Esta es la primera parte de una serie de cuatro artículos de blog en los que trataré cada una de las fases del proceso de fusiones y adquisiciones y cómo se puede incorporar la seguridad a cada una de ellas.
Si lee las noticias, ya sabe que estamos viviendo un enorme aumento de las fusiones y adquisiciones (M&A o F&A en español). El volumen mundial de fusiones y adquisiciones alcanzó un récord en 2021—aumentando un 64% con respecto al año anterior y superando los 5 billones de dólares por primera vez. Esta actividad seguirá aumentando en 2022, ya que las empresas utilizan las fusiones y adquisiciones para gestionar los efectos económicos, aún imprevisibles, de la pandemia de COVID-19 y encontrar su posición estratégica. Estas operaciones pueden ayudarles a racionalizar los activos, establecer o ampliar las capacidades digitales, adquirir los mejores talentos y reforzar su posición competitiva.
Las F&As se basan en la rapidez y la confidencialidad. Su grupo de desarrollo de negocio empezará a investigar las empresas y—al principio, lo hará con total sigilo. De hecho, el grupo de desarrollo de negocio puede ser el único que sepa qué empresas concretas se están considerando. Una vez que ese equipo central identifique una empresa que se ajuste a sus planes, avanzará con el proceso formal de F&A, que hemos definido en cuatro fases.
Primera fase: Debida diligencia
La fase de debida diligencia (due diligence) del proceso de F&A es el momento en el que el adquirente (es decir, el comprador) y el objetivo (la empresa que se va a adquirir) comienzan a compartir información.
Uno de los errores críticos que cometen muchas empresas para mantener las cosas lo más sigilosas posible desde el principio es que no informan a su departamento de seguridad de que se está estudiando una fusión y adquisición. A menudo se contrata a un experto en seguridad para sumarse al resto del equipo, una vez que se ha realizado la debida diligencia y se ha firmado la carta de intenciones. Pero eso es demasiado tarde. Si yo soy ese equipo de debida diligencia, quiero entender la postura de seguridad de la empresa objetivo lo antes posible. Necesito saber qué tecnologías tienen actualmente para entender los niveles de riesgo y el equipo humano de seguridad querrá empezar a planificar la integración desde primer día.
Los grupos de desarrollo de negocio siempre deberían incluir al menos a una persona del departamento de seguridad entre las entidades de confianza que se incorporan en las primeras fases del proceso de la transacción.Un experto en seguridad ayudará a garantizar un intercambio de información seguro y también puede ayudar a identificar algunos grandes riesgos potenciales antes de que las empresas firmen una carta de intenciones.
Las empresas objetivo pueden dejar de hacer inversiones para impulsar su cuenta de resultados (P&G)—incluyendo algunas cosas que deberían haberse hecho para mantener la seguridad de las operaciones. Por lo tanto, una parte clave de esta fase tiene que ser la evaluación del impacto de la empresa objetivo en la seguridad general de la organización. Hay que descubrir de antemano todos los costos potenciales y los riesgos de la transacción. Y puede haber cosas que no sean evidentes en la superficie. Una revisión de la debida diligencia en materia de ciberseguridad debe evaluar todos los aspectos de la seguridad de la empresa objetivo, incluidas las políticas, los procedimientos, la gestión de cuentas, el cumplimiento normativo, las aplicaciones, las API y la seguridad de la nube/infraestructura.
No es tan diferente de la compra de una casa. Un inspector de casas ayuda al comprador a entender las reparaciones que hay que hacer para mantener la casa segura, y esa información ayuda a negociar las condiciones finales de la venta. Si el inspector descubre problemas que suponen un riesgo demasiado grande (como unos cimientos agrietados), da al comprador la oportunidad de pasar a otra propiedad que sea una mejor inversión.
Si yo trabajo para el comprador, voy a examinar un objetivo desde el punto de vista de la seguridad para determinar el tipo de inversiones que habrá que hacer para que se equipare a la empresa compradora. Esa será probablemente la parte más cuantificable. La segunda parte, sin embargo, va a ser la probabilidad de que ya hayan tenido una brecha que nadie conoce. La detección temprana de un ataque o una brecha, podría evitar que el comprador asuma involuntariamente una responsabilidad material que podría ser costosa, dañar su reputación y generar mala prensa.
Las empresas compradoras han sufrido cuantiosas pérdidas al descubrir las anteriores filtraciones de datos de una empresa objetivo sólo después de completar las transacciones finales. Esto puede dar lugar a importantes multas y a la reducción del valor total de la empresa objetivo. Es posible que haya que hacer devoluciones millonarias. En un ejemplo de hace unos años, Verizon redujo su oferta por Yahoo en 350 millones de dólares después de descubrir dos filtraciones masivas de datos en el pasado reciente de Yahoo que no se habían revelado completamente.
Los datos también van a empezar a moverse de un lado a otro entre las dos empresas durante la debida diligencia. La empresa objetivo va a enviar datos financieros, y a menudo los datos vendrán también desde el comprador. La seguridad tiene que ser capaz de ver estos flujos de datos para asegurarse de que el intercambio de información se maneja correctamente.
Permanezca atento a la segunda parte, en la que hablaré de la planificación de la integración y el anuncio público. Para obtener más información sobre cómo puede encajar la seguridad en su proceso de fusiones y adquisiciones, descargue una copia del resumen de soluciones para facilitar las fusiones y adquisiciones.