Ante la incertidumbre económica, las organizaciones buscan nuevas formas de mitigar la volatilidad del negocio. Una forma, por ejemplo, es buscar fusiones o adquisiciones, que pueden diversificar la cartera de productos y reducir las amenazas competitivas. Una fusión o adquisición también puede ayudar a la parte compradora a añadir más talento técnico y acelerar la transformación digital.
Sin embargo, las empresas que emprenden fusiones y adquisiciones pueden tener que hacer frente a importantes riesgos en materia de ciberseguridad a lo largo del ciclo de la operación. Las integraciones que utilizan la fusión tradicional de redes pueden dar lugar a sistemas ineficaces y redundantes, y poner en peligro los recursos y los datos. Por el contrario, una integración informática moderna de un proceso de fusión o adquisición que aplique los principios de Zero Trust puede tener un efecto multiplicador para:
Minimizar los riesgos en lo que respecta a la informática, la seguridad y la conformidad.
Reducir los costes y mejorar la productividad.
Acelerar la implantación de tecnologías transformadoras.
En un proceso de fusión o adquisición, las decisiones previas en materia de ciberseguridad de cada organización y los sistemas informáticos subyacentes afectan a la otra empresa. Los atacantes se pueden dirigir a los datos de la empresa que se adquiere u objeto de la desinversión como forma de acceder a la empresa compradora más grande.
Tomemos como ejemplo la advertencia de la Oficina Federal de Investigación (FBI) de Estados Unidos sobre los grupos de ransomware que se aprovechan de las fusiones y adquisiciones. Los ciberdelincuentes lanzan malware troyano para identificar, sobre todo, información no pública que podría (si se publicara) paralizar un acuerdo, y luego utilizan los datos como moneda de cambio.
Uno de cada tres ejecutivos responsables de los procesos de fusiones y adquisiciones en organizaciones compradoras ha experimentado fugas de datos "que pueden atribuirse a la integración durante una fusión o adquisión". Un factor clave es la ampliación de la superficie de ataque. Como parte del proceso, los archivos y los datos confidenciales se comparten digitalmente con un gran número de terceros. En un caso relacionado con la adquisición de Graduation Alliance Inc. por valor de 130 millones de dólares, los ciberdelincuentes vulneraron las direcciones de correo electrónico del bufete de abogados especializado en fusiones y adquisiciones para desviar y robar pagos destinados a los accionistas.
Incluso las integraciones informáticas "completadas" conllevan riesgos, tales como:
Vulnerabilidades latentes: si las posturas de seguridad no son idénticas en el momento de la integración, una podría afectar negativamente a la otra. Por ejemplo, los ciberdelincuentes ya habían vulnerado el sistema de reservas de Starwood antes de que Marriott adquiriera la red de hoteles Starwood. La fuga pasó desapercibida durante dos años, durante los cuales 500 millones de registros de clientes quedaron expuestos.
Shadow IT: los empleados de la empresa fusionada tardan un tiempo en familiarizarse con los nuevos procesos y herramientas integrados. Durante esta transición, algunos empleados o departamentos pueden implementar aplicaciones no autorizadas, o incumplir las nuevas políticas informáticas.
Implicaciones normativas: si alguna de las dos empresas se encuentra en una región o sector diferente, con una normativa más estricta en materia de privacidad de datos, habrá que extremar las precauciones para garantizar el cumplimiento de la normativa sobre intercambio de datos. Por ejemplo, la Ley de Protección de la Información Personal (PIPL) de China tiene ciertos requisitos de notificación y consentimiento para la transferencia de datos personales en casos de fusión y adquisición. El incumplimiento puede dar lugar a sanciones a partir de un 1 millón de yuanes (aproximadamente 149 000 dólares).
Estudios anteriores han revelado que entre el 70-90 % de las adquisiciones fracasan. Las organizaciones que se preparan para las nuevas ciberamenazas y gestionan con éxito la integración informática durante un acuerdo pueden evitar engrosar la estadística (fallida) de fusiones y adquisiciones.
