Seguridad de la información en M&A

06. Agosto 2015

Hace algunos años la reconocida publicación Harvard Business Review hizo famosa la frase: “Hacer negocios es glamuroso, el proceso de Due Diligence no.” Lo cierto es que hoy en día deberíamos añadir: “Y la ciberseguridad es aún menos glamurosa.”


En las operaciones de M&A, la información que se maneja es altamente confidencial, y por lo tanto requiere el máximo nivel de seguridad. Con las nuevas tecnologías y el uso de la nube, las empresas son aún más vulnerables al espionaje industrial y los ataques cibernéticos si no toman las medidas adecuadas. El propio mercado de fusiones y adquisiciones ha generado la necesidad de integrar la ciber-seguridad en todas las fases de una operación de M&A y principalmente en las fases en las que se comparten documentos confidenciales de forma más intensa entre todas las partes involucradas. En el entorno digital actual en el que trabajamos es más importante que nunca introducir mejores prácticas que garanticen la confidencialidad de los datos intercambiados entre los diferentes participantes en un mercado que evoluciona a toda velocidad. Sólo en el primer trimestre de 2015 se ha producido la mayor cantidad de operaciones desde el año 2008 ı.

Es hora de reaccionar

Las transacciones que requieren el intercambio y verificación de grandes cantidades de documentos confidenciales son blancos ideales para los espías industriales. La documentación sobre activos, el desarrollo de nuevos productos, de patentes, estrategias de ventas, estudios de mercado, planes de marketing, información financiera, documentos que contengan datos personales de los empleados o de los clientes, bases de datos… son claros ejemplos de la información que toda empresa debe proteger.

Sin embargo, aunque muchas encuestas y estudios revelan una creciente preocupación por las ciber-amenazas, el hecho es que la mayoría de empresas no cumplen los requisitos mínimos recomendables para preservar uno de sus activos más importantes. En realidad, no cumplen ni los mínimos exigidos por la ley.

Los resultados de un estudio realizado por Freshfields sobre este tema, revelan que el 78% de los ejecutivos que participan en procesos de Due Diligence estiman que la seguridad no se tiene en cuenta. Al mismo tiempo, el 83% es consciente de que protocolos inadecuados al manejar documentos confidenciales pueden dar al traste con una operación y un 90% opina que una seguridad deficiente en el manejo de documentos confidenciales afecta negativamente al valor de los contratos y, en consecuencia, al valor global de la transacción.

A toda velocidad.

Trabajar de forma rápida y eficiente es la principal preocupación de los profesionales del mundo de las fusiones y adquisiciones, donde cada minuto cuenta.  

En un estudio reciente llevado a cabo por Drooms, el 77,8% de los encuestados consideró que el factor más importante en una operación de M&A es la velocidad, por encima de la seguridad de los documentos, que consideraron el segundo factor más importante a tener en cuenta (67,6%).

La forma de trabajar en operaciones de M&A ha cambiado enormemente a lo largo de las últimas décadas; las habitaciones físicas en las que se revisaba la documentación (origen de los Data Rooms) dejaron de utilizarse hace diez años. La digitalización de la información y el uso de nuevos dispositivos han generalizado el uso de Data Rooms Virtuales.

Y así, sin solución de continuidad, la amenaza ha pasado del robo de documentos en una habitación física al hackeo de correos electrónicos en el mundo digital.

Todos necesitamos protegernos

Los delincuentes actuales utilizan las vulnerabilidades en los protocolos de trabajo de las empresas, sobre todo en las fases en las se intercambian documentos más intensamente, para robar información valiosa que luego venden al mejor postor o que filtran a la prensa causando así graves perjuicios. Consultores, auditores, entidades financieras, despachos de abogados… Son objetivos habituales. De hecho, con que una de las organizaciones que participan en una operación no cumpla con los requisitos mínimos de seguridad, todas las organizaciones que participen en esa misma operación pueden sufrir las consecuencias. Hay sectores que están aún más expuestos por la tipología de información que manejan y el valor que ésta podría llegar a tener en manos de terceros, como por ejemplo la industria farmacéutica (2/3 de los ciber-ataques).

Para protegerse y proteger a su información confidencial, las empresas deben seguir ciertas directrices, entre ellas:

  • Usar la tecnología adecuada
    Una vez más, nos referimos al informe de Freshfields. Según el 65% de los encuestados en Europa y el 57% de los encuestados en los Estados Unidos, la más eficiente para compartir y proteger la información confidencial de las empresas, es la implementación del uso de Data Rooms Virtuales en los procesos de trabajo. La segunda medida más popular es el uso de contraseñas seguras para acceder a los proyectos (63% de los encuestados).
  • No subestimar el factor humano
    El comportamiento humano suele ser el eslabón más débil en la mayoría de protocolos de trabajo. La confidencialidad de una operación de cientos de millones puede verse comprometida por el descuido de un sólo empleado negligente.
    La última encuesta de PwC sobre el ciber-crimen expone que el 56% de los ataques los propiciaron errores humanos de empleados de las propias empresas. Es importante controlar el acceso a los documentos sensibles y limitar el número de personal involucrado en operaciones en las que se maneja información confidencial. Es además clave transmitir a los empleados buenas prácticas con el fin de reducir los riesgos.
  • Invertir en ciber-seguridad
    Aunque la ciberdelincuencia ha ido en aumento en los últimos años, el 46% de las empresas encuestadas por Ernst and Young indica que el presupuesto asignado a la seguridad no ha aumentado de manera significativa en los últimos dos años. A pesar de que son conscientes de que los ataques tienen un impacto negativo directo en los beneficios.
  • Contar con asesoramiento especializado
    Sólo el 5% de las empresas encuestadas tiene un equipo dedicado a la prevención de los ataques cibernéticos. Más allá de esto, es igualmente importante para las empresas contar con asesoramiento legal en cuanto a responsabilidades se refiere, sobre todo cuando se tratan temas como por ejemplo dónde se almacena la información confidencial de la empresa, cual es la legislación que se aplica, etc... Recientemente el Tribunal Europeo de Justicia ha determinado, en su sentencia C-362/14 del 6 de Octubre de 2015 que no considera adecuado el nivel de protección de datos en Estados Unidos y ha declarado inválido el Safe Harbour. Es por eso que recomendamos a las empresas que utilicen proveedores de servicios cloud europeos con servidores dentro de la Unión Europea.

Actualmente estamos viviendo una revolución digital y la migración a la nube es un salto evolutivo exigido por los propios mercados. Las empresas que no se adapten al cambio dejarán de ser competitivas.

Con la evolución y el cambio han aparecido nuevos riesgos, y debemos estar preparados para afrontarlos. Hoy en día, la cuestión ya no es cómo reaccionar cuando se ha producido un ciber-ataque, si no implementar buenas prácticas que minimicen los riesgos y evitar que ocurran.