Ciberseguridad

Los riesgos cibernéticos ponen en peligro las operaciones de fusión y adquisición

"Los compradores deben proteger sus inversiones y reforzar sus auditorías de ciberseguridad", asegura Phillipe Thomas, fundador de Vaultinum.

riesgo, ajedrez

La ciberseguridad se ha convertido en un pilar fundamental a auditar a la hora de realizar una fusión o adquisición de una empresa, sobre todo en el mercado tecnológico, cuya actividad a este respecto sigue creciendo a pesar de los inconvenientes de la pandemia de la COVID-19, según explica a CSO Phillipe Thomas, fundador de Vaultinum, compañía espcializada en due diligence de vulnerabilidades digitales. Asimismo, aclara, “las ciberamenazas han superado a la sobrerregulación como la principal preocupación de los CEO en sectores como el asegurador, de capital de riesgo, banca y tecnología”.

La tendencia ha cambiado y los posibles compradores están empezando a recurrir a la auditoría cibernética después de algunas pérdidas de gran repercusión. Pone como ejemplo el caso de Marriot y Starwood de 2016, que acabó revelando una gran filtración de datos años después. Marriot fue objeto de numerosas demandas en múltiples jurisdicciones, lo que les costó 130 millones de dólares solo en el Reino Unido. “Hasta ahora, los inversores solo habían recurrido a la due diligence manual, que consiste en enviar a expertos para que entrevisten a los departamentos de TI y revisen, línea por línea, el código fuente de su software”, dice el directivo. “Esto podía ser una práctica aceptable hace 20 años, pero hoy en día, cuando solo un coche inteligente requiere más de 150 millones de líneas de código, es poco práctico, requiere mucho tiempo  el riesgo de error humano es demasiado alto”. Además, añade: “este proceso solo deja ver la superficie del ciberriesgo, así como los problemas de propiedad intelectual. Los compradores estratégicos están buscando varias soluciones para proteger sus inversiones, tanto antes como después de la transacción, incluyendo el uso de auditorías para mitigar los riesgos de malware, ransomware y otros virus dañinos”.

En cualquier caso, cree que todavía los organismos reguladores, encargados de dar luz verde a las adquisiciones, todavía están más preocupados por cuestiones antimonopolio que por la ciberseguridad. “Sin embargo, también es cierto que muchos gobiernos han llegado a la conclusión de que el libre mercado no ha respondido adecuadamente al aumento de las ciberamenazas y han tomado cartas en el asunto, promulgando leyes como el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas) y reforzando sus requisitos”. Por tanto, concluye, aunque un regulador no pueda impedir una fusión por motivos de ciberseguridad, sí puede intervenir después para imponer responsabilidades y multas.

 

Principales riesgos a auditar

La compañía ha elaborado una lista con los tres principales desafíos de seguridad a tener en cuenta antes de realizar la adquisición. Por una parte, esgrimen, estas operaciones son un terreno fértil para los ciberdelincuentes. “A corto plazo, con estas operaciones en transición, los datos son más vulnerables y corren un mayor riesgo de ser atacados”. Pero, aun así, y según un estudio de IBM, más del 50% de las empresas esperan a que se complete la due diligence antes de realizar cualquier evaluación tecnológica de las transacciones.

Por otro lado, fusionarse con una compañía que tiene vulnerabilidades ocultas de datos puede afectar a las operaciones de negocio, las relaciones con los inversores y su propia reputación. Por ejemplo, durante las negociaciones de fusión con Verizon en 2017, se reveló una brecha en Yahoo de al menos 1.000 millones de cuentas, de las que se robaron muchas credenciales de inicio de sesión e información personal. El precio de compra se redujo en 350 millones de dólares y Verizon aceptó compartir la responsabilidad legal.

Por último, existen varios riesgos en el código abierto. Este tipo de licencias se ofrecen a menudo sujetas a restricciones condicionales, que pueden incluir la publicación del código o el pago de una cuota por uso. Cuando se completa una operación, el adquiriente pasa a ser responsable del uso anterior, así como de las condiciones relativas a su licencia. Los costes legales de esto pueden llevar a parar la fusión.



TE PUEDE INTERESAR...

Partnerzones

Registro:

Eventos:

 



Revistas Digitales IDG

DealerWorld Digital

IDG Research