En una fusión informática tradicional, las organizaciones intentan conectar a los usuarios con todos los recursos de las dos empresas que se fusionan. Esta práctica sigue el modelo de seguridad perimetral (en el que nadie de fuera de la red puede acceder a los datos de dentro, pero todos los de dentro de la red sí pueden hacerlo).
Por ejemplo, podrían utilizar firewalls para que el tráfico pasara entre las dos redes o fusionar dos redes en un punto de conexión provisional (es decir, el uso de la conmutación de etiquetas multiprotocolo — MPLS — para conectar centros de datos). También podrían añadir nuevas redes privadas virtuales (VPN) para conceder acceso seguro a nuevos usuarios. En el pasado, estas medidas eran suficientes porque las aplicaciones empresariales se alojaban localmente dentro de los centros de datos, y los empleados trabajaban casi siempre presencialmente.
Sin embargo, en los lugares de trabajo modernos, los empleados de la "empresa A" compradora y de la "empresa B" adquirida necesitan opciones para conectarse de forma segura a una combinación casi infinita de aplicaciones y redes SaaS alojadas en la nube, desde cualquier dispositivo y desde cualquier lugar. Sin embargo, si cualquiera de esos usuarios o dispositivos estuviera en riesgo, el atacante podría atravesar las defensas.
En otras palabras, cuando los entornos de trabajo híbridos convergen durante una fusión y adquisición, un enfoque tradicional basado en el perímetro es insuficiente.
Sin embargo, los responsables de informática y seguridad de hoy día tienen la oportunidad de reescribir el manual de estrategias de la integración informática en los procesos de fusión y adquisición. Un enfoque moderno basado en el modelo de seguridad Zero Trust garantiza que todo el tráfico que entra y sale de la empresa se verifica y autoriza.
Por ejemplo, durante la integración, los recursos se pueden proteger con el acceso a la red Zero Trust (ZTNA), que es la tecnología que permite implementar la seguridad Zero Trust. Entre las ventajas de ZTNA, se incluyen:
La reducción del riesgo de amenazas, tales como el robo de credenciales y el phishing, gracias a la autenticación multifactor. Además, la microsegmentación (un componente Zero Trust) también minimiza los riesgos si se produce un ataque, ya que limita la fuga a una peque ña zona.
La integración con numerosos proveedores de identidad simultáneamente, lo que acelera la autenticación para usuarios externos (es decir, empleados y contratistas de la "empresa B"), y permite la autenticación desde diversas cuentas corporativas o personales.
La autorización del acceso en función de la identidad y el contexto del usuario, con políticas universales y granulares, y protección de activos internos sin añadir nuevas conexiones VPN poco seguras.
El uso de Zero Trust facilita el acceso interno sin la complejidad de integrar redes, garantiza una incorporación más rápida de los empleados durante la transición y protege el acceso de todos los usuarios desde el primer día. Todo ello ayuda a las organizaciones a conseguir más rápido los beneficios de una fusión, y en las fusiones y adquisiciones, el tiempo es dinero.
Cuando dos empresas se fusionan, la presión para obtener un retorno de la inversión inmediato es inmensa. El análisis de Bain & Co. (basado en el seguimiento de la actividad de fusiones y adquisiciones durante 10 años) reveló que el 70 % de las integraciones de procesos y sistemas fracasan al principio, no al final: "La velocidad importa mucho. De hecho, según nuestras estimaciones, más de la mitad de las sinergias empresariales suelen depender de la integración de sistemas. Una integración más rápida de los sistemas permite una realización más rápida de esas sinergias de ingresos y costes y una aplicación precoz de las nuevas capacidades tecnológicas, así como la capacidad de mostrar una sola entidad al cliente".
Sin embargo, intentar combinar los sistemas corporativos con una fusión de red tradicional plantea varios desafíos:
Largos periodos de integración. Los pasos de la implementación se pueden prolongar durante meses para abordar, por ejemplo, posibles problemas de incompatibilidad y escalabilidad de la red, solapamientos de direcciones IP y otras complejidades informáticas.
Aumento de los gastos generales derivados de la gestión de sistemas independientes, el mantenimiento de aplicaciones obsoletas (o redundantes) y una mayor deuda técnica (el hardware heredado casi siempre requiere más gastos generales para mantener las operaciones).
