Preguntas que se hacen los CISO si su proveedor de ciberseguridad se fusiona
La actividad de fusiones y adquisiciones en la industria de la ciberseguridad está en niveles récord, y eso podría tener un impacto negativo en su inversión en herramientas y plataformas.
El fuerte aumento de la financiación y de la actividad de fusiones y adquisiciones (M&A) en el sector de la ciberseguridad durante el último año ha puesto de manifiesto los problemas que pueden encontrar las organizaciones cuando su proveedor es adquirido por otra empresa o se fusiona con ella. Las empresas de seguridad especializadas y puras están siendo compradas por proveedores de tecnología más grandes y generalizados o por empresas privadas que buscan sacar provecho del auge de la ciberseguridad.
Los datos que S&P Global Market Intelligence recopiló el pasado mes de noviembre mostraron que hubo 151 operaciones de fusiones y adquisiciones en materia de ciberseguridad solo en los tres primeros trimestres de 2021, en comparación con las 94 del mismo periodo de 2020, las 88 de 2019 y las 80 de 2018. Muchas empresas obtuvieron inversiones masivas de capital de riesgo (VC) de empresas de capital privado. Algunas fueron adquiridas directamente por estas empresas. Las firmas de VC vertieron casi 22 mil millones de dólares en las empresas de ciberseguridad el año pasado, lo que fue un récord.
Esta tendencia pone de manifiesto los problemas a los que se enfrentan las empresas cuando las tecnologías y servicios de seguridad en los que han invertido se integran repentinamente en otras plataformas, se dejan de lado o se retiran completamente del mercado. Ha aumentado la urgencia de que los responsables de seguridad presten atención a lo que ocurre y sepan qué preguntas hacer cuando otra empresa adquiere su proveedor o servicio.
Según Jeff Pollard, analista de Forrester Research, las posibilidades de obtener una respuesta directa de la empresa adquirente o de la adquirida suelen ser escasas. Este será el caso, sobre todo, si la empresa adquirente tiene planes de reducir significativamente las tecnologías o servicios de la otra empresa o de despedir personal. Aun así, siempre es una buena idea intentar obtener toda la información posible, asegura.
"En la medida de lo posible, indíqueles cómo va a ser el proveedor cuando se incorpore a la otra empresa", dice Pollard. Si la empresa compradora dice que va a integrar la tecnología del proveedor adquirido en su plataforma, pregunte qué significa eso, recomienda. ¿Se integrará en la interfaz de usuario o formará parte de una plataforma mayor?
Pollard y otros han identificado seis preguntas que los responsables de seguridad deben plantearse si su proveedor es adquirido:
1. ¿Se continuará con el producto o se integrará?
La continuidad del producto puede ser un problema importante tras una adquisición o fusión. Los productos pueden abandonarse o interrumpirse cuando la empresa adquirente tiene tecnologías similares o que se solapan. Del mismo modo, las hojas de ruta de los productos pueden cambiar o acortarse tras una adquisición. Un equipo de seguridad que haya invertido en una tecnología concreta suponiendo que podría ampliarla a medida que cambien los requisitos, podría descubrir de repente que el producto se está quedando obsoleto por la vía rápida tras una adquisición. Estas cosas pueden ocurrir cuando una empresa adquirente tiene una oferta de plataforma mayor o compra otra empresa por su experiencia y no necesariamente por sus productos, dice Daniel Kennedy, analista de 451 Research, parte de S&P Global Market Intelligence.
Pregunta si el producto en el que ha invertido seguirá ofreciéndose, de qué forma y durante cuánto tiempo. ¿Habrá actualizaciones y durante cuánto tiempo? Si la tecnología se integra en una oferta de plataforma más amplia, asegúrate de conocer la estrategia futura de la empresa adquirente para el producto como parte de la oferta más amplia, dice: "¿Necesito instalar esa oferta más amplia o debo empezar a buscar un sustituto puro? ¿Cuál es el acuerdo de licencia y los costes futuros? explica Kennedy.
Charles King, analista de Pund-IT, dice que el proveedor que adquiere o fusiona debe ser capaz de proporcionar información sobre lo que los clientes pueden esperar durante al menos dos o cuatro años, incluyendo si planean retirar o reemplazar los sistemas y tecnologías existentes, "En algunos casos, ese proceso es menos complejo o problemático de lo que los clientes podrían temer", dice King. "Pero hay suficientes ejemplos extremos como para que los clientes hagan bien en pedir o exigir a los proveedores la mayor claridad posible".
2. ¿A quién reportarán el fundador/director general de su proveedor y otros altos ejecutivos?
Averigua qué piensan hacer los fundadores o los altos ejecutivos de la empresa adquirida o fusionada una vez finalizada la transacción. A menudo, los vendedores incluyen condiciones en el acuerdo de venta que les hacen acreedores a una compensación adicional por parte del comprador, si la empresa vendida alcanza determinados objetivos financieros. La duración de estos periodos denominados earnout puede oscilar entre tres y cinco años.
Averigua qué tipo de período de ganancias tienen los fundadores o ejecutivos de la empresa adquirida, dice Richard Stiennon, analista jefe de investigación de IT-Harvest. "¿Tienen los fundadores o los ejecutivos un plazo limitado de ganancias? ¿Se van a quedar o van a cobrar en 12 meses?
Asegúrate de averiguar qué tipo de funciones tienen en la nueva empresa, dice Stiennon. ¿Son funciones estratégicas o probablemente sólo de carácter titular? "A veces los ejecutivos cambian la visión y la dirección de la empresa adquirida y acaban dirigiéndola", señala.
