Simplificar y proteger las fusiones y adquisiciones
Cómo lograr una integración informática más rápida y modernizada
El panorama de las fusiones y adquisiciones
Ante la incertidumbre económica, las organizaciones buscan nuevas formas de mitigar la volatilidad del negocio. Una forma, por ejemplo, es buscar fusiones o adquisiciones, que pueden diversificar la cartera de productos y reducir las amenazas competitivas. Una fusión o adquisición también puede ayudar a la parte compradora a añadir más talento técnico y acelerar la transformación digital.
Sin embargo, las empresas que emprenden fusiones y adquisiciones pueden tener que hacer frente a importantes riesgos en materia de ciberseguridad a lo largo del ciclo de la operación. Las integraciones que utilizan la fusión de redes tradicional pueden dar lugar a sistemas ineficaces y redundantes, y poner en riesgo los recursos y los datos. Por el contrario, una integración informática moderna de un proceso de fusión o adquisición que aplique los principios de Zero Trust puede tener un efecto multiplicador para:
Minimizar los riesgos en lo que respecta a la informática, la seguridad y la conformidad.
Reducir los costes y mejorar la productividad.
Acelerar la implantación de tecnologías transformadoras.
Riesgos informáticos comunes
En un proceso de fusión o adquisición, las decisiones previas en materia de ciberseguridad de cada organización y los sistemas informáticos subyacentes afectan a la otra empresa. Los atacantes se pueden dirigir a los datos de la empresa que se adquiere u objeto de la desinversión como forma de acceder a la empresa compradora más grande. Por ejemplo, los atacantes podrían lanzar un malware troyano para identificar específicamente información no disponible públicamente que podría (si se publicara) impedir un acuerdo, y luego utilizar los datos como medio de presión para extorsionar dinero.
Las organizaciones que realizan la adquisición suelen sufrir fugas de datos que pueden atribuirse a la actividad de fusiones y adquisiciones durante la integración. Un factor clave es la ampliación de la superficie de ataque. Como parte del proceso, los archivos y los datos confidenciales se comparten digitalmente con un gran número de terceros.
Incluso las integraciones informáticas "completadas" conllevan riesgos, tales como:
Vulnerabilidades latentes: si las posturas de seguridad no son idénticas en el momento de la integración, una podría afectar negativamente a la otra. Por ejemplo, los ciberdelincuentes ya habían vulnerado el sistema de reservas de Starwood antes de que Marriott adquiriera la red de hoteles Starwood. La fuga pasó desapercibida durante dos años, durante los cuales 500 millones de registros de clientes quedaron expuestos.
Shadow IT: los empleados de la empresa adquirida tardan un tiempo en familiarizarse con los nuevos procesos y herramientas integrados. Durante esta transición, algunos empleados o departamentos pueden implementar aplicaciones no autorizadas, o incumplir las nuevas políticas informáticas.
Implicaciones normativas: si alguna de las dos empresas se encuentra en una región o sector diferente, con una normativa más estricta en materia de privacidad de datos, habrá que extremar las precauciones para garantizar el cumplimiento de la normativa sobre intercambio de datos. Por ejemplo, la Ley de Protección de la Información Personal (PIPL) de China tiene ciertos requisitos de notificación y consentimiento para la transferencia de datos personales en situaciones de fusiones y adquisiciones. El incumplimiento puede dar lugar a sanciones que comienzan en 1 millón de yuanes (aproximadamente 149 000 dólares).
Un estudio revela que el 70–75 % de las adquisiciones fracasan. Las organizaciones que se preparan para las nuevas ciberamenazas y gestionan con éxito la integración informática durante un acuerdo pueden evitar convertirse en otra estadística (fallida) de fusiones y adquisiciones.
Cómo reducir el riesgo informático de las fusiones y adquisiciones
En una fusión informática tradicional, las organizaciones intentan conectar a los usuarios con todos los recursos de las dos empresas que se fusionan. Esta práctica sigue el modelo de seguridad perimetral (en el que nadie de fuera de la red puede acceder a los datos de dentro, pero todos los de dentro de la red sí pueden hacerlo).
Por ejemplo, podrían utilizar firewalls para que el tráfico pasara entre las dos redes o fusionar dos redes en un punto de conexión provisional (es decir, el uso de la conmutación de etiquetas multiprotocolo — MPLS — para conectar centros de datos). También podrían añadir nuevas redes privadas virtuales (VPN) para conceder acceso seguro a nuevos usuarios. En el pasado, estas medidas eran suficientes porque las aplicaciones empresariales se alojaban localmente dentro de los centros de datos, y los empleados trabajaban casi siempre presencialmente.
Sin embargo, en los lugares de trabajo modernos, los empleados de la "empresa A" compradora y de la "empresa B" adquirida necesitan opciones para conectarse de forma segura a una combinación casi infinita de aplicaciones y redes SaaS alojadas en la nube, desde cualquier dispositivo y desde cualquier lugar. Sin embargo, si cualquiera de esos usuarios o dispositivos estuviera en riesgo, el atacante podría atravesar las defensas.
En otras palabras, cuando los entornos de trabajo híbridos convergen durante una fusión y adquisición, un enfoque tradicional basado en el perímetro es insuficiente.
Sin embargo, los responsables de informática y seguridad de hoy día tienen la oportunidad de reescribir el manual de estrategias de la integración informática en los procesos de fusión y adquisición. Un enfoque moderno basado en el modelo de seguridad Zero Trust garantiza que todo el tráfico que entra y sale de la empresa se verifica y autoriza.
