Investigación: Una política de privacidad sólida puede salvar millones a su empresa

Aquí están las empresas Fortune 100 con las mejores y peores políticas.
Investigación: Una política de privacidad sólida puede salvar millones a su empresa
Resumen.

Los ciberataques están en aumento, y no sólo las empresas violadas son las que son lastimadas por ellos. Nuevas investigaciones concluye que los rivales de las empresas pirateadas también pueden sufrir efectos financieros negativos, pero estos efectos se pueden mitigar al tener buenas prácticas de privacidad. En particular, las empresas con políticas de privacidad que son transparentes acerca de cómo la empresa utiliza los datos de los clientes y que proporcionan a los clientes un alto grado de control sobre sus datos pueden protegerse cuando sus rivales son pirateados. La ventaja de tener una política de privacidad fuerte puede ser considerable: Los investigadores descubrieron que puede ahorrar a algunas empresas cientos de millones de dólares.


Los ciberataques están en aumento, con se producen más de 1.000 infracciones de datos en las organizaciones estadounidenses solo en 2016, la mayoría de las veces a través de hackeo o robo externo. Y no son sólo firmas violadas las que resultan dañadas por estos incidentes. Estudiando cientos de infracciones de datos, nuestra investigación ha descubierto que crean ondas significativas que afectan a otras empresas de la industria.

Nuestra investigación muestra que las violaciones de datos a veces perjudican a los rivales cercanos de una empresa (debido a efectos de derrame), pero a veces los ayudan (debido a efectos competitivos). Además, descubrimos que una buena política de privacidad corporativa puede proteger a las empresas del daño financiero que supone una violación de datos, al ofrecer a los clientes transparencia y control sobre su información personal, mientras que una política defectuosa puede exacerbar los problemas causados por una violación. Juntos, esta evidencia es la primera en demostrar que los rivales cercanos de una empresa se ven directamente, financieramente afectados por su brecha de datos y también en ofrecer soluciones procesables que podrían ahorrar a algunas empresas cientos de millones de dólares.

Nuestra investigación muestra que a veces una brecha crea un derrame, donde los inversores perciben un efecto de culpa por asociación que perjudica a los rivales cercanos de la firma violada. Para un ejemplo de daño a la competencia debido a estos efectos secundarios, considere la violación de datos de Nvidia de julio de 2012, que afectó a 400.000 cuentas de usuario. Su rival Advanced Micro Devices (AMD) perdió alrededor de $48 millones en el día del evento (-1,4% caída en el precio de las acciones) debido a los efectos secundarios de la brecha de Nvidia, controlando los efectos generales del mercado. Es decir, cuando eliminamos de nuestros análisis todos los demás eventos que podrían haber influido en la caída de acciones de AMD, como declaraciones de dividendos, firmas de contratos, información sobre ganancias o fusiones y adquisiciones, encontramos que se produjo un daño claro y significativo por la violación de datos de Nvidia.

De hecho, los efectos de derrame a través de nuestra muestra evidenciaron una caída en el precio de las acciones que promedió más de $8 millones en pérdidas para empresas rivales donde no se produjo tal violación de datos. Nuestros resultados muestran que el impacto financiero a los precios de las acciones de estos rivales puede ser detectado durante varios días después de la brecha de datos antes de finalmente estabilizarse.

Sin embargo, una brecha a veces puede ayudar a un rival cercano, creando efectos competitivos beneficiosos. Considere la enorme brecha de datos de Anthem en febrero de 2015, que afectó a hasta 80 millones de clientes. La alta gravedad de esta brecha llevó a su rival Aetna a ganar alrededor de $745 millones (2,2% de aumento en los precios de las acciones) el día del evento debido a los efectos competitivos, controlando nuevamente los efectos generales del mercado. En esta situación, una violación de datos de esta escala hace que los inversores se preocupen de que los clientes defecten masivamente a los competidores, proporcionando así un impulso positivo al precio de las acciones de un competidor cercano.

