Riesgos para las organizaciones de TI que llevan a cabo fusiones y adquisiciones

Recomendados:  El papel de la ciberinteligencia en la seguridad empresarial Webinar Microsegmentación, clave para seguridad empresarial Leer La hoja de ruta de DevOps en materia de seguridad Leer

El número de fusiones y adquisiciones (M&A) en España aumentó un 22% hasta septiembre, según TTR, y el sector tecnológico está experimentando un gran crecimiento en todo el mundo. Esto tiene consecuencias significativas en términos de los posibles riesgos que se plantean tanto para el adquirente como para la empresa objetivo. Por ejemplo, las brechas de datos durante los procesos de M&A se han vuelto habituales durante los últimos años. De hecho, un estudio de IBM revela que más de uno de cada tres ejecutivos experimentaron brechas de datos asociadas a la actividad de fusiones y adquisiciones durante el período de integración. Vaultinum ha identificado las posibles vulnerabilidades que afectan a las transacciones de fusiones y adquisiciones y su solución.

Ciberamenazas

Las operaciones de M&A son un terreno fértil para los ciberdelincuentes, ya que les ofrecen oportunidades a corto y largo plazo. A corto plazo, con las operaciones empresariales en transición, los datos son más vulnerables y corren un mayor riesgo de ser atacados. A largo plazo, las operaciones de M&A constituyen una excelente oportunidad para infiltrarse en las redes de la empresa fusionada o adquirida. Sorprendentemente, más del 50% de las empresas esperan a que se complete la due diligence financiera, evaluando que el activo es financieramente escalable, antes de realizar cualquier evaluación tecnológica de las transacciones de M&A. Las ciberamenazas a las que se enfrentan estos acuerdos ponen de manifiesto la importancia de llevar a cabo la due diligence del software en la fase previa a la adquisición para revelar las vulnerabilidades.

Fugas de datos y vulnerabilidades

Adquirir o fusionarse con una empresa secundaria que tiene vulnerabilidades de datos ocultos puede afectar las operaciones de negocio, las relaciones con los inversores y la reputación de la empresa principal. Un ejemplo ocurrió en 2017 cuando Verizon reveló una brecha de datos que se produjo en Yahoo! Durante las negociaciones de la fusión, Yahoo! había sufrido una brecha de datos durante la cual un hacker robó los datos personales de al menos 500 millones de usuarios, seguida de una segunda brecha de datos en la que se comprometieron 1.000 millones de cuentas. En este caso, Verizon decidió seguir adelante con el acuerdo, pero el precio de compra se redujo en 350 millones de dólares y Verizon aceptó compartir la responsabilidad legal por estas brechas de datos. Si esta brecha de datos no se hubiera revelado durante las negociaciones, Verizon podría haber pagado de más por Yahoo!, además de sufrir daños legales y de reputación a largo plazo.

Las brechas de ciberseguridad suponen, en efecto, varios riesgos para la empresa, entre ellos una petición de rescate; una interrupción del negocio; el robo de datos y especialmente de datos personales que pone a la empresa en riesgo en relación con el cumplimiento del Reglamento General de Protección de Datos (GDPR). En los tres casos hay consecuencias financieras y de reputación asociadas a las brechas de ciberseguridad, pero en el tercer caso, si el director general de la empresa no informa a los organismos nacionales sobre el robo de datos personales y no ha tomado las medidas adecuadas para proteger a la organización contra los ciberdelitos, se le puede pedir que pague una multa y es legalmente responsable, enfrentándose al riesgo de ir a juicio. Lo que hace la due diligence tecnológica es identificar si una empresa cuenta con las medidas adecuadas para protegerse, poniendo de manifiesto los riesgos o puntos débiles de los activos digitales.

Riesgos del software de código abierto

Hoy en día, los desarrolladores de software a menudo confían en los repositorios de código público disponibles en sitios web como GitHub o Stack Exchange, ya que el software de código abierto (OSS) tiene una serie de beneficios significativos, sobre todo de costes. Sin embargo, es posible que no tengan en cuenta el hecho de que las licencias de OSS se ofrecen a menudo sujetas a restricciones condicionales, que pueden incluir la publicación de toda o parte del código o el pago de una cuota por su uso. Después de que el adquirente y la empresa objetivo se conviertan en una sola entidad, ya sea mediante la fusión o la adquisición, el adquirente pasa a ser responsable del uso anterior del OSS por parte de la empresa objetivo, así como de las condiciones relativas a su licencia. Si los adquirentes llevan a cabo una due diligence exhaustiva en la fase previa a la adquisición y descubren cualquier OSS incrustado en el software de la empresa objetivo, pueden abandonar el acuerdo por completo o, como mínimo, reducir su valor y/o sus condiciones.

En suma, llevar a cabo una due diligence exhaustiva es esencial durante la fase de preadquisición, para evitar los problemas antes mencionados asociados a las brechas de datos y a las licencias de software. Los avances actuales en tecnología de inteligencia artificial (IA) permiten que estas auditorías sean exhaustivas, analizando cada línea de código para identificar posibles problemas de vulnerabilidades del software y los datos.