Rob Gurzeev es director general y cofundador de CyCognitouna empresa enfocada en dar a los CISO la ventaja sobre los atacantes.
Durante la última década, surgieron una serie de problemas de seguridad cibernética de alto perfil durante mega acuerdos de fusiones y adquisiciones, lo que aumentó las preocupaciones entre los ejecutivos corporativos.
En 2017, Yahoo reveló tres violaciones de datos durante su negociación para vender su negocio de Internet a Verizon. [Disclosure: Verizon Media is TechCrunch’s parent company]. Como resultado de las revelaciones, Verizon posteriormente redujo su precio de compra en $350 millones, aproximadamente el 7 % del precio de compra, y los vendedores asumieron el 50 % de cualquier responsabilidad futura que surja de las filtraciones de datos.
Si bien los accionistas de Yahoo sintieron profundamente las consecuencias de las amenazas cibernéticas y fueron ampliamente cubiertas en las noticias, fue un evento extraordinario que sorprendió a los profesionales de fusiones y adquisiciones, pero no transformó fundamentalmente las prácticas estándar de fusiones y adquisiciones. Sin embargo, dado el alto costo potencial de las amenazas cibernéticas y la alta frecuencia de incidentes, los adquirentes deben encontrar métodos más completos y convenientes para abordar estos riesgos.
Hoy, a medida que se aceleran las conversaciones sobre cuestiones de seguridad cibernética durante un proceso de fusiones y adquisiciones, los ejecutivos corporativos y los profesionales de fusiones y adquisiciones señalarán procesos mejorados y servicios subcontratados para identificar y prevenir problemas de seguridad. A pesar de la mayor conciencia entre los ejecutivos financieros y una mayor gama de soluciones subcontratadas para abordar las amenazas de seguridad cibernética, los adquirentes continúan informando un número creciente de incidentes de seguridad cibernética en objetivos adquiridos, a menudo después de que el objetivo ya ha sido adquirido. A pesar de esto, los adquirentes continúan enfocando las actividades de diligencia debida en finanzas, legal, ventas y operaciones y, por lo general, ven la ciberseguridad como un área auxiliar.
Si bien las amenazas cibernéticas pasadas o potenciales ya no se ignoran en el proceso de diligencia debida, el hecho de que las filtraciones de datos sigan aumentando y puedan causar un impacto financiero negativo que se sentirá mucho después de que se haya cerrado el acuerdo destaca una mayor necesidad de que los adquirentes continúen mejorando. su enfoque y abordar las ciberamenazas.
La actual falta de atención a los problemas de ciberseguridad se puede atribuir en parte a la dinámica del mercado de fusiones y adquisiciones. La mayoría de las empresas del mercado medio (que constituyen la mayoría nominal de las transacciones de fusiones y adquisiciones) normalmente se venderán en un proceso de subasta en el que el vendedor contrata a un banco de inversión para maximizar el valor fomentando la dinámica competitiva entre los postores interesados. Para aumentar la competitividad, los banqueros suelen impulsar un proceso de negociación lo más rápido posible. Bajo limitaciones de tiempo estrictas, los compradores se ven obligados a priorizar sus actividades de diligencia debida o corren el riesgo de quedarse atrás en un proceso de negociación.
Un proceso de negociación típico para una empresa privada se desarrollará de la siguiente manera:
Los banqueros de inversión de la empresa vendedora se ponen en contacto con los compradores potenciales y les proporcionan un memorando de información confidencial (CIM), que contiene información resumida sobre la historia, las operaciones y el rendimiento financiero histórico y proyectado de una empresa. Los compradores potenciales suelen tener de tres a seis semanas para revisar los materiales antes de decidirse a seguir adelante. A menos que haya un problema de ciberseguridad previamente conocido, un CIM normalmente no abordará los problemas de ciberseguridad actuales o potenciales. Después del período de revisión inicial, todos los postores interesados deben presentar indicaciones de interés (IOI), a quienes se les pedirá que indiquen la valoración y la estructura del acuerdo (efectivo, acciones, etc.). Una vez que se hayan presentado los IOI, el banquero de inversiones trabajará con los vendedores para seleccionar a los mejores postores. Los criterios clave que se evalúan incluyen la valoración, así como otras consideraciones como el tiempo, la certeza del cierre y la credibilidad del comprador para completar la transacción. Los postores seleccionados para seguir adelante generalmente reciben de cuatro a seis semanas después de la fecha de IOI para profundizar en los problemas clave de diligencia, revisar la información en la sala de datos del vendedor, realizar una presentación de gestión o una sesión de preguntas y respuestas con la dirección del objetivo y realizar visitas al sitio. Esta es la primera etapa en la que los problemas de ciberseguridad podrían abordarse de manera más eficiente. La carta de intención vence cuando los postores reafirman la valoración y proponen períodos de exclusividad en los que se selecciona un postor de forma exclusiva para completar su diligencia debida y cerrar el trato. Una vez que se firma una LOI, los postores generalmente tienen de 30 a 60 días para completar la negociación de los acuerdos definitivos que describirán en detalle todos los términos de una adquisición. En esta etapa, los adquirentes tienen otra oportunidad de abordar los problemas de seguridad cibernética, a menudo utilizando recursos de terceros, con el beneficio de invertir gastos significativos con la mayor certeza que brinda el período de exclusividad. El grado en que los recursos de terceros se dirigen hacia la ciberseguridad en relación con otras prioridades varía mucho, pero en términos generales, la ciberseguridad no es un elemento de alta prioridad. El cierre ocurre simultáneamente con la firma de acuerdos definitivos o, en otros casos, el cierre ocurre después de la firma, a menudo debido a aprobaciones regulatorias. En cualquier caso, una vez que se firma un acuerdo y se determinan todos los términos clave, los compradores ya no pueden retirarse unilateralmente de un acuerdo.