Nuestra investigación muestra que la gravedad o el número de clientes afectados por una brecha es clave para entender si sus rivales cercanos se verán perjudicados o ayudados por la mala fortuna de su competidor. A medida que aumenta el número de clientes perjudicados por la brecha, los efectos en el mercado de valores para los rivales de la empresa pasan de negativo a positivo, a medida que los efectos competitivos se vuelven más dominantes. Esto sugiere que las infracciones más pequeñas indican que otros en la industria también pueden ser vulnerables a la piratería informática. Sin embargo, las grandes brechas de datos crean la impresión de que la empresa infringido se encuentra en una cantidad única de problemas. Nuestra investigación muestra que en grandes brechas de datos, los clientes desean cada vez más abandonar la empresa infringido. El comportamiento esperado de cambio beneficia en última instancia a los competidores de la empresa infringido, tal como se refleja en el rendimiento de sus acciones.

La buena noticia es que las empresas no son impotentes contra estos efectos de violación de datos. Hay estrategias procesables que pueden usar para protegerse o inocularse de su propia brecha o de un rival. Utilizando estudios que consultan a cientos de clientes que contratamos en Amazon Mechanical Turk, junto con el análisis de datos de acciones de cientos de empresas durante la última década, nuestra investigación concluye que las empresas pueden protegerse de daños por violación de datos mediante la implementación de dos prácticas importantes centradas en la privacidad que benefician clientes.

En primer lugar, pueden explicar claramente a los clientes cómo utilizan y comparten sus datos. Las prácticas de privacidad transparentes indican a los clientes qué información específica capturan las empresas y cómo la utilizan (por ejemplo, dirección IP, historial de búsquedas, promociones, información que se vende a terceros). En segundo lugar, las empresas pueden dar a los clientes un amplio control sobre el uso y el intercambio de sus datos. El control se dota al ofrecer al cliente oportunidades de optar por no participar en las prácticas de datos de la empresa (promociones, compartir con socios, vender). Juntas, estas medidas fueron percibidas para empoderar eficazmente a los clientes, dándoles un mayor conocimiento y la capacidad de tener voz en las prácticas empresariales.

Cuando una empresa tenía prácticas de privacidad transparentes, los clientes de nuestros estudios sentían que tenían los conocimientos necesarios para tomar una decisión informada acerca de compartir sus datos personales. Cuando las prácticas de privacidad de una empresa ofrecían control, los clientes sabían que tenían la capacidad de cambiar sus preferencias sobre qué y cómo comparten su información. En nuestros estudios, los clientes no castigan a las empresas infractoras que proporcionaban transparencia y control. Los clientes habilitados están más dispuestos a compartir información y son más indulgentes con las infracciones de privacidad de datos, siendo leales después del hecho, como hemos aprendido. Los clientes de empresas que ofrecen una alta transparencia y control informaron de sentirse menos violados por las prácticas de big data, atestiguaron ser más confiables, proporcionaron datos más precisos a la empresa y tenían más probabilidades de generar boca a boca positivo.

Las empresas con un alto nivel de estas dos dimensiones también fueron amortiguadas de los daños en el precio de las acciones durante las infracciones de datos, ya sea las suyas propias o las de sus rivales. Sin embargo, solo alrededor del 10% de las empresas Fortune 500 encajan en este perfil.

Para estudiar cómo una empresa implementa prácticas que proporcionan transparencia y control, necesitábamos analizar las formas documentadas en las que las empresas explican su enfoque con respecto a la privacidad de los datos de los clientes. Al estudiar su uso de la transparencia y el control en sus políticas de privacidad, queríamos entender cómo estaban protegidas las empresas Fortune 100 de los efectos negativos de las violaciones de datos. Nuestro equipo de investigación revisó las políticas de privacidad de todas las empresas de Fortune 100 para obtener información.

Investigación: Una política de privacidad sólida puede salvar millones a su empresa

Nuestros hallazgos muestran que algunas empresas proporcionan altos niveles de transparencia y control de los datos, y que estarían protegidas de las infracciones de datos. (Consulte nuestra clasificación en la exposición «¿Qué tan buenas son las políticas de privacidad de Fortune 100?») Las firmas mejor clasificadas como Costco, Verizon y HP estarían protegidas de los efectos de derrames si un competidor cercano experimentara una brecha de datos. Estas empresas transmiten claramente qué información capturan y cómo la capturan, al tiempo que ofrecen a sus clientes un control sustancial o dicen sobre el uso compartido y uso de esa información.

