Durante la última década, han surgido una serie de problemas de ciberseguridad de alto perfil durante los mega acuerdos de fusiones y adquisiciones, lo que ha aumentado las preocupaciones entre los ejecutivos corporativos.
En 2017, Yahoo reveló tres violaciones de datos durante su negociación para vender su negocio de Internet a Verizon. [Disclosure: Verizon Media is TechCrunch’s parent company]. Como resultado de las divulgaciones, Verizon posteriormente redujo su precio de compra en $ 350 millones, aproximadamente el 7% del precio de compra, y los vendedores asumieron el 50% de cualquier responsabilidad futura que surja de las violaciones de datos.
Si bien los accionistas de Yahoo sintieron profundamente las consecuencias de las amenazas cibernéticas y se cubrieron ampliamente en las noticias, fue un evento extraordinario que sorprendió a los profesionales de fusiones y adquisiciones, pero no transformó fundamentalmente las prácticas estándar de fusiones y adquisiciones. Sin embargo, dado el alto costo potencial de las amenazas cibernéticas y la alta frecuencia de incidentes, los adquirentes deben encontrar métodos más completos y oportunos para abordar estos riesgos.
Hoy en día, a medida que se aceleran las conversaciones sobre cuestiones de ciberseguridad durante un proceso de fusiones y adquisiciones, los ejecutivos corporativos y los profesionales de fusiones y adquisiciones señalarán procesos mejorados y servicios subcontratados para identificar y prevenir problemas de seguridad. A pesar de la mayor conciencia entre los ejecutivos financieros y una mayor gama de soluciones subcontratadas para abordar las amenazas de ciberseguridad, los compradores continúan informando un número creciente de incidentes de ciberseguridad en los objetivos adquiridos, a menudo después de que el objetivo ya ha sido adquirido. A pesar de esto, los adquirentes continúan enfocando las actividades de debida diligencia en finanzas, legal, ventas y operaciones y, por lo general, ven la ciberseguridad como un área auxiliar.
Si bien las amenazas cibernéticas pasadas o potenciales ya no se ignoran en el proceso de debida diligencia, el hecho de que las violaciones de datos sigan aumentando y pueden causar un impacto financiero negativo que se sentirá mucho después de que se haya cerrado el trato destaca una mayor necesidad de que los compradores continúen mejorando. su enfoque y abordar las amenazas cibernéticas.
La actual falta de atención a los problemas de ciberseguridad puede atribuirse en parte a la dinámica del mercado de fusiones y adquisiciones. La mayoría de las empresas del mercado intermedio (que constituyen la mayoría nominal de las transacciones de fusiones y adquisiciones) normalmente se venderán en un proceso de subasta en el que el vendedor contrata un banco de inversión para maximizar el valor fomentando la dinámica competitiva entre los postores interesados. Para aumentar la competitividad, los banqueros normalmente impulsarán un proceso de negociación lo más rápido posible. Bajo estrictas limitaciones de tiempo, los compradores se ven obligados a priorizar sus actividades de diligencia debida o se arriesgan a quedarse atrás en un proceso de negociación.
Un proceso de trato típico para una empresa privada se desarrollará de la siguiente manera:
Los banqueros de inversión de la empresa vendedora se ponen en contacto con los compradores potenciales y les proporcionan un memorando de información confidencial (CIM), que contiene información resumida sobre la historia, las operaciones y el rendimiento financiero histórico y proyectado de la empresa. Los compradores potenciales generalmente tienen de tres a seis semanas para revisar los materiales antes de decidir seguir adelante. A menos que exista un problema de ciberseguridad previamente conocido, un CIM normalmente no abordará problemas de ciberseguridad potenciales o actuales. Después del período de revisión inicial, todos los postores interesados deben presentar las indicaciones de interés (IOI), a quienes se les pedirá que indiquen la valoración y la estructura del trato (efectivo, acciones, etc.). Una vez que se hayan enviado los IOI, el banquero de inversiones trabajará con los vendedores para seleccionar a los mejores postores. Los criterios clave que se evalúan incluyen la valoración, así como otras consideraciones como el momento, la certeza del cierre y la credibilidad del comprador para completar la transacción. Los postores seleccionados para seguir adelante generalmente reciben de cuatro a seis semanas después de la fecha del IOI para profundizar en los problemas clave de diligencia, revisar la información en la sala de datos del vendedor, realizar una presentación de administración o preguntas y respuestas con la administración del objetivo y realizar visitas al sitio. Esta es la primera etapa en la que los problemas de ciberseguridad podrían abordarse de manera más eficiente. La carta de intención vence cuando los postores reafirman la valoración y proponen períodos de exclusividad en los que se selecciona a un postor de forma exclusiva para completar su debida diligencia y cerrar el trato. Una vez que se firma una LOI, los postores suelen tener entre 30 y 60 días para completar la negociación de acuerdos definitivos que describirán en detalle todos los términos de una adquisición. En esta etapa, los adquirentes tienen otra oportunidad de abordar los problemas de ciberseguridad, a menudo utilizando recursos de terceros, con el beneficio de invertir gastos importantes con la mayor certeza que brinda el período de exclusividad. El grado en el que los recursos de terceros se dirigen hacia la ciberseguridad en relación con otras prioridades varía mucho, pero en general, la ciberseguridad no es un elemento de alta prioridad. El cierre se produce al mismo tiempo que se firman los acuerdos definitivos o, en otros casos, el cierre se produce después de la firma, a menudo debido a las aprobaciones regulatorias. En cualquier caso, una vez que se firma un trato y se determinan todos los términos clave, los compradores ya no pueden retirarse unilateralmente del trato.
