilku ważnych wyborów. Naukowcy odkryli, że firmy ujawniające wysiłki związane z zarządzaniem ryzykiem w zakresie bezpieczeństwa cybernetycznego znacznie bardziej zainteresowały inwestorów. „Efekt zarażenia” miał również mniejszy wpływ na bardziej przejrzystą organizację.
W artykule starano się również lepiej określić „efekt konkurencji”. Dzieje się tak, gdy inwestorzy szukają innej firmy do inwestowania w tej samej branży po tym, jak ich pierwszy wybór doznał naruszenia, i traktują to jako zaletę. Po uśrednieniu „efekt zarażenia” przytłaczał „efekt konkurencji”.
W badaniu stwierdzono, że najlepszą polityką dla każdej firmy jest opracowanie praktyk bezpieczeństwa cybernetycznego, ponieważ jest to wyraźny znak dla potencjalnych inwestorów.