Es hora de comprender mejor el costo del riesgo de ciberseguridad en las transacciones de fusiones y adquisiciones – TechCrunch


Una serie de problemas de ciberseguridad de alto perfil han surgido en mega transacciones de fusiones y adquisiciones durante la última década, lo que aumentó la preocupación entre los ejecutivos corporativos.

En 2017, mientras negociaba la venta de su negocio de Internet, Yahoo anunció tres violaciones de datos de Verizon [Disclosure: Verizon Media is TechCrunch’s parent company]. Como resultado de las divulgaciones, Verizon luego redujo su precio de compra en $ 350 millones, aproximadamente el 7% del precio de compra, y los vendedores asumieron el 50% de la responsabilidad futura por violaciones de datos.

Durante las consecuencias de las amenazas cibernéticas Fue un evento extraordinario que sorprendió a los profesionales de fusiones y adquisiciones, pero no cambió fundamentalmente las prácticas estándar de fusiones y adquisiciones. Sin embargo, dado el alto costo potencial de las amenazas cibernéticas y la alta frecuencia de incidentes, los adquirentes deben encontrar formas más completas y adecuadas de abordar estos riesgos.

En la actualidad, a medida que las discusiones sobre ciberseguridad se aceleran durante un proceso de fusiones y adquisiciones, los líderes empresariales y los expertos en fusiones y adquisiciones deben señalar procesos mejorados y servicios subcontratados para identificar y prevenir problemas de seguridad. A pesar de la mayor conciencia entre los gerentes financieros y un número cada vez mayor de soluciones subcontratadas para abordar las amenazas de ciberseguridad, los adquirentes continúan informando un número creciente de incidentes de ciberseguridad en los objetivos adquiridos, a menudo después de que se ha logrado el objetivo. Aun así, los adquirentes continúan enfocándose en finanzas, legal, ventas y operaciones, y por lo general ven la ciberseguridad como un área auxiliar.

Si bien las amenazas cibernéticas pasadas o potenciales ya no se ignoran en el proceso de diligencia debida, el hecho de que haya una violación de datos sigue aumentando y puede tener repercusiones financieras negativas que se pueden sentir mucho después de que se cierra el contrato volverse. Esto demuestra que los adquirentes deben seguir mejorando su enfoque y abordar las amenazas cibernéticas.

La actual falta de atención a las cuestiones de seguridad cibernética puede deberse en parte a la dinámica del mercado de fusiones y adquisiciones. La mayoría de las empresas medianas (que constituyen la mayoría nominal de los acuerdos de fusiones y adquisiciones) suelen venderse mediante un proceso de subasta en el que el vendedor contrata a un banco de inversión para maximizar el valor fomentando la dinámica competitiva entre los postores interesados. Para aumentar la competitividad, los banqueros suelen hacer avanzar un proceso empresarial lo más rápido posible. Debido a las limitaciones de tiempo, los compradores se ven obligados a priorizar sus actividades de diligencia debida, ya que de lo contrario existe el riesgo de quedarse atrás en un proceso comercial.

Un proceso comercial típico para una empresa privada sería el siguiente:

  • Los banqueros de inversión de la empresa vendedora se acercan a los compradores potenciales. Proporcione un memorando de información confidencial (CIM) que contenga información resumida sobre la historia de la empresa, las operaciones comerciales y el desempeño financiero histórico y previsto. Los compradores potenciales suelen tener de tres a seis semanas para revisar los materiales antes de tomar otra decisión. A menos que exista un problema de ciberseguridad previamente conocido, un CIM normalmente no abordará problemas de ciberseguridad potenciales o actuales.
  • Después del primer período de revisión, todos los postores interesados ​​deben presentar expresiones de interés (IOI) que soliciten la valoración y la estructura comercial (efectivo, acciones, etc.).
  • Después de que se presentan los IOI, el banquero de inversiones trabaja con los vendedores para seleccionar a los mejores postores. Los criterios más importantes que se evalúan incluyen la calificación, así como otras consideraciones como el momento, la seguridad de cierre y la credibilidad del comprador para cerrar la transacción.
  • Los postores seleccionados para un mayor desarrollo generalmente reciben de cuatro a seis semanas después de la fecha del simulacro de IOI. Información detallada sobre las preguntas más importantes de diligencia debida, verifique la información en la sala de datos del vendedor, realice una presentación de administración o preguntas y respuestas administrar el objetivo y realizar visitas al sitio. Esta es la primera fase en la que los problemas de ciberseguridad se pueden abordar de manera más eficiente.
  • La Carta de Intención vence cuando los postores reconfirman la evaluación y proponen períodos de exclusividad durante los cuales se selecciona exclusivamente a un postor para completar su debida diligencia y cerrar el trato.
  • Una vez que se firma una LOI, los postores suelen tener de 30 a 60 días para finalizar la negociación de los acuerdos finales que detallan todos los términos de una adquisición. En esta etapa, los adquirentes tienen otra opción para resolver los problemas de ciberseguridad, a menudo utilizando recursos de terceros para invertir costos significativos con la mayor seguridad que ofrece el período de exclusividad. El grado en que los recursos de terceros se orientan hacia la ciberseguridad en comparación con otras prioridades varía ampliamente. Sin embargo, en general, la ciberseguridad no es una prioridad.
  • El cierre ocurre al mismo tiempo que se firman los acuerdos finales o, en otros casos, después de la firma, el cierre a menudo se basa en aprobaciones regulatorias. En cualquier caso, una vez que se firma un trato y se cumplen todos los términos y condiciones importantes, los compradores no pueden retirarse unilateralmente del trato.