En el otro extremo del ranking están firmas como Citigroup, Morgan Stanley y HCA. En 2011, Citigroup experimentó una violación de datos de 146.000 registros de clientes y sufrió una pérdida de valor de las acciones de $1.300 millones. Según nuestro análisis, si Citigroup hubiera adoptado prácticas de alta transparencia y alto control, habría sufrido una pérdida de sólo alrededor de $16 millones en valor de acciones. Es decir, Citigroup podría haber ahorrado alrededor de $820 millones si simplemente hubiera ofrecido a sus clientes una gran transparencia y control. En respuesta a esta violación, Citigroup gastó $250 millones en sistemas de ciberseguridad y contrató a 1.000 profesionales de IT adicionales. Sin embargo, nuestra codificación de sus prácticas revela que, tan recientemente como 2016, Citi todavía no proporcionaba altos niveles de transparencia y control. Por lo tanto, aunque sus salvaguardias de IT mejoradas pueden ser sólidas, nuestra investigación muestra que la empresa sigue en riesgo si un competidor sufre una infracción.

Mirando a través de las clasificaciones, otras empresas parecen ofrecer uno de estos aspectos a los clientes. Por ejemplo, algunas empresas proporcionan transparencia, pero no dan a los clientes la capacidad de actuar sobre esta información (bajo control). En nuestra investigación, este enfoque fue mal recibido por los clientes.

Por último, las empresas que ni les dicen a los clientes cómo utilizan sus datos ni ofrecen ningún control corren el mayor riesgo de sufrir daños financieros. Nuestro análisis de privacidad mostró que un abrumador 80% de las empresas de la lista Fortune 500 pertenecen a esta categoría. En nuestro estudio, las empresas que no pudieron explicar sus prácticas de privacidad de datos tuvieron una caída 1,5 veces mayor en el precio de las acciones que las empresas con alta transparencia, mientras que las empresas que proporcionaban un alto control a los clientes no tuvieron un cambio significativo en el precio de sus acciones después de una violación de datos.

En última instancia, las empresas pueden utilizar prácticas de privacidad de datos para protegerse de los efectos secundarios de las fallas de privacidad de los competidores, pero sus esfuerzos para hacerlo deben ser significativos. Deben explicar claramente a los clientes las formas en que accederán, usarán, compartirán y protegerán la información de los clientes, y deben ir de la mano de dar a los clientes el control sobre estos usos de datos. El hecho de no hacerlo deja a una empresa susceptible al riesgo de múltiples daños.

Nota del editor: Cada ranking o índice es sólo una forma de analizar y comparar empresas o lugares, basado en una metodología y conjunto de datos específicos. En HBR, creemos que un índice bien diseñado puede proporcionar información útil, aunque por definición es una instantánea de un panorama más amplio. Siempre le instamos a leer detenidamente la metodología.

Related Posts
Investigación: Una política de privacidad sólida puede salvar millones a su empresa

El caso del denunciante deliberado

Cuando Ken Deaver, CEO de Fairway Electric, me promocionó al vicepresidente de la División Nuclear, estaba en la cima del mundo. Ahora, solo un mes después, se siente como el mundo encima de mí. Estoy acostumbrado a tener un equipo para compartir los problemas, pero ahora estoy por mi cuenta. Por lo menos […]
Leer más
Investigación: Una política de privacidad sólida puede salvar millones a su empresa

El dilema del cambio de Obama

¿Has escuchado el uno sobre la reunión final del CEO de Retiring con su sucesor? Decirle al nuevo líder que enfrentará muchas pruebas en su mandato, lo que le hizo le entrega tres letras. "Cada vez que enfrentas un desafío que parece insuperable", dice: "Abre uno de estos". Unos meses en el papel, [...]
Leer más
Investigación: Una política de privacidad sólida puede salvar millones a su empresa

Estrategias para empresas con alta cuota de mercado

En los últimos años, un número creciente de profesionales de negocios y teóricos han postulado que una forma de que una empresa aumente su declaración es al aumentar su participación de mercado, y los estudios parecen haber confirmado esta relación. Pero los autores de este artículo se niegan a aceptar la inferencia general de que "más" es necesariamente siempre [...]
Leer más
Investigación: Una política de privacidad sólida puede salvar millones a su empresa

Predecir lo impredecible

El comportamiento colectivo de las personas en multitudes, mercados y organizaciones ha sido durante mucho tiempo un misterio. Ahora, algunas compañías están encontrando formas de analizar e incluso predecir, tales "fenómenos emergentes".
Leer más

Newsletter

Avanza tu carrera profesional, con el resumen semanal de las publicaciones, un libro de negocio resumido en 10 minutos y entrevistas con líderes de negocio