Ciberseguridad en las fusiones y adquisiciones de empresas
Ciberseguridad en las fusiones y adquisiciones de empresas
Por Fabián Descalzo
Cultura, gobierno y cumplimiento: Las necesidades del negocio y el riesgo de resistencia a los cambios organizacionales
Si lo que la organización busca es beneficiarse con una fusión de empresas para disminuir los gastos de operación y/o producción y aumentar la rentabilidad ¿Por qué no tener en cuenta el análisis previo de plataformas, aplicaciones y procesos tecnológicos que dan soporte al negocio, evitando así mayores costos en su remediación posterior por cuestiones regulatorias o generar nuevos expuestos de seguridad a sus procesos internos y a la información?
Hay dos condiciones que generan profundos cambios en la operación funcional y tecnológica de las empresas que hacen peligrar el gobierno de sus procesos internos: La adopción de nuevos estándares o regulaciones de negocios, y la adquisición o fusión de empresas. Ambas problemáticas responden a una acción decidida y planificada por la alta dirección y representada en el plan de negocios de la organización, pero los cortos tiempos de implementación resultantes de una baja coordinación desde el negocio con las diferentes áreas de servicio y soporte de la organización hace que los riesgos sobre el gobierno de las tecnologías y la falta de cumplimiento aumente.
Esta exposición que impacta negativamente sobre la gestión y seguridad de los procesos de negocio puede verse representada en fusiones o adquisiciones mal administradas que provocan, entre otros, los siguientes riesgos a los negocios:
Estratégico
Operativo y Cumplimiento
Esta problemática abarca tanto a procesos funcionales como tecnológicos, partiendo de la base que hace a la cultura interna de toda organización y que establece las pautas para la gestión del negocio: las políticas y su entorno documental, y los usos y costumbres de las personas. Por ello cada vez que nos ha tocado el desafío de ayudar en una organización para adecuar sus procesos y procedimientos internos, ya sea de negocio o de servicios de tecnología y seguridad, nos hemos encontrado con las limitaciones propias del nivel de madurez de las mismas empresas que pretenden alinear sus procesos ante fusiones o adquisiciones poniendo en riesgo la calidad de sus servicios, la gobernabilidad de sus operaciones y la seguridad de la información que procesan.
Por ello, los riesgos mencionados no solo están relacionados con la Confidencialidad.Compatibilizar creencias, cultura, sistemas y mecanismos de transferencia puede afectar seriamente la disponibilidad e integridad de la información y por consecuencia afectar a la CALIDAD de los servicios o productos que ofrecemos, y por ende impactar negativamente en la IMAGEN de nuestra Compañía.
En respuesta a esta problemática debemos analizar cómo es que se ha desarrollado la cultura de cada una de las empresas involucradas en el proceso de fusión, y esto involucra el analizar como tratan y cumplen las personas con cada una de las políticas, normas y procedimientos, su entendimiento de las regulaciones y su nivel de compromiso en el cumplimiento, y cuál es su enfoque de acuerdo al grupo de interés que ocupe en la organización determinado por niveles de Dirección, Gerencial o Usuarios.
De esa forma podremos construir un modelo de comunicación para poder obtener el apoyo desde la Dirección y Alta Gerencia, la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva implementación. De por sí, ya sabemos que, dentro de esos grandes grupos definidos como Dirección, Gerencias y Usuarios, los intereses de cada uno frente a una fusión son diferentes, por lo que establecer una forma de conectar cada área de interés es INDISPENSABLE en estas situaciones para la salud y sobrevivencia de una Organización.
Sabemos también que desde el negocio se deben tomar acciones coordinadas en cuanto a la preparación de nuestra organización para que responda en forma adecuada a los nuevos requerimientos planteados desde sus objetivos actuales. Para comunicar en forma clara estos objetivos debe entenderse que:
¿Que tener en cuenta entonces? Primordialmente, reconocer y conocer cuáles son los requisitos normativos y regulatorios que impactan en el proyecto de fusión como consecuencia de la unión de ambas empresas, y a partir de allí establecer equipos interdisciplinarios que nos permitan analizar en forma integral todos los aspectos que hacen que nuestro negocio sea exitoso a partir del tratamiento y procesamiento de la información. Áreas comerciales, legales, administrativas, tecnológicas y de seguridad de la información pueden ser los principales actores para definir en forma adecuada para el esclarecer el nuevo entorno del negocio.