Por ejemplo, durante la integración, los recursos se pueden proteger con el acceso a la red Zero Trust (ZTNA), que es la tecnología que permite implementar la seguridad Zero Trust. Entre las ventajas de ZTNA, se incluyen:
La reducción del riesgo de amenazas, tales como el robo de credenciales y el phishing, gracias a la autenticación multifactor. Además, la microsegmentación (un componente del modelo de seguridad Zero Trust) también minimiza los riesgos si se produce un ataque, ya que limita la fuga a una pequeña zona.
La integración con numerosos proveedores de identidad simultáneamente, lo que acelera la autenticación para usuarios externos (es decir, empleados y contratistas de la "empresa B"), y permite la autenticación desde diversas cuentas corporativas o personales.
La autorización del acceso en función de la identidad y el contexto del usuario, con políticas universales y granulares, y protección de activos internos sin añadir nuevas conexiones VPN poco seguras.
El uso de Zero Trust facilita el acceso interno sin la complejidad de integrar redes, garantiza una incorporación más rápida de los empleados durante la transición y protege el acceso de todos los usuarios desde el primer día. Todo ello ayuda a las organizaciones a conseguir más rápido los beneficios de una fusión, y en las operaciones de fusiones y adquisiciones, el tiempo es dinero.
La rapidez es fundamental
Cuando dos empresas se fusionan, la presión para obtener un retorno de la inversión inmediato es inmensa. Sin embargo, intentar combinar los sistemas corporativos con una fusión de red tradicional plantea varios desafíos:
Sin embargo, intentar combinar los sistemas corporativos con una fusión de red tradicional plantea varios desafíos:
Largos periodos de integración. Los pasos de la implementación se pueden prolongar durante meses para abordar, por ejemplo, posibles problemas de incompatibilidad y escalabilidad de la red, solapamientos de direcciones IP y otras complejidades informáticas.
Aumento de los gastos generales derivados de la gestión de sistemas independientes, el mantenimiento de aplicaciones obsoletas (o redundantes) y una mayor deuda técnica (el hardware heredado casi siempre requiere más gastos generales para mantener las operaciones).
Menor productividad, ya que hay que invertir tiempo añadiendo, configurando y manteniendo nuevas VPN. Además, en el caso de los trabajadores remotos, el uso de VPN basadas en la nube añadiría latencia a cada solicitud entre los usuarios y la red.
Como capa de agregación en torno a todas las aplicaciones, ZTNA proporciona acceso seguro para todos los usuarios a los recursos autorizados al tiempo que simplifica la implementación. Por ejemplo, ZTNA:
Facilita el acceso a nuevos usuarios y dispositivos que se conectan a los recursos de ambas empresas y a los datos almacenados tanto dentro como fuera de la red (p. ej., entornos de nube diferentes). En muchos casos, no se necesita ningún software para el usuario final.
Garantiza la productividad y la conectividad de los empleados, un factor esencial si se tiene en cuenta que las fusiones suelen afectar temporalmente al rendimiento y a la permanencia de los empleados. Zero Trust ofrece comprobaciones de seguridad menos intrusivas, flujos de trabajo de autenticación sencillos y una incorporación / desvinculación más rápida de los empleados.
Mejora la eficiencia tecnológica, ya que sustituye los servicios de seguridad redundantes por una plataforma Zero Trust basada en la nube. También reduce el esfuerzo necesario para adquirir y proteger nuevas infraestructuras (o solucionar vulnerabilidades en sistemas heredados) y evita los puntos conflictivos en torno a la información privada.
También para desinversiones
Según una encuesta realizada por Deloitte en enero de 2023, casi la mitad de los profesionales dedicados a las operaciones de fusiones y adquisiciones se mostraban dispuestos a llevar a cabo una desinversión (la venta o escisión de una línea de productos, división o filial) en los próximos 12 meses. Sin embargo, al igual que otras estrategias de fusiones y adquisiciones, las desinversiones también aumentan la posibilidad de que los atacantes intenten acceder a datos confidenciales y secretos comerciales. Además, elevan también la probabilidad de configuraciones erróneas y vulnerabilidades en la transición de los activos informáticos.
En una desinversión, la empresa objeto de la escisión tiene la oportunidad de modernizarse. La tecnología ZTNA es oportuna para que la empresa objeto de la escisión la implemente durante el periodo de transición informática, tanto para minimizar la deuda técnica como para reducir la complejidad de la propia transición. Como ZTNA verifica cada solicitud individual, elimina el movimiento lateral de los atacantes. Las aplicaciones y los usuarios de la empresa transferida también se pueden desvincular de forma eficiente gracias a las políticas granulares de acceso Zero Trust. De esta forma, se agiliza la separación lógica de los dos negocios resultantes y ayuda a cumplir a tiempo los términos del acuerdo de separación.
Simplificar y proteger las fusiones y adquisiciones
Cloudflare es el camino más fácil para simplificar la integración informática con Zero Trust, lo que hace que sea eficiente proteger las aplicaciones críticas y los grupos de usuarios de alto riesgo (como los empleados y los contratistas de la empresa adquirida) desde el primer día y, a continuación, ampliar sin esfuerzo el acceso a la red Zero Trust nativo de Internet al resto de la empresa a medida que crece.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Lee "El proceso de sustitución de las VPN" para saber cómo modernizar el acceso remoto por fases y optimizar la incorporación de empleados durante las operaciones de fusiones y adquisiciones.
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Los riesgos cibernéticos comunes asociados a las fusiones y adquisiciones
La complejidad de la integración informática tradicional
Los beneficios de aplicar la seguridad Zero Trust
Recursos relacionados
Optimiza la integración informática durante las fusiones y adquisiciones
¿Por qué es necesario un enfoque Zero Trust para garantizar un ecosistema informático seguro?