Incorporando la seguridad en su proceso de fusiones y adquisiciones, parte 3: Cierre de la fusión o adquisición ("día uno")

Esta es la tercera parte de una serie de cuatro artículos de blog que cubren cada una de las cuatro fases del proceso de fusión y adquisición (F&A) y cómo se puede integrar la seguridad en cada fase. En caso de que se lo haya perdido, la parte 1 cubrió el por qué es importante integrar la seguridad en el proceso de debida diligencia en la primera fase de la F&A y la parte 2 cubrió la planificación de la integración y el anuncio público.

Tercera fase: Cierre de la fusión o adquisición ("día uno")

Ahora está preparado para el "día uno”—cuando la empresa adquirente adquiere o se fusiona con la empresa objetivo. Y desde el punto de vista de la seguridad, todo lo que ocurra a partir de ese día es responsabilidad suya. 

En los viejos tiempos, los firewalls y todo tipo de dispositivos físicos se instalaban a tiempo para empezar a supervisar y proteger inmediatamente la organización ampliada. En aquella época era un gran lío—y la mayoría de las empresas probablemente seguirían estando de acuerdo en que no es un proceso divertido. Pero con la planificación, las herramientas y los recursos adecuados, su departamento de seguridad puede diseñar un proceso de integración ejecutable en muy poco tiempo y repetible para futuras adquisiciones. Las soluciones de seguridad basadas en software facilitan mucho más la implantación y la configuración que el hardware de hace unos años.

Un objetivo común del primer día es conseguir que los ejecutivos clave del adquirente tengan acceso a los sistemas de la empresa objetivo, y viceversa. La polinización cruzada debe producirse desde el principio, especialmente en la parte operativa y en departamentos críticos como el financiero. La apertura de estos sistemas a nuevos usuarios y nuevos procesos puede presentar enormes riesgos. Por ejemplo, como ambas empresas utilizan direcciones IP internas, es muy común que haya conflictos de IP. No son sus direcciones IP públicas; son los rangos internos. Las organizaciones necesitan algún tipo de solución de seguridad que ayude a prevenir este tipo de conflictos de IP comunes dentro del entorno recién integrado. 

Hay otra serie de preguntas críticas de seguridad que deben ser respondidas en este punto, incluyendo:

• ¿Es posible limitar el acceso a los servicios y aplicaciones en la nube existentes de la empresa de destino para evitar fugas de datos y cerrar las brechas de seguridad?

• Si hay nuevas conexiones SD-WAN a las sucursales u oficinas remotas de destino, ¿puede proporcionar visibilidad y protección de datos para ellas?

• ¿Puede realizar una evaluación exhaustiva de las capacidades de supervisión de amenazas de la empresa objetivo, incluido el movimiento granular de datos hacia/desde las soluciones en la nube de la empresa objetivo? (Es posible que haya datos sensibles en sus entornos en la nube que se hayan dejado sin gestionar).

• ¿Puede identificar y gestionar las integraciones de terceros y detectar cualquier actividad o comportamiento de alto riesgo por parte de los usuarios de la empresa objetivo?

• ¿Existen debilidades de seguridad que haya identificado durante el proceso de debida diligencia que deban abordarse?

Desgraciadamente, muchas de estas actividades de seguridad importantes tienen que esperar hasta el primer día porque no pueden realizarse oficialmente antes del cierre del acuerdo. En la mayoría de los casos, no se puede empezar a realizar escaneos detallados hasta que el adquirente sea realmente propietario de la empresa objetivo. El escaneo profundo es una necesidad a corto plazo porque la mayoría de las empresas de hoy en día tendrán complejidades de infraestructura modernas que necesitan una supervisión inmediata—configuraciones de aplicaciones SaaS, acceso a aplicaciones privadas, implementaciones de IaaS en diferentes nubes públicas, así como otras implementaciones multi-nube. Una vez que comienza la integración, toda la empresa queda expuesta a cualquier vulnerabilidad o amenaza oculta en su infraestructura.

Permanezca atento a la cuarta parte, en la que abordaré cómo debe enfocar las integraciones a largo plazo tras las fusiones y adquisiciones. Para obtener más información  sobre cómo puede encajar la seguridad en su proceso de fusión y adquisición, descargue una copia del resumen de solución Smoothing Out M&A.