En tal proceso, los adquirentes deben equilibrar los recursos internos para evaluar a fondo un objetivo con moverse lo suficientemente rápido para seguir siendo competitivos. Al mismo tiempo, los principales tomadores de decisiones en una transacción de M&A tenderán a provenir de antecedentes financieros, legales, estratégicos u operativos y rara vez tendrán una experiencia significativa en TI o ciberseguridad. Con tiempo limitado y poca experiencia en ciberseguridad, los equipos de fusiones y adquisiciones tienden a centrarse en áreas transaccionales más urgentes del proceso de negociación, incluida la negociación de términos comerciales clave, análisis de tendencias comerciales y de mercado, contabilidad, financiamiento de deudas y aprobaciones internas. Con solo 2-3 meses para evaluar una transacción antes de firmarla, la ciberseguridad generalmente solo recibe una cantidad limitada de atención.
Cuando se evalúan los problemas de ciberseguridad, dependen en gran medida de las divulgaciones del vendedor con respecto a los problemas pasados y los controles internos que existen. Por supuesto, los vendedores no pueden revelar lo que no saben, y la mayoría de las organizaciones ignoran a los atacantes que pueden estar ya en sus redes o vulnerabilidades importantes que desconocen. Desafortunadamente, esta evaluación es una conversación unidireccional que se basa en revelaciones veraces y completas de los vendedores, lo que le da un nuevo significado a la frase caveat emptor. Por esta razón, no es una coincidencia que una encuesta reciente a profesionales de TI realizada por Forescout mostró que el 65% de los encuestados expresaron el remordimiento del comprador debido a problemas de ciberseguridad. Solo el 36% de los encuestados consideró que tenían el tiempo suficiente para evaluar las amenazas a la ciberseguridad.
Si bien la mayoría de los procesos de fusiones y adquisiciones no suelen priorizar la ciberseguridad, los procesos de fusiones y adquisiciones a menudo se centrarán directamente en los problemas de seguridad cibernética cuando se produzcan problemas conocidos durante o antes de un proceso de fusiones y adquisiciones. En el caso de la adquisición de Yahoo por parte de Verizon, la divulgación de tres importantes violaciones de datos llevó a una reducción significativa del precio de compra, así como a cambios en términos clave, incluidas las estipulaciones de que el vendedor asumiría la mitad de los costos de cualquier responsabilidad futura que surja de estos. violaciones de datos. En abril de 2019, Verizon y la parte de Yahoo que no se adquirió terminarían dividiendo un acuerdo de $ 117 millones por la violación de datos. En un ejemplo más reciente, la adquisición de Asco por Spirit AeroSystems ha estado pendiente desde 2018 con un cierre retrasado en gran parte debido a un ataque de ransomware en Asco. En junio de 2019, Asco experimentó un ataque de ransomware que forzó cierres temporales de fábricas, lo que finalmente provocó una reducción del precio de compra del 25% de $ 150 millones de los $ 604 millones originales.
Tanto en el caso de las adquisiciones de Spirit como de Verizon, los problemas de ciberseguridad se abordaron en gran medida a través de la valoración y la estructura de acuerdos, lo que limita las pérdidas financieras, pero hace poco para evitar problemas futuros para un comprador, incluida la pérdida de confianza entre clientes e inversores. De manera similar a las adquisiciones de Spirit y Verizon, los adquirentes normalmente utilizarán elementos estructurales de un acuerdo para limitar las pérdidas económicas. Se pueden utilizar varios mecanismos y estructuras, incluidas representaciones, garantías, indemnizaciones y compras de activos, para transferir de manera efectiva los pasivos económicos directos de un problema de ciberseguridad identificable. Sin embargo, no pueden compensar la mayor pérdida que se produciría por el riesgo de reputación o la pérdida de importantes secretos comerciales.
Lo que demuestran los ejemplos de Spirit y Verizon es que existe un valor cuantificable asociado con el riesgo de ciberseguridad. Los compradores que no evalúan activamente sus objetivos de fusiones y adquisiciones están potencialmente introduciendo un riesgo en su transacción sin una mitigación. Dada una línea de tiempo limitada y la naturaleza intrínsecamente opaca de los problemas de ciberseguridad de un objetivo, los compradores se beneficiarían enormemente de las soluciones subcontratadas que no requerirían depender o aportes de un objetivo.
El alcance de dicha evaluación idealmente descubre deficiencias previamente desconocidas en la seguridad del objetivo y la exposición de los sistemas comerciales y activos clave, incluidos los datos y los secretos de la empresa o la propiedad intelectual. Sin ese conocimiento, los adquirentes entran en acuerdos parcialmente ciegos. Por supuesto, la mejor práctica de la industria es reducir el riesgo. Agregar esta medida de evaluación de la seguridad cibernética es una práctica excelente en la actualidad y probablemente un requisito obligatorio en el futuro.
Source link