Menor productividad, ya que hay que invertir tiempo añadiendo, configurando y manteniendo nuevas VPN. Además, en el caso de los trabajadores remotos, el uso de VPN basadas en la nube añadiría latencia a cada solicitud entre los usuarios y la red.
ZTNA, como capa de agregación en torno a todas las aplicaciones, permite a todos los usuarios acceder de forma segura a los recursos autorizados, al tiempo que simplifica la implementación. Por ejemplo, ZTNA:
Facilita el acceso a nuevos usuarios y dispositivos que se conectan a los recursos de ambas empresas y a los datos almacenados tanto dentro como fuera de la red (p. ej., entornos de nube diferentes). En muchos casos, no se necesita ningún software para el usuario final.
Mantiene la productividad y la conectividad de los empleados, un factor esencial si se tiene en cuenta que las fusiones suelen afectar temporalmente al rendimiento y la permanencia de los empleados. Zero Trust ofrece comprobaciones de seguridad menos intrusivas, flujos de trabajo de autenticación sencillos y una incorporación/desvinculación más rápida de los empleados.
Mejora la eficiencia tecnológica, ya que sustituye los servicios de seguridad redundantes por una plataforma Zero Trust basada en la nube. También reduce el esfuerzo necesario para adquirir y proteger nuevas infraestructuras (o solucionar vulnerabilidades en sistemas heredados) y evita los puntos conflictivos en torno a la información privada.
Según una encuesta realizada por Deloitte en enero de 2023, es probable que casi la mitad de los profesionales dedicados a los procesos de fusiones y adquisiciones lleven a cabo una desinversión (la venta o escisión de una línea de productos, división o filial) en los próximos 12 meses. Sin embargo, al igual que otras estrategias de fusiones y adquisiciones, las desinversiones también aumentan la posibilidad de que los atacantes intenten acceder a datos confidenciales y secretos comerciales. Además, elevan también la probabilidad de configuraciones erróneas y vulnerabilidades en la transición de los activos informáticos.
En una desinversión, la empresa objeto de la escisión tiene la oportunidad de modernizarse. La tecnología ZTNA es oportuna para que la empresa objeto de la escisión la implemente durante el periodo de transición informática, tanto para minimizar la deuda técnica como para reducir la complejidad de la propia transición. Como ZTNA verifica cada solicitud individual, elimina el movimiento lateral de los atacantes. Las aplicaciones y los usuarios de la empresa cedida también se pueden desvincular de forma eficiente gracias a las políticas granulares de acceso Zero Trust. De esta forma, se agiliza la separación lógica de los dos negocios resultantes y ayuda a cumplir a tiempo los términos del acuerdo de separación.
Los analistas de IDC reconocen a Cloudflare como líder en su análisis del mercado de ZTNA. "Valoramos la estrategia agresiva de productos de Cloudflare para satisfacer las necesidades de seguridad de las empresas", así como su capacidad para "ayudar a las empresas en diversas etapas de la implementación Zero Trust", cita IDC.
Cloudflare es el camino más fácil para simplificar la integración informática con Zero Trust, lo que hace que la protección de las aplicaciones esenciales y los grupos de usuarios de alto riesgo (como empleados y proveedores de la empresa adquirida) sea más eficiente desde el primer día". Además, ofrece la ventaja de ampliar la tecnología ZTNA nativa de Internet al resto de la empresa a medida que crece, sin apenas esfuerzo.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Lee el informe "2023 IDC MarketScape for ZTNA" para acceder al análisis detallado del mercado de ZTNA y ver la comparativa de Cloudflare con los 17 proveedores incluidos.
Después de leer este artículo podrás entender:
Los riesgos cibernéticos comunes asociados a las fusiones y adquisiciones
La complejidad de la integración informática tradicional
Los beneficios de aplicar la seguridad Zero Trust
Optimización de la integración informática en los procesos de fusión y adquisición
¿Por qué es necesario un enfoque Zero Trust para garantizar un ecosistema informático seguro?