Ante una fusión o asociación de empresas debemos pensar que para asegurar cada uno de los procesos de negocio resultantes, sobre todo aquellos que surjan nuevos o adecuados a la nueva organización, deben ser alineados siguiendo los siguientes conceptos:
Cada uno de estos aspectos deben ser analizados por un equipo interdisciplinario desde el principio de las negociaciones; esto permitirá que podamos establecer los alcances de impacto en nuestra organización, medir los esfuerzos y establecer la disponibilidad de los recursos financieros, económicos y operativos, establecer las medidas necesarias para mitigar los riesgos de seguridad e integridad de la información, planificar en forma adecuada las futuras implementaciones estableciendo fechas y prioridades acorde a los resultados esperados por el Negocio.
El resultado de esta “sinergia” generada desde la Alta Dirección al propiciar la participación efectiva de los referentes de cada área permitirá que su plan de negocio sea más sólido en su estrategia, recordando que las áreas de seguridad y tecnología son parte de ese plan en el marco empresario actual, brindando a través de ellas calidad y gobernabilidad sobre todos los servicios de IT.
¿A que debemos estar atentos en la transición?
1. Establecer auditorias para la verificación de cumplimiento con el compromiso de seguridad y tratamiento de la información, acorde a la Política de Seguridad de nuestra organización, así como la aceptación de la política mencionada por parte del nuevo personal.
2. Informar sobre todos los cambios de personal que afecten al negocio, así como especificar roles y responsabilidades en el tratamiento de la información, la que deberá ser previamente clasificada y analizar los riesgos y medidas de protección durante todo el proceso.
3. Disponer de procedimientos definidos y aceptados por nuestro socio, para la detección y respuesta de alertas de intrusión, por ejemplo, previendo la notificación por medio de alertas o intrusiones de alto riesgo.
4. Todo sistema, red o conexión externa no operado por nosotros y que interactúe con nuestros sistemas o redes deben estar documentadas y contar con instalaciones y equipamiento previamente analizados y aprobados por nuestra organización.
Estableciendo una relación entre los aspectos legales y de seguridad de nuestro negocio, a veces es conveniente reforzar los contratos comerciales con convenios de confidencialidad, aunque tengan una cláusula de confidencialidad incluida, ya que contienen otros aspectos más amplios a los de una simple cláusula contractual y en él se transcribe la política de acceso a la información involucrada, por ejemplo, por nuestra organización.
Como conclusión, y cuando desde cualquier Unidad de Negocio se planteen estrategias comerciales que resulten en fusiones o convenios de acciones comerciales conjuntas lo primero que debemos preguntarnos es:
¿Invitarías a tu casa a alguien que no conoces? ¿Compartirías tus sueños y proyectos con alguien que no comparte tus "ideas y creencias"?
Cultura, gobierno y cumplimiento: Las necesidades del negocio y el riesgo de resistencia a los cambios organizacionales
Si lo que la organización busca es beneficiarse con una fusión de empresas para disminuir los gastos de operación y/o producción y aumentar la rentabilidad ¿Por qué no tener en cuenta el análisis previo de plataformas, aplicaciones y procesos tecnológicos que dan soporte al negocio, evitando así mayores costos en su remediación posterior por cuestiones regulatorias o generar nuevos expuestos de seguridad a sus procesos internos y a la información?
Hay dos condiciones que generan profundos cambios en la operación funcional y tecnológica de las empresas que hacen peligrar el gobierno de sus procesos internos: La adopción de nuevos estándares o regulaciones de negocios, y la adquisición o fusión de empresas. Ambas problemáticas responden a una acción decidida y planificada por la alta dirección y representada en el plan de negocios de la organización, pero los cortos tiempos de implementación resultantes de una baja coordinación desde el negocio con las diferentes áreas de servicio y soporte de la organización hace que los riesgos sobre el gobierno de las tecnologías y la falta de cumplimiento aumente.
