Una buena ciberseguridad juega un papel importante en las fusiones y adquisiciones. Cuando se trató del gran escándalo de datos de Marriott de 2018, no se prestó suficiente atención a la seguridad de antemano.
Las fusiones y adquisiciones (M&A) presentan importantes oportunidades para que las empresas logren un rápido crecimiento o ganen una ventaja competitiva. Estos van desde la paquetización de recursos hasta la diversificación de la cartera de productos y servicios, el desarrollo de nuevos mercados y la adquisición de nuevas tecnologías o conocimientos especializados.
Cada transacción de M&A implica una diligencia debida compleja y detallada, es decir, un examen cuidadoso de toda la empresa. Con base en los hallazgos de esto, se puede estimar qué tan compleja será la fusión con las estructuras comerciales existentes. Cuanto más fluidos sean los procesos de integración, mayor será el éxito final de la transacción. Tradicionalmente, la revisión de fusiones y adquisiciones se ha centrado principalmente en las áreas de finanzas, derecho, operaciones comerciales y recursos humanos. Con procesos comerciales cada vez más digitales, la debida diligencia también debe llevarse a cabo en el área de ciberseguridad.
Escándalo de datos de Marriott de 2018
Una llamada de atención en este sentido es el escándalo de datos de Marriott de 2018, que proporciona una poderosa ilustración de las ramificaciones potencialmente graves de una debida diligencia de ciberseguridad fallida. La adquisición de Starwood Hotels & Resorts por parte de Marriott en 2016 creó una de las cadenas hoteleras más grandes del mundo. La oferta para los clientes de Marriott y Starwood creció a más de 5.500 hoteles en 100 países. Sin embargo, en ese momento, Marriott no sabía que los sistemas de TI de Starwood ya se habían visto comprometidos en 2014. No fue hasta noviembre de 2018 que Marriott finalmente descubrió que extraños habían estado accediendo a los datos personales de alrededor de 339 millones de huéspedes en todo el mundo a través de la base de datos de reservas de Starwood afectada durante años.
En su informe de investigación, la autoridad supervisora de protección de datos británica, ICO, descubrió que Marriott no actuó con la debida diligencia suficiente al comprar Starwood y debería haber hecho más para proteger sus sistemas. Hace un año, también anunció su intención de multar a la cadena hotelera con 99 millones de libras esterlinas por infringir el RGPD.
Necesidad de diligencia debida digital
Hoy en día, empresas de todos los tamaños confían cada vez más en herramientas basadas en la nube, IoT y servicios de conexión digital para atender a sus clientes y ejecutar procesos comerciales. Como resultado, una mayor conectividad abre más oportunidades para que los ciberdelincuentes lancen ataques maliciosos, roben datos o intenten interrumpir las operaciones comerciales. Por lo tanto, realizar una auditoría y una evaluación detalladas de la seguridad cibernética es crucial para descubrir vulnerabilidades críticas que podrían ser un factor decisivo. Es recomendable utilizar un enfoque que comience directamente con los datos y, a partir de ellos, evalúe las estructuras y procesos asociados:
1. Conocimiento de los propios sistemas
En primer lugar, las organizaciones involucradas en actividades de fusiones y adquisiciones necesitan transparencia total sobre sus propios sistemas de TI antes de poder realizar una evaluación sólida de los demás. De esta manera, se pueden crear pautas de seguridad integrales para ambas estructuras. Esto forma la base de una estrategia de integración que elimina la creación de nuevas vulnerabilidades cuando se unen plataformas, soluciones y servicios. Un ecosistema de TI seguro incluye la aplicación granular de políticas de seguridad, cifrado de datos, protección contra pérdida de datos en tiempo real, controles de acceso de usuarios y monitoreo continuo.
2. Inventario de existencias de datos
Hacer un inventario de todos los datos es el primer paso necesario para comprender qué datos se recopilan, cómo y dónde se almacenan y cuánto tiempo se retienen antes de eliminarlos. Esto proporciona información sobre los requisitos legales aplicables localmente y las regulaciones internas, especialmente para las empresas internacionales. Las capacidades de prevención de pérdida de datos (DLP) ayudan a identificar patrones de datos confidenciales y regulatorios que están potencialmente en riesgo. Igualmente útiles son los registros de actividad, que registran en detalle todas las actividades de los usuarios, las aplicaciones y los archivos.
Se deben consultar todas las auditorías y evaluaciones de seguridad cibernética internas y externas para llegar al fondo de las posibles filtraciones de datos no reveladas. Pueden arrojar luz sobre las posibles debilidades de las medidas de seguridad existentes y, por lo tanto, ayudar a evaluar el riesgo potencial.
3. Desarrollo de una estrategia de seguridad integradora
Después de determinar qué datos deben protegerse y dónde se almacenan, el siguiente desafío es comprender quién tiene acceso a los datos, qué sucede con ellos y qué dispositivos se utilizan para acceder a ellos. La ciberseguridad efectiva depende de poder proteger todos los datos confidenciales dentro de cualquier aplicación, en cualquier dispositivo, en cualquier lugar. Asociado con esto, se encuentra la visibilidad adecuada de todos los puntos finales, destinos web, dispositivos y aplicaciones, junto con políticas de acceso que garantizan que solo los usuarios autorizados tengan acceso a datos confidenciales.
La evaluación detallada de todos los sistemas de TI y puntos finales de red de la empresa es necesaria para poder planificar cómo ambas unidades pueden combinar sus sistemas y procesos de TI y garantizar operaciones comerciales sin problemas después de la integración. Por ejemplo, se debe determinar cuánto esfuerzo se requiere para reparar las vulnerabilidades existentes en la arquitectura de seguridad y hacer que la infraestructura fusionada sea resistente a los riesgos.
Gestión de TI fiable como factor de éxito
Una gestión de TI bien organizada simplifica en última instancia los procedimientos de diligencia debida para todos los involucrados y, por lo tanto, es un factor de éxito para la actividad empresarial. Para poder desarrollar estándares de evaluación adecuados para la seguridad y la protección de datos, es un requisito previo importante que las empresas también cumplan con altos estándares con sus propios sistemas. De lo contrario, existe el riesgo de que integren sus propias omisiones en estructuras aún más grandes y causen daños graves. Por lo tanto, un panorama de TI administrado de manera confiable es de interés para todas las empresas, tanto para aquellas que desean expandirse como para aquellas que desean atraer compradores adecuados.
[ID de starbox = 4]