No adquiera una empresa hasta que evalúe la seguridad de sus datos

El personal del Museo Meteorológico/HBR

Cuando Marriott International adquirió Starwood en 2016 por 13.600 millones de dólares, ninguna de las dos empresas lo sabía de un ciberataque al sistema de reservas de Starwood que se remonta a 2014. La violación, que expuso los datos personales confidenciales de casi 500 millones de clientes de Starwood, es un ejemplo perfecto de lo que llamamos un «limón de los datos», un concepto extraído del trabajo del economista George Akerlof sobre las asimetrías de la información y la problema de los «limones». La idea de Akerlof era que un comprador no conoce la calidad del producto que ofrece un vendedor, por lo que se arriesga a comprar un limón, piense en los coches.

Vamos a extender ese concepto a la actividad de fusiones y adquisiciones. En cualquier transacción entre una empresa adquirente y una empresa objetivo (vendedor), hay información asimétrica sobre la calidad del objetivo. Si bien los directivos entienden este concepto desde hace tiempo, los acontecimientos recientes arrojan luz sobre un matiz emergente en las fusiones y adquisiciones: el del limón de los datos. Es decir, la calidad de un objetivo puede estar relacionada con la solidez de su ciberseguridad y su cumplimiento de la normativa de privacidad de los datos. Cuando un adquirente no se protege de un limón de datos y busca información suficiente sobre el cumplimiento de la privacidad y la seguridad de los datos del objetivo, es posible que se quede con un límite de datos (una violación de seguridad, por ejemplo) y las consiguientes sanciones gubernamentales, además de daños a la marca y pérdida de confianza. Esa es la situación a la que se enfrenta Marriott ahora. La empresa se enfrenta a multas de 912 millones de dólares por el RGPD en la UE y el precio de sus acciones se ha visto afectado. El problema no termina ahí. Según Bloomberg, «la empresa podría enfrentarse a multas reglamentarias y costes de litigio de hasta mil millones de dólares».

Marriott no es la única empresa en esta situación. En 2017, Verizon descontó su precio original de compra de Yahoo de 4.800 millones de dólares en 350 millones de dólares después de enterarse —después de la adquisición— de las exposiciones de este último a la violación de datos. Del mismo modo, en abril de 2016, Abbott anunció la adquisición de St. Jude Medical, un fabricante de dispositivos médicos con sede en Minnesota, solo para enterarse del riesgo de hackeo entre 500 000 de los marcapasos de St. Jude un año después, en 2017. Abbott acaba retirando los dispositivos. Daiichi Sankyo, una empresa japonesa, adquirió Ranbaxy, un fabricante farmacéutico indio. Daiichi Sankyo acudió más tarde a los tribunales alegando que la empresa objetivo tergiversó los datos de cumplimiento de seguridad de la FDA a Daiichi(entre otros problemas).

Entonces, ¿qué hacer con los limones de datos? Puede cerrar el trato de todos modos, especialmente si el valor creado por la operación supera los riesgos. O puede seguir el camino de Verizon y reducir la valoración tras la adquisición. Proponemos una tercera opción: la diligencia debida no solo en lo que respecta a las finanzas de la empresa objetivo, sino también a sus vulnerabilidades reglamentarias durante el proceso de debate sobre fusiones y adquisiciones. La idea es identificar las posibles violaciones de datos y problemas de ciberseguridad antes de que se conviertan en su problema.

Encontrar el problema antes de que sea suyo

En este enfoque, nos basamos en las normas de cumplimiento establecidas destinadas a proteger contra el soborno y las cuestiones medioambientales. La adquirente investigaría las filtraciones de datos anteriores de la empresa objetivo y exigiría la divulgación de las auditorías anteriores relacionadas con los datos y de cualquier investigación pendiente en todo el mundo. La empresa adquirente también realizaría una revisión de los procesos y procedimientos del objetivo en relación con la seguridad de la información, como el uso aceptable de los datos, la clasificación y el manejo de los datos. La adquirente también debería evaluar el cumplimiento de la empresa objetivo con los marcos de ciberseguridad de NIST,  CIS,  ISO, y el AICPA.

Si se descubre algún riesgo durante la diligencia debida, la adquirente debería realizar una auditoría más exhaustiva de las políticas de la empresa objetivo. Por ejemplo, ¿el objetivo cumple con algún tipo de norma o certificación de datos? (Los ejemplos incluyen Graham Leach Billey y HIPAA.). Por último, la diligencia debida también debería incluir una revisión de los requisitos de privacidad de los datos en los contratos con terceros.

Tenga en cuenta también que los documentos que cambian de manos entre el objetivo y las empresas adquirentes pueden convertirse en sí mismos en un riesgo de «derrame de información», es decir, la publicación involuntaria de datos confidenciales. Por lo tanto, tanto el objetivo como la empresa adquirente son particularmente vulnerables a los ataques de piratas informáticos durante el proceso de diligencia debida de fusiones y adquisiciones, a veces mediante el hackeo de terceros, como bancos, bufetes de abogados, firmas de contabilidad o vendedores externos involucrados en fusiones y adquisiciones. Es importante aumentar la seguridad de esa información y revisar las prácticas de los terceros para reducir ese riesgo.

Una vez que haya adquirido un Data Lemon

Incluso si ha hecho todo lo anterior, es posible que siga adquiriendo un limón de datos. ¿Qué debe hacer entonces? En este momento, es esencial establecer una estrategia de respuesta a los incidentes para abordar los riesgos, incluidos los de naturaleza legal, reglamentaria o dirigida al cliente. Esta estrategia de respuesta a los incidentes tiene que ser rápida y decisiva, adoptar un enfoque multidisciplinario y hay que incluir a la junta. La gestión de las relaciones públicas y la divulgación con los responsables políticos deberán ser transparentes. Estas son solo las medidas inmediatas. La empresa adquirente tiene que revisar las prácticas que llevaron a la infracción e identificar medidas para mejorar el programa de cumplimiento de la privacidad de los datos en el futuro.

Cuanto más proactivos sean los adquirentes y aborden este tema mediante una autorregulación efectiva, o mediante una regulación basada en el sector e impulsada por pares, es menos probable que se promulgue una regulación gubernamental más estricta como respuesta.