12/07/2022 | Stina Connor | James Owen

A medida que aumentan la escala y la frecuencia de los ataques cibernéticos, las repercusiones que los incidentes de seguridad cibernética tienen sobre las empresas se vuelven cada vez más graves. La filtración de datos personales confidenciales, el robo de propiedad intelectual (PI) e información comercial confidencial, así como los ataques de ransomware disruptivos y de denegación de servicio distribuido (DDoS) pueden tener efectos perjudiciales sobre los resultados financieros de las empresas, el valor de sus acciones, su marca y la confianza de sus clientes.

Al mismo tiempo, las empresas y los inversionistas están cada vez más obligados a revelar las filtraciones a los reguladores, accionistas y clientes, y las estrictas normas de protección de datos en virtud del GDPR y marcos regulatorios similares están impulsando una aplicación más decisiva de las sanciones normativas, incluidas fuertes multas y demandas entabladas por los clientes afectados. Como consecuencia, se está prestando cada vez más atención a las políticas limitadas de seguridad cibernética y protección de datos, la implementación precipitada de tecnología y la mala planificación de la gestión de crisis cada vez que se produce una violación en la seguridad a gran escala.

A pesar de incidentes bien conocidos como las violaciones de seguridad de Yahoo y Marriott, que deberían haber puesto la debida diligencia cibernética firmemente en la agenda de cualquier inversionista, el considerar la seguridad cibernética de manera sistemática y con base en el riesgo dentro del ciclo de vida de la inversión sigue siendo la excepción y no la regla, elevando así los riesgos de reputación para el inversionista.

La necesidad de la debida diligencia cibernética se extiende a todos los sectores

La rápida transformación digital, acelerada por la pandemia de COVID-19, y la omnipresencia de la tecnología en todos los sectores de la economía implican que los riesgos cibernéticos afectarán a todas las empresas, no sólo a las más avanzadas digitalmente. En esencia, todas las empresas son ahora empresas tecnológicas. Los actores de amenazas cibernéticas lo saben y están actuando en consecuencia, llevando a cabo algunos de los ataques más impactantes de los últimos años que han afectado a empresas como operadores de oleoductos e infraestructuras, productores de alimentos y centros de salud y educativos, entre otras. Como resultado, la necesidad de una debida diligencia cibernética exhaustiva es tan relevante tanto para los fondos de capital privado e infraestructura que invierten en otros sectores como lo es para los inversionistas centrados en la tecnología.

Figura 1: Organizaciones del sector privado atacadas con mayor frecuencia en ciberataques a nivel mundial, octubre de 2021 a noviembre de 2022

Integración de la debida diligencia cibernética en el proceso de inversión

Para los equipos de inversión que no están familiarizados con las tecnologías de la información (TI) y la ciberseguridad, el concepto de debida diligencia cibernética puede parecer confuso y difícil de entender. Sin embargo, la debida diligencia cibernética no es algo fundamentalmente distinto y separado de otros procesos de diligencia; su propósito básico es evaluar los riesgos para la inversión, garantizar una valoración correcta y señalar las áreas de investigación o corrección adicionales. En consecuencia, muchos factores de riesgo conocidos también son críticos al llevar a cabo una debida diligencia cibernética eficaz:

La debida diligencia desde afuera hacia adentro: evaluación del perfil de riesgo externo de una adquisición objetivo

En la fase previa a la inversión, antes de que los inversionistas tengan pleno acceso a la adquisición objetivo, la debida diligencia cibernética puede brindar información útil sobre la exposición de una empresa a las amenazas cibernéticas. Dicha evaluación proporcionará a los inversionistas una visión del perfil de amenazas externas de la empresa mediante la investigación de factores como:

Una evaluación exhaustiva de los riesgos cibernéticos potenciales de una adquisición objetivo ayuda a un inversionista a comprender el nivel de riesgo que está asumiendo, así como el costo y el cronograma de las medidas correctivas en las primeras fases del proceso de inversión.

La debida diligencia desde adentro hacia afuera: comprender las normas internas de seguridad cibernética y la gestión de riesgos

Una vez que un posible inversionista tiene acceso al objetivo, se puede llevar a cabo una revisión más exhaustiva de las normas internas sobre seguridad cibernética de una empresa. La revisión de políticas y procedimientos y las entrevistas con las principales partes interesadas, junto con la evaluación de su infraestructura informática y sus vulnerabilidades, proporcionan información sobre la madurez interna de la seguridad cibernética y los procesos actuales de gestión de riesgos.

