Una de cada cuatro empresas sufre un ataque cibernético después de ejecutar una operación de M&A
FTI advierte de que entre los potenciales efectos negativos están la reducción del valor del acuerdo, el incumplimiento de objetivos o la paralización de la transacción
La consultora FTI ha realizado una encuesta que revela que una de cada cuatro empresas reconoce que su organización sufrió un incidente de ciberseguridad en los 24 meses posteriores al cierre de una fusión o una adquisición (M&A), lo que revela consecuencias reales y duraderas para aquellas empresas que no coordinan sus equipos de ciberseguridad y de operaciones corporativas. De las operaciones afectadas por estos incidentes, dos de cada tres correspondieron a incidentes relevantes, como robo de datos, extorsión o brechas de proveedores que expusieron información confidencial. Y más de dos tercios de los que experimentaron un incidente de ciberseguridad durante o después de una transacción revelan algún tipo de impacto negativo en la operación.
El 41% de los encuestados en el estudio de la consultora señala la presión por cerrar operaciones rápidamente como un factor que incrementa el riesgo de ciberseguridad durante las transacciones. Esto refleja la preocupación de que la velocidad puede hacerse a costa de evaluar plenamente las defensas de ciberseguridad durante el proceso de due diligence, agravando la tensión, en cierta medida inherente, entre el crecimiento y la mitigación de riesgos.
El 84% de las organizaciones tiene dificultades para alinear e integrar sus protocolos y procedimientos de ciberseguridad tras la operación. Uno de los problemas es que una parte significativa de los directores de Seguridad de la Información (CISO, por sus siglas en inglés) no participa en la due diligence de las transacciones, y uno de cada tres (33%) considera no tener la capacidad de frenar una operación si el riesgo para la organización es demasiado elevado durante o después de la misma. James Condon, director ejecutivo de FTI, avisa de que “existe una clara desconexión entre el reconocimiento y la acción”.
Meredith Griffanti, directora global de Ciberseguridad de FTI, avisa de que “los ciberdelincuentes son inteligentes”. “Leen las noticias y saben que las empresas tienden a ser vulnerables cuando intentan cerrar una operación o justo después, cuando están integrando sistemas, y es entonces cuando emplean todos sus recursos para intentar penetrar. Pero el denominador común es que un incidente acaba costándole muy caro al comprador”, explica.
De hecho, el informe revela que un 58% considera que el incidente dañó la capacidad de la empresa para alcanzar sus objetivos financieros después de la transacción. Casi la mitad (42%) afirmó que el valor de la operación se redujo como resultado del incidente de ciberseguridad y un 20% señaló que la transacción se suspendió o se retrasó. El resultado está en que se firman acuerdos diseñados para generar crecimiento que acaban introduciendo riesgos evitables en el peor momento posible.
FTI concluye que “los incidentes de ciberseguridad pueden tener un impacto devastador en una organización” y que no sorprende que los equipos directivos que han experimentado estos incidentes durante o en torno a una operación destaquen “los efectos letales que un ciberataque puede tener sobre los objetivos financieros y la valoración”.