Cosas que debes saber sobre ciberseguridad

La violación de datos, ciberseguridad y los riesgos de privacidad en línea son temas importantes durante las fusiones y adquisiciones de empresas en el sector tecnológico.

Es un escenario común descubrir problemas de ciberseguridad una vez que una empresa ha adquirido otra. Un ejemplo muy famoso fue el de Verizon, cuando descubrió una violación de datos anterior de Yahoo! después de haber celebrado la adquisición de esta última.

La consecuencia de este descubrimiento por poco hace fracasar el trato entre ambas empresas. A pesar de ello, se llegó a un acuerdo que resultó en la reducción de 350 millones de dólares en el precio de la compra.

Además, Yahoo! pagó una multa de 35 millones de dólares para resolver cargos de fraude de valores y 80 millones adicionales para resolver las demandas presentadas por los accionistas descontentos.

Como ves los riesgos de ciberseguridad durante las fusiones y adquisiciones de empresas pueden tener muchas consecuencias. Aquí te hablaremos específicamente de los riesgos de ciberseguridad y privacidad, así como de la mitigación de estos a través de la debida diligencia.

Riesgos de ciberseguridad
Incluso para las empresas del sector tecnológico que hacen el intento de analizar los problemas de ciberseguridad como parte del proceso de fusión y adquisición, se les hace difícil lidiar con el tema de la privacidad y sus riesgos.

Esto se debe a que los abogados no comprenden en su totalidad cuáles son las amenazas de seguridad cibernética asociadas a la empresa objetivo. Los abogados al realizar sus preguntas de rutina relacionadas a la privacidad de una empresa, no recompilan o manejan información de seguridad cibernética completa.

Digamos que se enfocan en la seguridad en general, pero no tienen conciencia sobre los problemas más amplios de la ciberseguridad o la filtración de datos.

En la actualidad este enfoque está cambiando, es decir, las empresas están tomando conciencia sobre los problemas más amplios de la ciberseguridad y todavía más sobre la privacidad y violaciones de datos.

Esto se debe a que las empresas tienen el deber de divulgar públicamente las violaciones de datos personales de los consumidores y los medios de comunicación con frecuencia toman mucha atención sobre esto, más si se trata de violaciones de gran escala.

Incluso el público en general está comenzando a ser más consciente de las amenazas que comprometen la información en línea. Los ataques de ransomware se han vuelto tan comunes que ya todos temen sufrir uno.

De hecho, las personas han comenzado a protegerse con redes privadas virtuales o VPN, para navegar por internet. Estos programas antes eran utilizados solo por empresas para resguardar los datos confidenciales de sus clientes.

Este software ayuda a proteger los datos enmascarando la IP, así la actividad en línea no puede ser rastreada, y la información al ser cifrada no puede ser decodificaba sino por la parte que la recibe, por lo tanto no puede ser espiada, copiada o robada.

Las empresas desde siempre han lidiado con el robo de información confidencial, saben que la información es uno de los bienes más valioso que poseen. La pérdida de propiedad intelectual puede disminuir significativamente el valor de una empresa para posibles compradores. Es por eso que durante una fusión o adquisición es importante resguardarla.

En resumen, los piratas informáticos usan técnicas para explotar y monetizar la información, por eso recurren a métodos muy sofisticados y sigilosos para robarla. Esto último, dificulta la detección de los ataques.

En el sector tecnológico dichas amenazas informáticas son muy graves, ya que el objetivo no es la información o los datos. Los ataques pueden ser destructivos, como lo fue el caso del malware NotPetya que destruyó redes y sistemas completos, afectando muchas de las empresas más grandes del mundo con pérdidas millonarias en daños.

A menor escala el sector tecnológico también sufre ataques. Por ejemplo, la manipulación de un software de vehículos autónomos puede provocar lesiones y la muerte de los pasajeros. En otro caso, se puede interrumpir la disponibilidad de internet de sectores completos.

Mitigación del riesgo a través de la debida diligencia
En este contexto, es necesario una investigación previa sobre los riesgos y responsabilidades acerca de los riesgos de privacidad y ciberseguridad de datos que plantea una fusión o adquisición de una empresa, sobre todo por parte de la parte adquiriente.

La parte vendedora deberá también anticiparse a los problemas de seguridad cibernética y de privacidad de datos. Ya que cualquier error podrá costarle el trato o generarle pagos de multas millonarias.

Algunos de los elementos en los que debe enfocarse la investigación pueden ser los siguientes:

●        Identificación de los riesgos de privacidad y seguridad cibernética particulares a la empresa objetivo según su sector industrial, naturaleza de servicios o productos, y alcance geográfico.

●        Compresión de la arquitectura de red y sistemas de flujo de datos, incluyendo los proveedores de internet, de almacenamiento en la nube, apps de terceros, etc.

●        Saber hasta qué punto la empresa vendedora recopila y utiliza información personal de sus clientes, información patentada altamente confidencial e información proporcionada por socios y agencias gubernamentales.

●        Revisar los contratos y compromisos en cuestiones de privacidad y seguridad de datos de los clientes y usuarios.

●        Saber si se necesita algún consentimiento para el uso de la información privada o personal de la empresa vendedora, después del cierre.

●        Preguntar a la empresa vendedora que incidentes de seguridad cibernéticas ha sufrido, sobre todo si se trata de violaciones de datos y cómo han respondido a esos incidentes.

En conclusión, debe existir una diligencia adecuada en cuanto a las fusiones y adquisiciones para los riegos se privacidad. Los adquirientes entienden el potencial de responsabilidad que resulta de una falla de ciberseguridad por parte de la empresa vendedora.

Por eso deben poder identificar y manejar de la mejor manera las violaciones de datos anteriores u otros incidentes de seguridad cibernética que haya tenido la empresa que están por adquirir.

Un incidente de ciberseguridad puede afectar el valor de una empresa, por eso para la parte vendedora también es conveniente resolver los problemas de esta índole, ya que puede afectar su reputación y la pérdida de los negocios.