¿Qué precio tiene la ciberseguridad en un proceso de M&A?

Cuando una empresa contempla llevar a cabo una fusión o adquisición (M&A, por sus siglas en inglés) y ha identificado su objetivo o target, llega el momento de revisar los números y llevar a cabo el proceso de due diligence, con el fin de valorar activos, datos financieros, proyecciones, valor de marca, potenciales sinergias, estrategia, amenazas, vulnerabilidades, etc.

Pero hay un aspecto que no siempre se está incluyendo debidamente en este proceso de due diligence y que, sin embargo, es crítico: ¿cómo está la ciberserguridad de esa empresa? ¿Tiene unos sistemas de seguridad robustos y cumple con la normativa vigente? ¿O se trata de un factor al que los administradores no han prestado la debida atención?

La pregunta no es una cuestión baladí. Debería plantearse en cualquier operación corporativa, con independencia del  tamaño o sector. Porque no hay industria ni compañía que sea ajena al proceso de digitalización que vivimos y que, desde el punto de vista empresarial, afecta progresivamente a todas sus funciones y procesos.

La conectividad de las personas, las empresas y las cosas (IoT) conlleva, ineludiblemente, riesgos de ciberseguridad. Desde bases de datos propios y de clientes que hay que proteger, wifis y móviles inteligentes corporativos, cámaras de vigilancia, sensores que captan información, sistemas robóticos, sistemas de control en edificios y plantas industriales, banca online y procesamiento de pagos, sistemas de CRM, logística, procesos, etc. Todo debe estar protegido de unos ciberdelincuentes – el cibercrimen supera ya en volumen a la delincuencia tradicional – cada vez mejor organizados y que buscan lucrarse mediante el robo de datos, credenciales, suplantación de identidades y otro tipo de delitos.

¿Qué ocurre si, por no valorar a tiempo los riesgos de ciberseguridad de una empresa antes de ser adquirida, éstos acaban estallando? Los efectos son de sobra conocidos. Desde multas, cada vez más elevadas, por incumplir con la debida obligación de protección de la información (el reglamento europeo de Protección de Datos, RGPD, contempla multas de hasta el 4% de la facturación), hasta el coste económico que supone la pérdida de servicio y los sistemas de restauración durante ese tiempo. Y, lo más preocupante, el daño reputacional que sufre la organización cuando ese fallo de seguridad queda al descubierto y que, sin duda, llevará consigo una pérdida de negocio y de clientes que, en el peor de los casos, puede llegar al 20-40% de los mismo. A modo de ejemplo, un caso real: fue después de una adquisición, en pleno proceso de fusión, cuando el comprador descubrió una importante brecha de ciberseguridad en la empresa adquirida, que afectaba a los datos personales de más de un millón de usuarios del target.

Si la ciberseguridad es un riesgo estratégico, que puede afectar a la imagen la empresa y a sus resultados financieros y, por tanto, debe figurar en la agenda de los consejos de administración, ¿tiene sentido obviar un proceso de due diligence de Ciberseguridad? Desde nuestro punto de vista, ninguno. Al contrario. La revisión de los procesos, sistemas, controles y gobierno de la seguridad debería ser una práctica habitual, dada la relevancia y dimensión de los riesgos. Como dijo Jason Weinstein, procurador del Departamento de Justicia de Estados Unidos durante quince años, “cuando compras una compañía, estás comprando sus datos y puedes estar comprando también sus problemas de seguridad con los datos”.

Según una encuesta de NYSE Governance Services,  el 85% de los directivos reconoce que una brecha en la ciberseguridad en una compañía target puede tener serias implicaciones en la transacción; un 22% dice que paralizaría la compra y un 52% asegura que rebajaría el precio de la misma. Sin embargo, la realidad es que, a día hoy, la due diligence de Ciberseguridad no está totalmente implantada, y existen cada vez más casos de operaciones de M&A en las que ha habido problemas de ciberseguridad.

¿Qué se debería hacer para evitar llegar a este tipo de situaciones? En KPMG hemos desarrollado una metodología específica de evaluación de los riesgos de ciberseguridad aplicada al proceso de due dligence  que es válida tanto para el comprador como para el vendedor. Esta metodología utiliza herramientas de due dilligence tales como entrevistas y revisión de documentación y análisis de  la situación de la ciberseguridad desde diferentes ópticas: Gobierno, Modelo Operacional, Arquitectura, Detección  y Respuesta.

El punto diferencial está en lo que llamaríamos el ‘levantamiento de la huella digital de la empresa adquirida’. Se trata de una técnica no intrusiva, ya que no se entra en los sistemas internos de la compañía, que nos permite evaluar el grado de información pública o expuesta de la compañía target. Ello unido al know how de nuestros expertos en la materia, nos permite evaluar con exactitud el grado de madurez de los sistemas de control y aportar, mediante datos cuantitativos y cualitativos, las potenciales brechas de seguridad a las que la sociedad se puede enfrentar.

Analizamos no sólo la información disponible en la superficie de Internet (Surface Web) sino también en las profundidades de la web (Deep y Dark Web), donde los hackers bucean con libertad, y permite detectar indicios de riesgos que se están incubando. Es allí donde podemos evaluar si hay o no información confidencial de la compañía target que está siendo comercializada por ciberdelicuentes.

En resumen, no valorar los riesgos de ciberseguridad, no solo deja en el aire cualquier proyección sobre el rendimiento real de la operación de M&A en curso, sino que también deja activadas bombas de relojería que pueden estallar en cualquier momento en el seno de la organización adquiriente. Por todo ello, es recomendable realizar, en su debido momento, una adecuada due diligence de Ciberseguridad.

Autores:

Alejandro Rivas-Vásquez, Director de Ciberseguridad de KPMG en España

David Höhn, socio de Deal Advisory, responsable de Transaction Services de KPMG en España