Cyber en la Due Diligence

Durante la Due Diligence (DD) se realiza un análisis exhaustivo de la empresa con el objetivo de disponer de una visión y comprensión plena de la empresa objetivo la cual generalmente se extiende a todas las áreas de negocio. Es vital, por tanto, conocer los riesgos que existen en la organización, pues en esta fase todavía se pueden detectar y gestionar contingencias que podrían ser capitales para el buen éxito de la operación asumiendo unos costes relativamente razonables.

La materialización de un ciberataque puede afectar a la imagen corporativa, a los resultados financieros y a las responsabilidades exigidas a Consejeros y Delegados, por lo que debe figurar en la agenda de los consejos de administración. Ante esta realidad, cabe preguntarse lo siguiente: ¿tiene sentido obviar en un proceso M&A el CiberRiesgo? La respuesta es un rotundo no: El CiberRiesgo está considerado un riesgo sistémico para una gran mayoría de industrias, con independencia de su tamaño. Obviar este riesgo no sólo pone en peligro todo el proceso de M&A, sino que deja activada una granada oculta en el terreno de la empresa adquiriente. 

Acciones clave durante la Cyber DD

Durante la DD, es necesario realizar las siguientes actividades para poder disponer de una visión completa desde el punto de vista del CiberRiesgo:

1)  Análisis externo: análisis del entorno y susceptibilidad al CiberRiesgo por tipología de industria y modelo de negocio. El objetivo es ver en qué terreno de juego participa la empresa y a qué tipología de CiberRiesgos está más expuesta.

2)  Evaluación interna de la empresa objetivo: Análisis del As-Is en ciberseguridad o, dicho de otra manera, análisis de los controles clave para evaluar la robustez de la empresa objetivo.  Dichos controles también deben también garantizar el cumplimiento de la regulación aplicable. Hay que tener en cuenta que, si la compañía no dispone de los controles suficientes, deberemos considerar inversiones adicionales durante la fase de transacción.

3)  Cuantificación financiera: Con los resultados de las evaluaciones anteriores estamos en disposición de realizar un análisis y cuantificación financiera del CiberRiesgo que debe considerar, como mínimo, los escenarios de riesgo más relevantes por la naturaleza de la empresa objetivo. Como resultado de este análisis debemos obtener la cuantía económica actual del CiberRiesgo.

4)  Evaluación de la transferencia del riesgo: Evaluación de las coberturas y límites actuales de acuerdo a los riesgos identificados. En caso de ataque exitoso, se pueden activar múltiples pólizas (Cyber, Fraude, D&O, …). Realizar un análisis de coberturas es vital para garantizar la reducción del impacto financiero en caso de ciberataque.

Los tiempos de ejecución en la DD son, a menudo, muy restrictivos (del orden de semanas o incluso días). Contar con un equipo experto con amplio conocimiento y experiencia práctica en todo el ciclo de Cyber DD es vital para el éxito del proceso.

Marsh Cyber DD

En Marsh hemos desarrollado una metodología específica de Cyber DD que es válida tanto para el comprador como para el vendedor. Esta metodología utiliza herramientas de análisis, huella digital y formatos estándares tales como entrevistas y revisión de documentación aplicadas para analizar y cuantificar financieramente el CiberRiesgo desde dos ópticas diferentes:

  • Evaluación de la gestión mediante la mitigación del riesgo: Estrategia y Gobierno, Modelo Operativo, Arquitectura, Detección, Respuesta y Recuperación.
  • Evaluación de la gestión mediante la transferencia del riesgo: evaluación de pólizas que pueden activarse ante un ciberataque (Cyber, fraude, D&O, …)

Autores

Image placeholder

Nelia Argaz

Cyber Risk Co-Practice Leader, Continental Europe, Marsh Advisory.

  • Spain

Image placeholder

Javier Goizueta

Director del Departamento de Private Equity, M&A

  • Spain