Un reciente artículo en Harvard Business Review, «Don’t acquire a company until you evaluate its data security«, advierte a las compañías, a la luz de las importantes responsabilidades económicas derivadas de recientes escándalos de seguridad, de que no lleven a cabo operaciones de adquisición de ninguna empresa a la que no hayan tenido la oportunidad de practicar una cuidadosa auditoría de seguridad – o en caso de hacerlo y sospechar que esas prácticas no han sido históricamente buenas, como mínimo provisionen las posibles responsabilidades que puedan derivarse de ello.
En efecto, la seguridad se está convirtiendo en un tema con cada vez más efectos colaterales, hasta el punto de que podría llegar a ser un determinante sobre posibles operaciones de adquisición, con todo lo que ello conlleva de pérdida de oportunidades. Cada día está más claro que adquirir una compañía que haya sido gestionada anteriormente con prácticas de seguridad poco rigurosas, los llamados data lemons como analogía con esas adquisiciones de vehículos «que salen malos» y que acaban generando una cadena absurda de gastos, puede convertirse en una auténtica pesadilla, en un problema de cara a su integración tecnológica, y en una serie de responsabilidades económicas potencialmente importantes si existen, como suele ocurrir cuando la seguridad no ha sido considerada una prioridad estratégica, usuarios afectados por los problemas derivados de esas posibles malas prácticas.
Cada vez son más los problemas de seguridad que se saldan con denuncias colectivas y con la exigencia de responsabilidades económicas a las compañías que los sufrieron. Visto así, la posibilidad de adquirir una compañía en función de unas determinadas sinergias o de una cierta complementariedad estratégica puede llegar a convertirse en un problema si termina generando la necesidad de indemnizar a un determinado número de usuarios. Por otro lado, incluir una auditoría de seguridad en el proceso de due diligence puede generar numerosos problemas, porque exige abrir todos los procesos de la compañía a un tercero con un nivel de detalle extremadamente elevado, lo que obligaría, posiblemente, a introducir a un agente de confianza que proporcionase únicamente el resultado de la auditoría, sin entrar en detalles, hasta que la empresa adquirente tome una decisión.
Cada día más, la seguridad se convierte ya no en una cuestión reservada a departamentos de IT, sino en una serie de prácticas globales que afectan a todos los empleados de una compañía. Una cultura de seguridad razonable, con un equilibrio razonable entre comodidad y buenas prácticas, es cada día más esencial, y no parte únicamente de decisiones tomadas en un departamento, sino del desarrollo de una auténtica cultura de la seguridad. Y ahora, puede incluso convertirse en un limitante de las opciones estratégicas que, en un momento dado, pueda tener disponibles tu compañía.
This post is also available in English in my Medium page, «The repercussions of poor security for a company can be extensive… and expensive«
Solo me chirría este párrafo
«Por otro lado, incluir una auditoría de seguridad en el proceso de due diligence puede generar numerosos problemas, porque exige abrir todos los procesos de la compañía a un tercero con un nivel de detalle extremadamente elevado,»
Pues totalmente en desacuerdo, cuando llegas al periodo de due diligence en la compra de una compañía, tu departmento legal ya ha cerrado el contrato(llámale precontrato ó MOU si quieres) mediante el cual ambas partes han cerrado las condiciones en las que se va a llevar la auditoría a la empresa que se adquiere, y evidentemente está para controlar todos los aspectos que pueden anular la compra y dentro de esa auditoría están los sistemas de información de esa compañía y como no seguridad….
Muy buen artículo con reflexiones interesantes y totalmente ciertas. Completamente de acuerdo.
Asi como conozco malas practicas financieras que han dado ocasión a reclamaciones masivas por parte de los clientes, (desde el el famoso «pasodoble» de Telefónica de 1979,, a las actuales, clausulas suelo, acciones preferentes, multidivisas, etc…), no conozco ningún fallo de seguridad que haya dado lugar a reclamaciones de los clientes, fugas de información bancaria confidencial, robo de password, venta de datos de clientes,… pese a que noticias de este tipo no es raro que se produzcan, por ejemplo hace menos de una semana, el «hackeo» de a Microsoft Outlook que permitio leer los emails de los usuarios.
Lo que si es cierto es que problema de fallos de seguridad de todo tipo, pueden arruinar una compañía, como le pasó a Banesto, expoliado por su propia directiva, a Transportes Candi, con el robo del Dioni, o muchos bancos que se han ido al garete por no haber tomado las debidas medidas de seguridad y dar prestamos a particulares y empresas que claramente no eran solventes.
La seguridad es un tipo de «mantenimiento», un gasto que no repercute de manera directa en los beneficios.
Recuerden el caso del Alvia, o mas recientemente el Boeing 737 Max, casos en los que recortaron en seguridad para reducir los costes.
Mientras al único que van a culpar de los accidentes es al maquinista, la seguridad solo será relevante cuando brille por su ausencia.
Al final es cuestión de saber lo que compras, y no de anular la operación porque te has dado cuenta que hacen trampas, como diría el entrañable capitan Renault.