En tal proceso, los adquirentes deben equilibrar los recursos internos para evaluar minuciosamente un objetivo con un movimiento lo suficientemente rápido como para seguir siendo competitivos. Al mismo tiempo, los principales responsables de la toma de decisiones en una transacción de fusiones y adquisiciones tenderán a tener antecedentes financieros, legales, estratégicos u operativos y rara vez tendrán una experiencia significativa en TI o ciberseguridad. Con tiempo limitado y poca experiencia en ciberseguridad, los equipos de fusiones y adquisiciones tienden a centrarse en áreas transaccionales más urgentes del proceso de negociación, incluida la negociación de términos comerciales clave, análisis de tendencias comerciales y de mercado, contabilidad, financiamiento de deuda y aprobaciones internas. Con solo 2 o 3 meses para evaluar una transacción antes de firmarla, la seguridad cibernética generalmente solo recibe un enfoque limitado.
Cuando se evalúan los problemas de seguridad cibernética, dependen en gran medida de las divulgaciones del vendedor con respecto a los problemas anteriores y los controles internos que existen. Por supuesto, los vendedores no pueden revelar lo que no saben, y la mayoría de las organizaciones ignoran a los atacantes que ya pueden estar en sus redes o las vulnerabilidades significativas que desconocen. Desafortunadamente, esta evaluación es una conversación unidireccional que depende de divulgaciones veraces y completas de los vendedores, lo que otorga un nuevo significado a la frase caveat emptor. Por esta razón, no es casualidad que una encuesta reciente de profesionales de TI realizada por Forescout mostrara que el 65 % de los encuestados expresaron remordimiento de compra debido a problemas de seguridad cibernética. Solo el 36 % de los encuestados consideró que tuvo el tiempo adecuado para evaluar las amenazas a la ciberseguridad.
Si bien la mayoría de los procesos de fusiones y adquisiciones generalmente no priorizan la ciberseguridad, los procesos de fusiones y adquisiciones a menudo se centrarán directamente en los problemas de ciberseguridad cuando se producen problemas conocidos durante o antes de un proceso de fusiones y adquisiciones. En el caso de la adquisición de Yahoo por parte de Verizon, la revelación de tres filtraciones importantes de datos condujo a una reducción significativa del precio de compra, así como a cambios en los términos clave, incluidas las estipulaciones de que el vendedor correría con la mitad de los costos de cualquier responsabilidad futura que surja de estos violaciones de datos. En abril de 2019, Verizon y la parte de Yahoo que no fue adquirida terminarían dividiendo un acuerdo de $117 millones por la violación de datos. En un ejemplo más reciente, la adquisición de Asco por parte de Spirit AeroSystems ha estado pendiente desde 2018 con un cierre retrasado en gran parte debido a un ataque de ransomware en Asco. En junio de 2019, Asco experimentó un ataque de ransomware que forzó el cierre temporal de fábricas, lo que finalmente provocó una reducción del precio de compra del 25 % de $150 millones de los $604 millones originales.
Tanto en el caso de las adquisiciones de Spirit como de Verizon, los problemas de seguridad cibernética se abordaron en gran medida a través de la valoración y la estructura del acuerdo, lo que limita las pérdidas financieras, pero hace poco para evitar problemas futuros para un comprador, incluida la pérdida de confianza entre clientes e inversores. Al igual que en las adquisiciones de Spirit y Verizon, los adquirentes suelen utilizar elementos estructurales de un acuerdo para limitar las pérdidas económicas. Se pueden utilizar varios mecanismos y estructuras, incluidas representaciones, garantías, indemnizaciones y compras de activos, para transferir de manera efectiva las responsabilidades económicas directas de un problema de seguridad cibernética identificable. Sin embargo, no pueden compensar la mayor pérdida que se produciría por el riesgo reputacional o la pérdida de importantes secretos comerciales.
Lo que demuestran los ejemplos de Spirit y Verizon es que existe un valor cuantificable asociado con el riesgo de ciberseguridad. Los adquirentes que no evalúan activamente sus objetivos de fusiones y adquisiciones están potencialmente introduciendo un riesgo en su transacción sin una mitigación. Dada una línea de tiempo limitada y la naturaleza intrínsecamente opaca de los problemas de seguridad cibernética de un objetivo, los adquirentes se beneficiarían enormemente de las soluciones subcontratadas que no requieren dependencia ni aportes de un objetivo.
Idealmente, el alcance de dicha evaluación descubre deficiencias previamente desconocidas en la seguridad del objetivo y la exposición de los sistemas comerciales y los activos clave, incluidos los datos y los secretos de la empresa o la propiedad intelectual. Sin tal conocimiento, los adquirentes entran en tratos parcialmente ciegos. Por supuesto, la mejor práctica de la industria es reducir el riesgo. Agregar esta medida de evaluación de la seguridad cibernética es una excelente práctica hoy y probablemente un requisito obligatorio en el futuro.
Source link