La adquisición de una empresa puede suponer un verdadero impulso al desarrollo de otra. El número de fusiones y adquisiciones sigue, así, creciendo hasta alcanzar la cifra récord de 62 193[1] en 2021 (45 000 en 2020). Se trata de una cifra impresionante que seguramente atraerá la atención de los hackers, en un contexto en el que, en 2020, el número de ciberataques se multiplicó por 4 según la Agencia Nacional de Seguridad de Sistemas de Información francesa (ANSSI)[2].
A pesar de la progresiva concienciación de los responsables de la toma de decisiones, el componente de ciberseguridad en el enfoque de las comprobaciones debidas (due diligence) no siempre entra en juego en el momento adecuado y sigue limitándose exclusivamente a las dimensiones financiera, de marketing, de RR. HH., etc. Y lo que es peor, esta fase esencial puede ser incompleta y exponer así a ambas empresas. Además, la complejidad de las cuestiones de ciberseguridad añade un nivel de riesgo (amenazas internas, riesgos externos, riesgos normativos).
Por tanto, es legítimo preguntarse «¿cuáles son los riesgos de ciberseguridad y sus consecuencias en una fusión-adquisición? ¿Cómo establecer una auditoría eficaz de seguridad y cumplimiento y mediante qué enfoque hacerlo?
Unas comprobaciones debidas a menudo incompletas, secundarias o ignoradas
En general, la noción de ciberseguridad debería desempeñar un papel más importante en las comprobaciones debidas. Esta necesidad queda ilustrada en un estudio de 2021 en el que solo «el 25 % de los agentes financieros y de las empresas consideran muy importantes las comprobaciones debidas de los sistemas informáticos, cifra que se reduce al 18 % y al 13 % respectivamente cuando se trata de comprobaciones debidas relativas a la ciberseguridad»[3]. Esta recomendación resulta aún más esencial si la empresa objetivo maneja una gran cantidad de datos o tiene una ventaja competitiva ligada a un componente tecnológico importante. En efecto, una brecha en la seguridad informática puede haber expuesto datos sensibles o devaluado la propiedad intelectual al ponerla ilegalmente a disposición de otras empresas.
El otro problema es la fase en la que se da importancia a la ciberseguridad. Ello debería hacerse desde la fase inicial de una transacción y no solo en la fase de integración, como ocurre todavía con demasiada frecuencia.
Etapas esenciales de las comprobaciones debidas sobre ciberseguridad
Una vez más, es necesario recordar un elemento fundamental: uno proceso de comprobaciones debidas en materia de ciberseguridad no puede realizarse sin involucrar al CIO y/o al CISO (Chief Information Security Officer).
A continuación, hay que realizar una auditoría para recoger y analizar información sobre: las prácticas de seguridad, los últimos incidentes de seguridad, un mapeo de las herramientas e infraestructuras informáticas utilizadas, los riesgos existentes, la formación de los colaboradores en materia de ciberseguridad, el organigrama de los equipos encargados de la seguridad informática, etc. Como es lógico, esta fase requiere una gran transparencia por parte de la empresa objetivo.
Esta auditoría debe completarse con acciones concretas y medibles para identificar las lagunas o los peligros. Esto puede implicar la recopilación de bases de datos de las infraestructuras de las redes, pruebas de penetración, análisis de los flujos de red e investigaciones en sitios especializados para ver si la empresa ha sido objeto de ataques o es un futuro objetivo de los grupos de los piratas informáticos (hackers). Estas tareas pueden realizarse mediante herramientas automatizadas.
Riesgos significativos
Descuidar la ciberseguridad puede tener graves consecuencias. Uno de tales impactos puede ser el daño a la imagen de la empresa, como ocurrió en la adquisición de los hoteles Starwood por parte de Marriott, en la que se expusieron ilegalmente los datos de 500 millones de clientes[4]. También podemos mencionar otros riesgos como la paralización de la producción, la fuga de datos que conlleva sanciones (RGPD), una disminución de la facturación, una reducción de los beneficios, o incluso un impacto en la reputación de la marca.
Esto puede dar lugar a multas reglamentarias y procedimientos judiciales. Recordemos que, según el Instituto Ponemon, en colaboración con IBM, el robo de datos personales o confidenciales cuesta una media de 7,91 millones de dólares[5].
En general, la existencia de un fallo de seguridad reduce el valor de la empresa y su atractivo. ¿Cómo no reconsiderar la fusión o adquisición de una empresa si está expuesta a grandes riesgos que podrían contagiarnos?
Así, el proceso de fusiones y adquisiciones no está exento de riesgos desde el punto de vista de la ciberseguridad. Todo lo contrario. Se requiere una mayor vigilancia y una metodología rigurosa para garantizar el éxito de las comprobaciones debidas. Las empresas que buscan ser adquiridas deben invertir en un sistema informático que pueda resistir los ciberataques y contar con colaboradores formados para evitar las trampas más comunes a través de una formación eficaz en «ciberhigiene». A su vez, las empresas que deseen adquirir otras empresas deben tener más en cuenta la ciberseguridad a la hora de evaluarlas.
Descubra cómo Oodrive puede apoyarle en una fusión-adquisición
[2] https://www.bpifrance.fr/nos-actualites/les-cyberattaques-ont-ete-multipliees-par-4-en-2020
[4] https://www.ciodive.com/news/marriotts-cybersecurity-nightmare-a-lesson-in-ma-risks/543387/
[5] https://fr.weforum.org/agenda/2018/07/le-cout-des-failles-de-securite/