Esta exposición que impacta negativamente sobre la gestión y seguridad de los procesos de negocio puede verse representada en fusiones o adquisiciones mal administradas que provocan, entre otros, los siguientes riesgos a los negocios:
Estratégico
- Incapacidad para manejar las expectativas de los inversionistas
- Fallas del gobierno corporativo y control interno
- Rechazo interno al marco regulatorio
- Acciones legales o punitivas por falta de cumplimiento al marco regulatorio
- Incapacidad para atraer y retener conocimientos y competencias durante la transición
- Bajo control de costos
Operativo y Cumplimiento
- Administración ineficiente o fallas en la prestación de servicios internos y externos
- Inversión ineficaz en la infraestructura con impacto negativo que la convierte en obsoleta o inadecuada
- Débil seguridad de los datos y riesgos de privacidad
- Riesgos en los procesos de servicio de TI y seguridad de la información
- Incapacidad de explotar y proteger activos (piratería y derechos de propiedad intelectual)
- Sistemas y procesos inadecuados para sustentar el negocio
- Aumento en las presiones regulatorias
Esta problemática abarca tanto a procesos funcionales como tecnológicos, partiendo de la base que hace a la cultura interna de toda organización y que establece las pautas para la gestión del negocio: las políticas y su entorno documental, y los usos y costumbres de las personas. Por ello cada vez que nos ha tocado el desafío de ayudar en una organización para adecuar sus procesos y procedimientos internos, ya sea de negocio o de servicios de tecnología y seguridad, nos hemos encontrado con las limitaciones propias del nivel de madurez de las mismas empresas que pretenden alinear sus procesos ante fusiones o adquisiciones poniendo en riesgo la calidad de sus servicios, la gobernabilidad de sus operaciones y la seguridad de la información que procesan.
Por ello, los riesgos mencionados no solo están relacionados con la Confidencialidad.Compatibilizar creencias, cultura, sistemas y mecanismos de transferencia puede afectar seriamente la disponibilidad e integridad de la información y por consecuencia afectar a la CALIDAD de los servicios o productos que ofrecemos, y por ende impactar negativamente en la IMAGEN de nuestra Compañía.
En respuesta a esta problemática debemos analizar cómo es que se ha desarrollado la cultura de cada una de las empresas involucradas en el proceso de fusión, y esto involucra el analizar como tratan y cumplen las personas con cada una de las políticas, normas y procedimientos, su entendimiento de las regulaciones y su nivel de compromiso en el cumplimiento, y cuál es su enfoque de acuerdo al grupo de interés que ocupe en la organización determinado por niveles de Dirección, Gerencial o Usuarios.
De esa forma podremos construir un modelo de comunicación para poder obtener el apoyo desde la Dirección y Alta Gerencia, la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva implementación. De por sí, ya sabemos que, dentro de esos grandes grupos definidos como Dirección, Gerencias y Usuarios, los intereses de cada uno frente a una fusión son diferentes, por lo que establecer una forma de conectar cada área de interés es INDISPENSABLE en estas situaciones para la salud y sobrevivencia de una Organización.
Sabemos también que desde el negocio se deben tomar acciones coordinadas en cuanto a la preparación de nuestra organización para que responda en forma adecuada a los nuevos requerimientos planteados desde sus objetivos actuales. Para comunicar en forma clara estos objetivos debe entenderse que:
- El Negocio debe comunicar cuáles son sus futuros objetivos, para conseguir el soporte necesario por parte de la Organización, ya sea desde sus áreas administrativas como de sus áreas tecnológicas.
- La organización, desde las diferentes áreas brindará el soporte necesario acorde a los requerimientos del Negocio.
¿Que tener en cuenta entonces? Primordialmente, reconocer y conocer cuáles son los requisitos normativos y regulatorios que impactan en el proyecto de fusión como consecuencia de la unión de ambas empresas, y a partir de allí establecer equipos interdisciplinarios que nos permitan analizar en forma integral todos los aspectos que hacen que nuestro negocio sea exitoso a partir del tratamiento y procesamiento de la información. Áreas comerciales, legales, administrativas, tecnológicas y de seguridad de la información pueden ser los principales actores para definir en forma adecuada para el esclarecer el nuevo entorno del negocio.
Ante una fusión o asociación de empresas debemos pensar que para asegurar cada uno de los procesos de negocio resultantes, sobre todo aquellos que surjan nuevos o adecuados a la nueva organización, deben ser alineados siguiendo los siguientes conceptos:
- Entender que la buena comunicación interna aporta un valor positivo (más que agregado) para cumplir objetivos regulatorios del negocio, claridad en los requerimientos operativos del Negocio y sus procesos manuales y tecnológicos y facilitar la coordinación de los diferentes equipos al establecer roles específicos ante proyectos de respuesta al Negocio.
- Promover con el apoyo de la Alta Gerencia esta comunicación, para que desde cualquier área de la organización puedan establecerse ambientes colaborativos con pautas claras y roles definidos que aporten a la concreción de los objetivos establecido por el Negocio durante todo el proceso de fusión.