En tal proceso, los adquirentes deben equilibrar los recursos internos para evaluar minuciosamente un objetivo y moverse lo suficientemente rápido para seguir siendo competitivos. Al mismo tiempo, los tomadores de decisiones clave en una transacción de fusiones y adquisiciones generalmente provienen de finanzas, legales, estrategia u operaciones y rara vez tienen experiencia significativa en TI o ciberseguridad. Con tiempo limitado y experiencia en ciberseguridad, los equipos de fusiones y adquisiciones tienden a enfocarse en áreas transaccionales más urgentes del proceso comercial, incluida la negociación de términos comerciales clave, el análisis de tendencias comerciales y del mercado, la contabilidad, el financiamiento de la deuda y las aprobaciones internas. Con solo 2-3 meses para evaluar una transacción antes de firmarla, la ciberseguridad generalmente recibe un enfoque limitado.

Al evaluar los problemas de ciberseguridad, se basan en gran medida en la información del vendedor sobre problemas anteriores y controles internos en el sitio. Por supuesto, los vendedores no pueden revelar lo que no saben, y la mayoría de las organizaciones desconocen los atacantes que podrían estar ya en sus redes o las vulnerabilidades importantes que desconocen. Desafortunadamente, esta evaluación es una conversación unilateral que se basa en información veraz y completa de los vendedores y le da a la expresión reserva un nuevo significado. Por esta razón, no es una coincidencia que una encuesta reciente de Forescout a profesionales de TI descubrió que el 65% de los encuestados expresaron el remordimiento del comprador por los problemas de ciberseguridad. Solo el 36% de los encuestados sintió que tenía tiempo suficiente para evaluar las amenazas a la seguridad cibernética.

Si bien la mayoría de los procesos de fusiones y adquisiciones normalmente no dan prioridad a la ciberseguridad, los procesos de fusiones y adquisiciones suelen centrarse directamente en los problemas de seguridad cibernética cuando surgen problemas conocidos durante o antes de un proceso de fusiones y adquisiciones. En el caso de la adquisición de Yahoo por parte de Verizon, la divulgación de tres violaciones graves de datos dio como resultado una reducción significativa en el precio de compra, así como cambios en los términos clave, incluida la disposición de que el vendedor asumiría la mitad del costo de las responsabilidades futuras que surjan de tales violaciones de datos. En abril de 2019, Verizon y la parte no adquirida de Yahoo dividirían un pago de indemnización de 117 millones de dólares por la violación de datos. En un ejemplo más reciente, la adquisición de Asco por Spirit AeroSystems ha estado pendiente desde 2018. El cierre tardío se debe principalmente a un ataque de ransomware en Asco. En junio de 2019, Asco experimentó un ataque de ransomware que obligó a las fábricas a cerrar temporalmente y finalmente resultó en una reducción del 25% en el precio de compra de los $ 604 millones originales en un 150%.

Tanto en las adquisiciones de Spirit como de Verizon, los problemas de ciberseguridad se abordaron en gran medida mediante una estructura de valoración y negocios que limita las pérdidas financieras pero hace poco para prevenir problemas futuros para un comprador, incluida la pérdida de confianza entre clientes e inversores. Al igual que en las adquisiciones de Spirit y Verizon, los adquirentes suelen utilizar elementos estructurales de una empresa para limitar las pérdidas económicas. Se pueden utilizar varios mecanismos y estructuras, incluidas representaciones, garantías, compensaciones y compras de activos, para transferir de manera efectiva los pasivos económicos directos de un problema de ciberseguridad identificable. Sin embargo, no pueden compensar la mayor pérdida que resultaría del riesgo de reputación o la pérdida de importantes secretos comerciales.

Los ejemplos de Spirit y Verizon muestran que existe un valor cuantificable asociado con el riesgo de ciberseguridad. Los compradores que no evalúan activamente sus objetivos de fusiones y adquisiciones pueden introducir riesgos en su transacción sin mitigarlos. Dado un marco de tiempo limitado y la naturaleza intrínsecamente opaca de los problemas de ciberseguridad de un objetivo, los adquirentes se beneficiarían enormemente de las soluciones subcontratadas que no requerirían la confianza o la participación de un objetivo.

El alcance de tal evaluación cubre idealmente deficiencias previamente desconocidas en la seguridad y divulgación de los sistemas comerciales y los recursos clave del objetivo, incluidos los datos y los secretos corporativos o la propiedad intelectual. Sin este conocimiento, los adquirentes celebran acuerdos parcialmente ciegos. El mejor curso de acción en la industria, por supuesto, es reducir el riesgo. Agregar esta medida a su evaluación de ciberseguridad es una gran práctica hoy y probablemente un requisito obligatorio en el futuro.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *