Proteger los datos durante un proceso de M&A, necesidad más que opción

Antes que nada, ¿qué significa proteger los datos? La protección de datos es el proceso mediante el cual se custodia información delicada de una empresa de peligros como su corrupción, pérdida o robo. Y esto es algo que resulta de especial importancia en un proceso de M&A, durante el cual la empresa va a tener que compartir datos sensibles con terceros. Esto, inevitablemente, expone esa información a una situación de vulnerabilidad.

El hecho de que la contraparte de una M&A sea un actor honesto no supone suficiente protección para esos datos. Estos podrían verse comprometidos en la medida en que, por ejemplo, se van a mover a través de correos electrónicos. Así pues, proteger esos datos significa tomar las medidas necesarias para evitar que cualquier tipo de problema pueda afectarlos.

¿Por qué es importante la protección de datos?

 Los datos son un producto extremadamente valioso para cualquier empresa. A menudo, la información confidencial custodiada –por ejemplo, números de tarjetas de crédito, registros bancarios, registros de salud individuales de clientes…-  representa una parte importante del valor de la compañía… y, por lo tanto, un porcentaje significativo del valor de la M&A en curso. Si esta información se revelase, el posible trato se pondría, de inmediato, en peligro.

Y resulta curioso que, siendo como es vital la protección de estos datos sensibles, menos del 10% de los ejecutivos de empresas piense que la falta de dicha protección puede suponer un factor crítico para una transacción M&A. Al menos esto es lo que se desprende de un estudio realizado por la multinacional holandesa de gestión de datos Dealroom.

Curiosamente, y aunque a simple vista parezca contradecir lo citado en el anterior párrafo, ese mismo estudio da otros datos interesantes:

  • El 62% de los encuestados dijo que su empresa enfrentó un riesgo significativo de seguridad cibernética durante una M&A.
  • El 53% de los participantes en el estudio reveló que su empresa se había encontrado con un problema crítico de ciberseguridad durante la negociación de una M&A, lo que puso en peligro el acuerdo.
  • El 73% de los interpelados dijo que una violación de datos no revelada por la otra parte fue motivo de ruptura de una M&A.
  • El 65% de los firmantes de una M&A dijeron haberse arrepentido de la adquisición, después de experimentar problemas de protección de datos, tras cerrar una transacción M&A.

El riesgo para la información que va y viene

 Durante un proceso M&A se da lo que se llama diligencia debida, un proceso mediante el cual la información fluye de un lado para otro, lo que la expone a un mayor riesgo. Así, con decenas de miles de operaciones M&A que tienen lugar cada año en el mundo, existe un continuo terreno fértil para que los piratas informáticos puedan acceder a información corporativa confidencial.

Uno de los casos más famosos de sustracción de datos durante un proceso M&A ocurrió en 2017, a raíz de la adquisición de Yahoo por parte de Verizon. En el transcurso del procedimiento de diligencia debida, Yahoo reveló dos importantes violaciones de datos a Verizon que, previamente, había intentado encubrir.

En los meses previos a la transacción, los piratas informáticos robaron los datos personales de 500 millones de usuarios de Yahoo. A esto le siguió un hackeo de mil millones de cuentas de la empresa. El trato se llevó a cabo por casi $ 4.5 mil millones de dólares, pero no antes de que Verizon eliminara $ 350 millones de dólares del precio final de la transacción.

Cómo proteger los datos en transacciones M&A

 Para salvaguardar la seguridad de los datos durante una transacción M&A es importante implementar las siguientes medidas:

  1. Cifrado: Utilizar métodos de cifrado sólidos para proteger los datos tanto en tránsito como en custodia. El cifrado ayuda a garantizar que sólo las partes autorizadas puedan acceder a los datos. También evita que se intercepten, alteren o roben.
  1. Control de acceso: Emplear un control de acceso granular, permitiendo que sólo las partes autorizadas accedan a datos específicos. Así mismo, habrá que limitar el acceso a información confidencial, restringiendo el acceso a documentos, carpetas o funcionalidades específicas.
  1. Supervisión y auditoría: Supervisar las actividades de los usuarios en tiempo real y auditar los registros de acceso a los datos. Esto puede ayudar a detectar actividades sospechosas, o no autorizadas, y garantizar la integridad de los datos.
  1. Autenticación de dos factores: Usar la autenticación de dos factores para verificar la identidad de los usuarios. Esto puede incluir una combinación de algo que se conoce (como una contraseña); algo que se tiene (como un token de seguridad) o algo que se es (como datos biométricos).
  1. Comunicación segura: Emplear canales de comunicación fiables para, así, garantizar que los datos se transmitan de manera segura y están protegidos contra intercepciones o escuchas. Esto puede incluir medidas como cifrado, firmas digitales, protocolos de transferencia segura de archivos y capa de conexión segura (SSL). El costo y la implementación del certificado SSL varían según el tipo de certificado y el nivel de validación requerido. La mayoría de los proveedores de salas de datos virtuales utilizados en fusiones y adquisiciones utilizan certificados SSL/TLS para cifrar los datos en tránsito y garantizar una comunicación segura entre servidores y clientes. Algunos proveedores de VDR también pueden usar certificados SSL/TLS de validación extendida (EV), que brindan funciones de seguridad adicionales.