Las adquisiciones o fusiones de organizaciones rara vez resultan sencillas. En ellas aparecen múltiples factores que hay que considerar: estructura de la organización, plantilla, cultura... el encaje de todas las piezas requiere tiempo, paciencia y dedicación.

En estos procesos, la ciberseguridad es un aspecto que no siempre se aborda con el rigor necesario. Se estima que en un 40% de las fusiones o adquisiciones la empresa compradora descubre brechas de seguridad en la compañía adquirida con los que no contaba a la hora de iniciar la integración. Si tenemos en cuenta que, según datos del Financial Times, el valor de las fusiones y adquisiciones ascendió a 3,3 billones de dólares durante los nueve primeros meses de 2018, es muy probable que el aspecto de la ciberseguridad se convierta en un problema importante no solo para las compañías implicadas, sino también para sus clientes y partners.

Los directivos están cada vez más concienciados sobre este aspecto. Un reciente informe del World Economic Forum ya sitúa a la ciberseguridad como una de las principales amenazas para los negocios durante la próxima década. Sin embargo, muchos también se ven sobrepasados a la hora de afrontar este desafío debido a la cada vez mayor complejidad tecnológica. A la hora de integrarse con otra empresa es fácil encontrarse con infraestructuras obsoletas, Shadow IT o prácticas poco adecuadas en la gestión de los datos. Si a todo ello se une la necesidad de transformarse digitalmente con rapidez, la tormenta puede ser perfecta.

Para evitar ser atrapados en esa dinámica, siempre será necesario considerar los siguientes aspectos:

La tecnología debe ser parte de la negociación. ¿Cómo se organiza la infraestructura tecnológica de cada organización? ¿Cuál es el papel de las TIC en la comercialización de productos o servicios? ¿Qué políticas de seguridad tienen en vigor? ¿Con qué certificaciones cuenta el personal responsable de la tecnología de la organización? ¿Qué estándares cumplen? ¿Qué incidentes de ciberseguridad han tenido? ¿Cómo se han resuelto y con qué consecuencias? Es de vital importancia analizar todos los riesgos relevantes de ciberseguridad y de privacidad de los datos, trazando con precisión su evolución futura y el impacto que pueden suponer para el negocio. Solo con una información precisa se puede garantizar la seguridad en el proceso de unión.

El uso de los datos. Es más importante que nunca entender cómo la otra empresa recopila y utiliza la información que recibe de sus clientes y partners durante el desarrollo de su actividad. Resulta clave demostrar el cumplimiento con GDPR o con las legislaciones vigentes en cada lugar del mundo en el que se opere. No es solo para evitar posibles sanciones, sino también por un tema de reputación.

Concretar la responsabilidad. Comprender la arquitectura del sistema, los flujos de datos, conocer las posibles limitaciones de los programas de seguridad existentes... todo ello es necesario, pero el proceso no tendrá éxito si no se designa a un responsable de abordar la fusión desde el punto de vista de la tecnología. Es imprescindible contar con una figura que sea capaz de aglutinar toda la información y diseñar un plan de acción para alinear las infraestructuras de TI y protegerlas adecuadamente teniendo en cuenta las múltiples variables que existen.

Está demostrado que a los hackers les gustan las fusiones y adquisiciones. Suponen una buena oportunidad para ellos, ya que las puertas de entrada se multiplican y las inversiones en TI y en seguridad suelen dejarse en suspenso durante la duración del proceso. Además, también entra en juego el factor humano. Si no se gestiona bien, los equipos pueden caer en la apatía y bajar la guardia en la revisión, consolidación y administración de las herramientas de seguridad. En estas situaciones, la ciberseguridad debe ser una prioridad desde antes de anunciar la fusión o adquisición. Es la única forma de evitar sustos en el nuevo camino que se emprende.