La importancia del estado de Ciberseguridad en la compraventa o fusión entre empresas

Poder garantizar al máximo la inversión de las empresas en un proceso de compra o de fusión es lo que todas las empresas e inversores quieren asegurar. Todos querríamos tener una bola de cristal para identificar inversiones sin riesgos que garantizasen una máxima rentabilidad.
En la realidad actual, existen instrumentos que nos sirven en un proceso de M&A (mergers and acquisitions) como son los procesos de due diligence o auditoría de compra. En todo proceso de compra o fusión es de vital importancia verificar si la entidad en cuestión cuenta con el estado de salud esperado. ¿Pero qué queremos decir con “estado de salud esperado”? Desde un punto de vista tradicional, la due diligence siempre se ha centrado en analizar la situación económica financiera de la empresa objeto de adquisición, pero en realidad, y más en un mundo globalizado y digitalizado como es el actual, debemos analizar también el estado de salud en ciberseguridad de la empresa objetivo.
Según una encuesta de NYSE Governance Services, el 85% de CEOs y directivos reconocen que una brecha de ciberseguridad en una compañía, una fuga de información de datos financieros, personales, de clientes o de empleados de una empresa target puede tener serias implicaciones en la transacción de compraventa o adquisición. Asimismo, el 22% de los encuestados determinan que podría paralizar la compra y el 52% asegura que disminuiría el precio de la misma.
En A2SECURE, como empresa especializada en ciberseguridad, conocemos los riesgos de las empresas, sus puntos débiles y cómo los ciberdelincuentes pueden atacar a las empresas y hacer que su valor disminuya. Realizamos due diligence de ciberseguridad centrándonos en el sector de la empresa target, analizando sus amenazas y los riesgos a los que la empresa pueda estar sujeta. Hacemos revisiones on-site revisando políticas, procedimientos y evaluando los sistemas como en una auditoría de seguridad. Realizamos pruebas de penetración tanto lógicas como físicas para poder disponer de toda la información necesaria para determinar el nivel de madurez en seguridad.
Asimismo, se debe analizar el cumplimiento normativo, como por ejemplo, GDPR, y es por ello que en función de la organización se realizan auditorías incluyendo la revisión de la gestión de datos de carácter personal y el cumplimiento frente a GDPR. Para ello, no solo se realiza una revisión dentro de la organización, si no que nos centramos también en qué información existe sobre la compañía en la Dark Web y la Deep Web. Nos encontramos que muchas veces la empresa no es consciente de que existe esta información y de que se está vendiendo por personas ajenas a la organización de manera fraudulenta. Esta revisión es necesaria debido a que puede incrementar o disminuir el valor de una organización en función de la información que esté expuesta. 
En resumen, todas las empresas que dispongan de un mínimo de tecnología están expuestas a ataques de ciberdelincuentes que aprovecharán cualquier vulnerabilidad para poder extraer información y aprovecharse para un fin no legítimo. Por ello en el proceso de compraventa o adquisición de una empresa, es necesario incluir la due dilligence de ciberseguridad para poder disponer del estado de salud de la organización. Así se podrá tomar decisiones con la mayor información posible para saber a qué riesgos se puede enfrentar la empresa compradora en términos de ciberseguridad. 
Autor: Cristina Mallen