Este proceso está diseñado para identificar posibles factores de riesgo, tales como puntos vulnerables en la postura actual de seguridad cibernética o procedimientos inadecuados de gestión de crisis o continuidad de la actividad en caso de ataque. Comprender la madurez de la seguridad cibernética interna de una adquisición objetivo también ayuda a los inversionistas a priorizar los esfuerzos de corrección y a desarrollar planes de integración eficaces posteriores a la adquisición.

Los equipos de inversión deben considerar la debida diligencia cibernética como una herramienta más en su arsenal para tomar decisiones informadas, en vez de algo intimidante y excepcional. El alcance y el impacto crecientes de los ataques cibernéticos, junto con un mayor escrutinio normativo y público de las prácticas de seguridad cibernética de las empresas, sólo reafirman la necesidad de integrar sistemáticamente la debida diligencia cibernética en el ciclo de vida de las inversiones.

La debida diligencia cibernética ayuda a gestionar los riesgos a lo largo del ciclo de vida de las inversiones

Al igual que con otras formas de debida diligencia en las transacciones, la debida diligencia cibernética sirve para orientar la toma de decisiones y las negociaciones antes de una inversión. Los conocimientos de Control Risks sobre los retos de seguridad cibernética existentes y futuros, los incidentes pasados que podrían afectar el valor o la marca y el costo potencial de medidas correctivas han ayudado a nuestros clientes a valorar con precisión una adquisición objetivo, a tomar decisiones informadas sobre las negociaciones contractuales y priorizar las medidas correctivas después de la adquisición.

En un caso reciente, Control Risks le brindó asistencia a una sociedad de inversión de capital privado que pretendía invertir en una empresa de desarrollo de software. A nuestro cliente le preocupaba el modo en que la adquisición en cuestión protegía su código fuente. Realizamos una descripción general de la infraestructura, los sistemas, las personas y las vulnerabilidades que podría aprovechar un actor de amenazas cibernéticas y, con base en esto, elaboramos una calificación de amenaza para el tercero y para cada vulnerabilidad identificada. Esto se entregó junto con un informe de debida diligencia en materia de reputación para proporcionar una visión integral de la madurez del objetivo en varias áreas. Lo anterior permitió al cliente reevaluar su valoración de la inversión y elaborar una estrategia de seguridad cibernética posterior a la inversión, utilizando nuestras calificaciones como guía para priorizar una actividad de corrección eficaz.

Nuestros clientes también suelen recurrir a la debida diligencia cibernética después de una adquisición específica o como parte de la gestión de riesgos de cartera. En esa fase, la debida diligencia cibernética proporciona una visión priorizada de la madurez de la seguridad cibernética de las empresas de cartera, para proteger el valor y servir como una verificación de la “salud” cibernética en las inversiones. Realizar comprobaciones exhaustivas de la higiene cibernética a lo largo del ciclo de vida de la inversión puede ayudar a mitigar los riesgos de reputación, financieros y jurídicos si se produce una violación de seguridad, ya que esto suele desencadenar el escrutinio de las medidas que se han adoptado antes o después de una operación de inversión. Según nuestra experiencia, la debida diligencia cibernética es también una herramienta vital después de una violación de seguridad, para investigar un incidente y posteriormente corregirlo.

En otro ejemplo, un cliente del sector tecnológico se puso en contacto con Control Risks después de la adquisición de una empresa que operaba con un modelo de software como servicio, con inquietudes sobre cómo gestionaba los datos confidenciales de los casos y la información de identificación personal (IIP). Realizamos una descripción de las vulnerabilidades técnicas y de procesos que podrían explotarse, así como los actores de amenazas cibernéticas más destacados que buscan atacarlos. Esto se basó en una revisión exhaustiva de documentos y procesos, pruebas técnicas y una serie de entrevistas. Gracias a esta evaluación, el cliente pudo identificar los principales puntos que requerían corrección, por ejemplo la eliminación de los sistemas heredados vulnerables que soportaban los sistemas del cliente, la introducción de tecnología adicional para mejorar la seguridad perimetral y la mejora de los procedimientos de resiliencia.

Dado que las amenazas cibernéticas llegaron para quedarse, será fundamental que los equipos de inversión evalúen sistemáticamente las exposiciones cibernéticas asociadas con una inversión, para proteger el valor y mitigar los riesgos de reputación y normativos. Aprovechar la debida diligencia cibernética a lo largo del ciclo de inversión, desde la toma de decisiones previa a la adquisición hasta la gestión de la cartera posterior a la adquisición, pasando por el apoyo de investigación posterior a la violación de seguridad y de gestión de riesgos, puede ayudar a los inversionistas a siempre estar un paso adelante y proteger tanto el valor como la marca.