Durante los últimos años hemos visto un crecimiento importante en el número de operaciones de M&A realizadas, tanto a nivel nacional como a nivel internacional. Se previó un declive durante la pandemia surgida en 2020 y, sin embargo, 2021 fue un año récord a nivel de transacciones. 2022 ha sido un año de afianzamiento debido principalmente a los desafíos geopolíticos y la incertidumbre económica general, lo que ha provocado que el proceso de due-diligence gane en solidez y se refuercen las áreas a analizar para ofrecernos tranquilidad en la inversión.
Tradicionalmente, entre los aspectos a evaluar se incluían vectores financieros, fiscales, legales, de negocio o incluso de TI según el tipo de compañía, pero cada vez más se incluyen la ciberseguridad y la privacidad como áreas a analizar de manera previa a una posible adquisición, pero ¿por qué es así?
Según un informe de Forescout, en el que participaron sujetos con una categoría de senior manager o superior responsables de participar en operaciones M&A para Estados Unidos, Francia, Reino Unido, Alemania, Australia, Singapur y la India, más del 62% indicó que la Ciberseguridad es uno de los riesgos más grandes para una posible adquisición.
Estas cifras no son casuales ya que más de la mitad de los participantes (53%) indicaron que encontraron algún redflag durante la revisión de ciberseguridad que afectó o pudo poner en peligro la transacción, y es que existen varios factores claves que deben tenerse en cuenta en una revisión de este tipo y que nos dan luz sobre ámbitos que no teníamos en el radar en el pasado. Estos factores son:
1. Integración tecnológica
Sea el objetivo principal o no la adquisición de una empresa con un producto tecnológico, la adquisición de una compañía implica la integración entre nuestros sistemas y los suyos, lo que desde el punto de vista de ciberseguridad genera una serie de riesgos.
Por poner un ejemplo, en 2014 TripAdvisor adquirió la agencia de viajes Viator y tras la adquisición, solo un par de meses después, se dieron cuenta de una serie de cargos no autorizados realizados en tarjetas de crédito de clientes, lo que provocó que, tras una investigación, se concluyera que los datos de las tarjetas de crédito de 1,4 millones de clientes de Viator habían sido robados por parte de hackers y habían estado esperando el momento adecuado para realizar los cargos.
Ejemplos como éste es lo que se pretende evitar mediante una primera revisión, obteniendo información del estado actual de la ciberseguridad del target e identificando posibles riesgos antes de que sea demasiado tarde.
2. Recursos y procesos de continuidad en la contingencia tecnológica.
Como se ha hecho patente desde la irrupción de la pandemia, estar preparado ante situaciones de alto impacto y baja probabilidad, ha pasado a ser una obligación más que una buena práctica como se consideraba antes. Revisar y evaluar el estado de madurez de la gestión de la contingencia tecnológica es clave a día de hoy.
3. Seguridad de los datos, personales y confidenciales.
Los procesos de M&A colocan a las compañías en una situación de mayor exposición, y por tanto, también es necesario tener en cuenta el trasvase de información confidencial y de datos personales que se realizará en la posible adquisición.
Hemos incluido conscientemente la mención a la privacidad, ya que la protección de la información debe ser coherente con las prácticas de la empresa, y por tanto, la información confidencial y los datos personales no se pueden tratar como si fueran dos aspectos completamente estancos, ya que en algunos casos comparten flujos de negocio o incluso sistemas de información, por lo que las medidas de seguridad deben tener en cuenta este enfoque integral.
Cada vez cobran más valor revisiones de seguridad en la que se entremezclan con términos antes casi exclusivos del ámbito de la privacidad, como el Privacy by Design o las evaluaciones de impacto en privacidad.
Debido a la cada vez mayor importancia que tiene la ciberseguridad en las compañías, y al impacto económico o reputacional que puede causar tener sufrir una incidencia o ataque exitoso (según algunos estudios la devaluación media del valor de una organización 3 años después de sufrir una brecha es del 15%), es casi una conclusión lógica que esta preocupación se “herede” a la hora de evaluar una posible adquisición o realizar una inversión en una compañía.
Según los análisis que publica anualmente el World Economic Forum, la ciberseguridad se presenta en el Top5 de preocupaciones en la agenda de los CEOs de las principales empresas a nivel mundial, y ha sido así durante los últimos 6 años de manera consecutiva.
Desde nuestro punto de vista, los esfuerzos deben partir desde la base de proponer enfoques ágiles, estratégicos y alineados a la realidad tanto del contexto actual como de la situación específica del sector/cliente. Creemos que lo importante no es tanto resolver un problema puntual si no entender de manera holística las necesidades concretas en materia de ciberseguridad en cada una de las fases del ciclo de vida de una operación de M&A:
En conclusión, nos ha tocado vivir una época convulsa de cambio y transformación constante, y a nivel tecnológico esto se traduce en nuevos procesos y beneficios importantes, pero también en una serie de riesgos relativos a la protección de la información que debemos tener en cuenta, tanto en nuestras Compañías, como a la hora de evaluar una posible adquisición o inversión.
De nada sirve hoy en día, y en el punto en que nos encontramos, considerar la ciberseguridad como un aspecto menor perteneciente únicamente a un área interna de la empresa, cuando estamos adquiriendo o invirtiendo en una compañía en la que una potencial fuga de información o ataque de ciberseguridad puede provocar un impacto económico y reputacional, que se podría haber identificado o mitigado con una buena planificación y gestión en el proceso de la Due Diligence.
Son tiempos complicados, pero donde cada vez se valora más la certidumbre, y esto sumado al surgimiento de nuevos requerimientos regulatorios en materia de ciberseguridad (NIS2, DORA, etc) hace no solo recomendable si no casi obligatorio el evaluar el estado de madurez en materia de ciberseguridad para evitar sorpresas futuras.
Deja un comentario