La adquisición por parte de Marriott de la cadena internacional Starwood Hotels & Resorts es un buen ejemplo del impacto que pueden tener los errores en la fase de las comprobaciones debidas relacionadas con la ciberseguridad. El acuerdo anunciado en 2016, que creó una de las mayores cadenas hoteleras del mundo, proporcionó a los clientes de Marriott y Starwood acceso a más de 5.500 hoteles en 100 países. Sin embargo, un fallo en las comprobaciones debidas durante el proceso de fusión y adqusición provocó que Marriott no supiera que los sistemas de Starwood habían sufrido una vulneración de seguridad en 2014. Cuando, en noviembre de 2018, Marriott finalmente descubrió la violación de seguridad no detectada en la base de datos de reservas de huéspedes de Starwood, solo pudo constatar que los datos personales de 500 millones de huéspedes en todo el mundo habían sido expuestos.
La Oficina del Comisionado de Información del Reino Unido (ICO) impuso a Marriott International una multa de 99 millones de libras esterlinas por la vulneración del Reglamento General de Protección de Datos. En su informe, el organismo regulatorio señaló que Marriott no había realizado todas las comprobaciones necesarias cuando compró Starwood y que debería haber hecho un mayor esfuerzo por proteger sus sistemas.
Comprobaciones debidas de ciberseguridad
Por tanto, las comprobaciones debidas de ciberseguridad (o “ciberdiligencia”) no deben reservarse solo para las fusiones y adquisiciones de mayor envergadura. Resulta fundamental realizar una auditoría y evaluación detallada de la ciberseguridad para detectar cualquier punto débil crítico que pueda afectar al acuerdo. Sin duda, este proceso será la base para unir los sistemas de las dos empresas y promover una mayor seguridad en el futuro.
Sin una visibilidad adecuada de todos los puntos finales, dispositivos y aplicaciones –junto con políticas de acceso rigurosas que garanticen que solo los usuarios autorizados puedan acceder a los datos confidenciales– es difícil mantener un nivel de seguridad adecuado. Por este motivo, es muy importante llevar a cabo una evaluación de todos los sistemas de TI y los puntos finales de la red de la empresa, de tal forma que se alineen los departamentos de TI de las dos empresas para abordar riesgos como amenazas internas, posibles incumplimientos y cualquier otro riesgo de infiltración externa que pueda afectar a las estrategias de gestión y protección de datos en vigor.
En definitiva, las empresas que están involucradas en procesos de fusión y adquisición deben tener una visibilidad completa sobre sus propios sistemas, así como los de las empresas con las que van a integrarse, si quieren dar a la seguridad la atención que merece durante un proceso de este tipo.
Por ejemplo, si un usuario no autorizado con acceso administrativo está haciendo solicitudes de datos en una base de datos con información de los clientes, la empresa compradora debe solucionar prioritariamente ese problema de seguridad. Para ello hará falta revisar todas las políticas relacionadas con la seguridad en ambas compañías y analizar los sistemas y datos que pueden convertirse en objetivos.
Por qué vale la pena investigar a fondo
Los ciberriesgos son una amenaza cada vez mayor para las empresas actuales. La realización de procesos detallados de comprobaciones debidas en materia de ciberseguridad durante las fusiones y adquisiciones no solo permite comprender plenamente el potencial de ciberriesgos de las empresas involucradas en la operación, sino que también proporciona una visión crítica necesaria sobre cómo difieren las estrategias de seguridad de ambas compañías. Solucionar las brechas es fundamental para garantizar que la integración de ambas infraestructuras de TI podrá realizarse de forma rápida y sin riesgos.
Cualquier operación de fusión y adquisición implica un proceso de comprobaciones debidas complejo y detallado; en definitiva, cuanto más fluidos sean los procesos de integración, mayor será el éxito de la operación. Sin embargo, la combinación de personas, sistemas y procesos a menudo crea nuevos riesgos y vías de ataque. Para que las compañías puedan gestionar con éxito la seguridad de la información en el nuevo entorno, deben comprender primero todos los riesgos potenciales y considerar la seguridad como parte de sus actividades previas y posteriores al cierre del acuerdo. En última instancia, la protección de la reputación y los resultados previstos de cualquier operación de fusiones y adquisiciones depende de la comprensión de dónde se encuentran los posibles obstáculos.
Anurag Kahol, director técnico de Bitglass