SINGULARIDAD

Ciberseguridad: elemento crítico en fusiones y adquisiciones

La compañía adquiriente busca maximizar su inversión, por lo que valuar el activo en cuestión

OPINIÓN

·
Alexandra Moguel / Singularidad / Opinión El Heraldo de México

Los ciberataques a las empresas van más allá de infringir leyes y reglamentos, su impacto afecta en al menos tres categorías: financiero, legal y ‘reputacional’. En primer lugar, este tipo de eventos resultan en pérdidas financieras sustanciales. En segundo lugar, si cierta información sensible es comprometida y no se implementan las medidas de seguridad adecuadas, se podrían enfrentar sanciones, demandas y juicios.

Y, en tercer lugar, una brecha de datos puede dañar la reputación de la empresa y erosionar la confianza con los clientes. El efecto del daño a la reputación puede llegar a afectar incluso a proveedores y dañar las relaciones comerciales críticas.

Los ciberataques son cada vez más relevantes en los procesos de debida diligencia (due diligence) y, por ende, en acuerdos de fusiones y adquisiciones (M&A). En un proceso de M&A, la compañía adquiriente busca maximizar su inversión, por lo que valuar el activo en cuestión, lo más allegado a la realidad posible, es de suma importancia. Sin embargo, una brecha de seguridad, como puede ser un ataque ransomware o cualquier tipo de ciberataque, puede afectar significativamente el valor presente neto de una empresa. En otras palabras, si la empresa adquiriente descubre que la empresa objetivo ha sufrido un ciberataque, pagarán menos por ella.

Vayamos un paso atrás. Si bien una operación puede parecer atractiva en la superficie, cualquier riesgo subyacente puede cambiar el panorama. Así como la empresa adquiriente antes ponía especial atención en los estados financieros, la situación legal, etc. de la empresa objetivo, ahora debe hacer lo mismo con la ciberseguridad. Fallas o debilidades en este campo pueden reducir significativamente la valuación de una empresa en una transacción de M&A.

Tomemos como ejemplo la adquisición de Yahoo por parte de Verizon. Después de que Yahoo diera a conocer dos brechas masivas no reveladas en su proceso de due diligence durante 2013/14, Verizon redujo su oferta 7% del precio original, equivalente a 350 millones de dólares menos de lo que habían ofrecido inicialmente. Además, la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) de Estados Unidos le impuso a Yahoo una multa de 35 millones de dólares.

En un mundo donde lo más valioso para las empresas son los datos, la privacidad y seguridad cobran gran relevancia. El hecho de que se concrete un trato no significa que la organización esté a salvo de incidentes de seguridad, un claro ejemplo de esto es el caso de la cadena hotelera Marriott. En 2016 adquirió Starwoods Hotels y en 2018 descubrió una brecha de datos que había comenzado en 2014 (dos años antes de cerrar el trato) y no fue identificada durante el proceso de due diligence. Ahora, además de las multas impuestas por reguladores, Marriott enfrenta una demanda colectiva de 30 millones de personas afectadas.

La capacidad de realizar un proceso de due diligence exhaustivo, que analice minuciosamente cada área del negocio es indispensable. ¿Se imaginan si la falla que sufrió Slack hace unos días se hubiera debido a un ciberataque? ¿Cuánto de la valuación le hubiera castigado Salesforce?

POR ALEXANDRA MOGUEL  
@METABASEQ 
WWW.METABASEQ.COM