- Analizar cada uno de los procesos de uno y otro lado, para poder identificar posibilidades de integración o riesgos de posibles conflictos. Esto nos permitirá obtener las herramientas necesarias para conseguir una mejora de nuestro Negocio desde la integración, y las respuestas correctivas para resolver inconsistencias
- Al iniciar el proyecto identifique una fase de capacitación para el entendimiento de la operación, identificación de intervinientes, alcances y roles dentro del proyecto, necesidades de cumplimiento legal y de negocio, y fundamentalmente las necesidades de servicio por parte de las áreas tecnológicas (IT, redes, comunicaciones) y de seguridad (seguridad de la información, o bien seguridad física y seguridad informática).
- Si bien integrar la cultura de distintas organizaciones siempre es un desafío que afecta en forma directa al negocio, recordar y no perder de vista nuestras políticas debe servir para repasar la documentación asociada a cada uno de los procesos, identificar aquellos “puntos a cubrir” que surgen de los cambios, y establecer la actualización adecuada para la capacitación de cada uno de los integrantes de la organización basados en el entendimiento y la comunicación para reforzar nuestra cultura interna en su nuevo entorno.
- Todas las aplicaciones deben ser previamente analizadas, teniendo en cuenta su administración, operación y control, entradas y salidas de información, posibilidades de importación y exportación de datos, compatibilidad de software de base y posibilidades de upgrade, interfaces existentes y la posibilidad de crear nuevas, haciendo que se mantenga la DISPONIBILIDAD e INTEGRIDAD de la información y CONTINUIDAD de procesamiento.
- Todo el equipamiento debe ser previamente analizado para revisar su dimensionamiento respecto a las nuevas necesidades del Negocio, establecidos sus estándares de configuración de acuerdo con lo indicado por los requisitos regulatorios y normativos e identificar en forma correcta estos componentes dentro de cada uno de los procesos para asegurar protección al Negocio desde la infraestructura de los servicios de IT.
Cada uno de estos aspectos deben ser analizados por un equipo interdisciplinario desde el principio de las negociaciones; esto permitirá que podamos establecer los alcances de impacto en nuestra organización, medir los esfuerzos y establecer la disponibilidad de los recursos financieros, económicos y operativos, establecer las medidas necesarias para mitigar los riesgos de seguridad e integridad de la información, planificar en forma adecuada las futuras implementaciones estableciendo fechas y prioridades acorde a los resultados esperados por el Negocio.
El resultado de esta “sinergia” generada desde la Alta Dirección al propiciar la participación efectiva de los referentes de cada área permitirá que su plan de negocio sea más sólido en su estrategia, recordando que las áreas de seguridad y tecnología son parte de ese plan en el marco empresario actual, brindando a través de ellas calidad y gobernabilidad sobre todos los servicios de IT.
¿A que debemos estar atentos en la transición?
1. Establecer auditorias para la verificación de cumplimiento con el compromiso de seguridad y tratamiento de la información, acorde a la Política de Seguridad de nuestra organización, así como la aceptación de la política mencionada por parte del nuevo personal.
2. Informar sobre todos los cambios de personal que afecten al negocio, así como especificar roles y responsabilidades en el tratamiento de la información, la que deberá ser previamente clasificada y analizar los riesgos y medidas de protección durante todo el proceso.
3. Disponer de procedimientos definidos y aceptados por nuestro socio, para la detección y respuesta de alertas de intrusión, por ejemplo, previendo la notificación por medio de alertas o intrusiones de alto riesgo.
4. Todo sistema, red o conexión externa no operado por nosotros y que interactúe con nuestros sistemas o redes deben estar documentadas y contar con instalaciones y equipamiento previamente analizados y aprobados por nuestra organización.
Estableciendo una relación entre los aspectos legales y de seguridad de nuestro negocio, a veces es conveniente reforzar los contratos comerciales con convenios de confidencialidad, aunque tengan una cláusula de confidencialidad incluida, ya que contienen otros aspectos más amplios a los de una simple cláusula contractual y en él se transcribe la política de acceso a la información involucrada, por ejemplo, por nuestra organización.
Como conclusión, y cuando desde cualquier Unidad de Negocio se planteen estrategias comerciales que resulten en fusiones o convenios de acciones comerciales conjuntas lo primero que debemos preguntarnos es:
¿Invitarías a tu casa a alguien que no conoces? ¿Compartirías tus sueños y proyectos con alguien que no comparte tus "ideas y creencias"?