El término «due diligence» hace referencia a la investigación de una empresa o persona previa a la firma de un contrato con cierta diligencia de cuidado.
Puede tratarse de una obligación legal, pero el término comúnmente es más aplicable a investigaciones voluntarias. Un ejemplo común de "due diligence" en varias industrias es el proceso por el cual un comprador potencial evalúa una empresa objetivo y sus activos de cara a una adquisición.
El due diligence contribuye significativamente a una toma de decisiones informada al optimizar la calidad y cantidad de información disponible de quienes toman decisiones
Ahora bien, cuando hablamos de Cybersecurity Due Diligence, hacemos referencia a la investigación que se le puede llevar a cabo a una compañía o individuo en el ciber espacio con el fin de auditar la seguridad de sus activos de información.
¿En qué consiste la debida diligencia en ciberseguridad?
Esta investigación se concentra en el descubrimiento total de todos los activos de información de la empresa y de la evaluación de todos los sistemas de seguridad usados para proteger dichos activos. Durante ésta investigación, se puede optar por trascender aún más y evaluar la resiliencia de la organización ante un ciber ataque, es decir, su capacidad para superar una circunstancia traumática.
Como componentes de una debida diligencia en materia de ciberseguridad se tiene la adquisición de los logs de incidentes de seguridad, la revisión de los procedimientos para atención de incidentes, la auditoría del software usado en la organización y la revisión de las últimas auditorías de cumplimiento.
Algunas investigaciones podrían enfocarse al análisis forense del tráfico de red de la compañía, previendo así la fuga de datos en curso en el momento de la negociación/adquisición o la detección de la misma desde hace varios años.
¿Por qué hacer la debida diligencia en ciberseguridad?
Según la New York Stock Exchange (NYSE) en una de sus encuestas sobre la fusión y adquisición de compañías con 276 ejecutivos de C-Level, realizada en el año 2016, el 52% de los ejecutivos consideraría seguir con su adquisición pero a un precio más bajo debido a la fuga de información (caso hipotético).
El 22 % de los ejecutivos, que equivale a 60 personas, señalaron que no considerarían adquirir una compañía que recientemente fuera víctima de una fuga de datos de alto nivel que expusiera sus datos en internet.
La debida diligencia holística para una organización
La industria criminal no perdona y cualquier persona natural o jurídica puede ser la siguiente víctima de un acto delictivo perpetrado en muchos casos por personas de confianza. Puntos de interés han sido muchos sobre la debida diligencia para los ejecutivos, como muestra la siguiente figura continuando con la encuesta.
Cada vez la regulación global y normativas locales promueven y obligan al conocimiento de la contraparte y beneficiario final de las operaciones como una de las mejores prácticas para evitar involucrarse en actividades ilegales a nivel corporativo y personal.
Con la debida diligencia en ciberseguridad complementamos el estudio base y logramos entregar mucha más información a los tomadores de decisión para afectar y/o promover el proceso de contratación, fusión o adquisición con/de terceros.
El análisis de reputación en redes sociales y news
En la debida diligencia se contempla investigar a todos los beneficiarios finales de las transacciones, sea de compra, fusión o negociación de productos y servicios desde el punto de vista financiero, tecnológico, estratégico, político, legal, regulatorio, social, ambiental, criminal y ético.
La investigación de la reputación en medios digitales se concentra en diagnosticar el nivel de riesgo asociado a la mala imagen y el impacto que ello podría tener en las relaciones y transacciones de negocios.
Como fuentes de información para nuestro análisis reputacional tenemos las entrevistas, las opiniones de expertos, la investigación periodística, los portales de opinión, redes sociales, foros y bases de datos de registros públicos y privados.
Referencias
(NYSE, 2016) Cybersecurity and the M&A due diligence process. (Marta Cadavid, 2017) Due Diligence Brochure Portfolio.
Julián Ríos,
Certificado en materia de Antifraude y Seguridad de la Información, es el fundador de la firma internacional NF, con base en la ciudad de Medellín, Colombia. También es el creador del software antifraude The Fraud Explorer y DRIFR y apoya a personas y empresas a enfrentar y solucionar sus retos en materia de Ciberseguridad y combate del fraude. Colaborador de Auditool.