Pollard afirma que, a menudo, cuando una gran empresa adquiere un proveedor mucho más pequeño, los ejecutivos y el fundador de la empresa adquirida pueden depender de los ejecutivos de nivel de vicepresidente y director general de la empresa más grande y no de los ejecutivos de la junta directiva. Esto puede ocurrir si el adquirente, por ejemplo, compra una empresa más pequeña sólo por una tecnología específica. En estos casos, los ejecutivos del proveedor adquirido tendrán poca capacidad para influir en las decisiones que el adquirente pueda tomar sobre las hojas de ruta de los productos, los compromisos de apoyo y otras cuestiones, afirma.
3. ¿Cuál es el historial de retención de talento de la empresa adquirente?
Presta atención a las políticas de retención y adquisición de talento de la empresa adquirente. ¿Tienen un historial de dejar ir a la gente después de adquirir una empresa? ¿Cuáles son sus planes para el equipo existente? Si tu empresa de servicios de seguridad ha sido adquirida por otro proveedor, el historial de retención de talentos del adquirente es especialmente importante, dice Kennedy. Si estás pagando un precio elevado por tus servicios de seguridad, tienes que asegurarte de que no acabas con un servicio de asistencia de nivel 1 después de la adquisición, dice,
"Lo ideal es que tu proveedor haya adquirido un servicio complementario que le beneficie", dice Kennedy, "o que dos proveedores con los que ya tienes relación formen parte de la adquisición y la capacidad combinada sea aditiva".
No dudes en preguntar si pueden producirse cambios importantes en el personal de ventas, servicios y apoyo, dice King. En muchos casos, esos empleados son las personas que los clientes ven, con las que interactúan de forma habitual y a las que llaman y confían cuando surgen problemas o emergencias. "Estos trabajadores son también los más propensos a ser reducidos o sustituidos por el personal existente del proveedor adquirente", dice King. "Ese proceso puede ser extremadamente discordante, especialmente cuando el nuevo proveedor tiene un enfoque o una dedicación al servicio al cliente sustancialmente diferente".
4. ¿Continuará la marca?
A veces, una empresa compradora conservará la marca del proveedor que ha adquirido. Sin embargo, a menudo la empresa adquirida se convierte en parte integrante del adquirente. Si esto último ocurre, es muy probable que los planes de producto y las hojas de ruta que tenía el proveedor cambien o se eliminen por completo y se sustituyan por la hoja de ruta y los planes del adquirente, aclara Stiennon. Saber cuáles son los planes de la empresa adquirente sobre la marca puede ser útil.
"¿Mantendrá el producto y la empresa su propia marca? Esto te indica si el producto que has comprado seguirá recibiendo apoyo y continuará siendo mejorado", continúa Stiennon. "Si no es así, el producto se fusionará con una plataforma mayor o llegará al final de su vida útil y se retirará". En ese caso, prepárate para comprar y utilizar toda la plataforma del proveedor que lo adquiere para obtener las funciones que tenías, añade.
5. ¿Es la compradora una empresa de capital privado?
Averigua si la organización que adquiere su proveedor de seguridad es una empresa de capital privado, dice Stiennon. Las empresas de capital privado participaron en gran parte de la actividad de inversión en el espacio de la ciberseguridad el año pasado. Según Momentum Cyber, las empresas de capital privado compraron 130 empresas de ciberseguridad en 2021. Eso es más que cualquier otro año. Los ejemplos incluyen la adquisición de ProofPoint por parte de Thoma Bravo por 12.300 millones de dólares, la compra de McAfee por parte de un consorcio liderado por Symphony Technology Group por 4.000 millones de dólares, y la compra de ExtraHop por parte de Bain Capital y Cross Point Capital por 900 millones de dólares.
Ten cuidado si la empresa que adquiere tu proveedor de seguridad es una firma de capital privado, advierte Stiennon. "Si es así, ten cuidado con los chanchullos financieros", dice. "Las empresas de capital riesgo se apalancan y esperan reunir un montón de empresas y empaquetarlas para una oferta pública inicial, o bien esperan dar la vuelta a la empresa en una venta". Cualquiera de estos resultados podría tener un impacto directo en su inversión en la tecnología o el servicio del proveedor adquirido, afirma.
6. ¿Cuál es la cultura de la empresa compradora?
Si tu proveedor de seguridad va a ser adquirido o ya lo ha sido, presta atención a la cultura de las empresas adquirentes, alerta Pollard. Muchos proveedores del sector de la seguridad se basan en la experiencia y crean sus empresas con una mentalidad profesional. A menudo, estas empresas se crearon para abordar un problema o conjunto de problemas específicos. "La cultura de estas empresas suele estar basada en la experiencia y los conocimientos", afirma Pollard. Tienen un compromiso y una pasión reales y saben lo que hacen".
Si tu proveedor es una de estas empresas y fue adquirido por una empresa mucho más grande, centrada en el producto y con una cartera de productos, pueden ocurrir cosas malas. "Probablemente hay un plazo de dos años para que tú te muevas, afrima Pollard. "Hay que empezar a pensar en la sustitución de productos y en la migración a seis meses o un año vista", explica. En el mejor de los casos, los responsables de seguridad descubrirán rápidamente que el proveedor adquirente comprende la importancia de las inversiones que han realizado y los beneficios de los que han disfrutado y tiene la intención de seguir trabajando con ellos de forma similar, añade King. "Si no es así, lo mejor es que los clientes de TI entiendan lo que se avecina y determinen si deben empezar a buscar nuevas opciones".
