As vulnerabilidades cibernéticas podem comprometer consideravelmente o valor de um negócio. À medida que ameaças cibernéticas evoluem em número e complexidade, a cibersegurança se torna um elemento cada vez mais crítico de processos de due diligence para M&As (mergers and acquisitions), como meio de proteção contra possíveis danos financeiros e reputacionais futuros. Um processo de due diligence, uma das primeiras etapas de projetos de fusões e aquisições, que envolva uma auditoria ou avaliação cibernética bem executada é fundamental para o êxito de acordos entre organizações.
O que é a due diligence de segurança cibernética?
Uma due diligence de segurança cibernética é o processo de avaliação e identificação de riscos cibernéticos em todo o ambiente digital de uma organização. O intuito é obter uma visão completa das falhas e dos riscos existentes na segurança cibernética para que possam ser tratados e remediados.
Por que a cibersegurança é um fator essencial?
Basicamente, para que uma empresa saiba a responsabilidade digital que está adquirindo no projeto, que, do contrário, pode resultar em enormes prejuízos. Em operações de fusões e aquisições, o mapeamento e histórico de riscos (passivos e ativos) torna-se um aspecto importante na análise de sinergias entre os negócios. A segurança cibernética é um elemento chave na análise da quantidade de risco que a empresa compradora terá de assumir após uma aquisição. Portanto, o objetivo central da diligência é identificar quaisquer riscos que possam afetar diretamente as partes envolvidas depois de efetivada a transação.
Ao adquirir uma empresa, você adquire também os dados e informações dela, e consequentemente, pode herdar as falhas cibernéticas, que podem ter um impacto significativo no valor da empresa. Com uma aquisição, o comprador se torna responsável pela segurança digital, dos ativos digitais, dos dados da empresa, tanto do passado quanto do futuro. Como exemplo, há o famoso caso da aquisição da Yahoo pela Verizon, em 2017, onde o preço da compra foi reduzido em US$350 milhões, devido a incidentes cibernéticos ocorridos entre 2013 e 2014.
Realizar a due diligence cibernética durante um processo de M&A efetivamente evita possíveis transtornos futuros, permite identificar e tratar de riscos potenciais antes da concretização do negócio, além de ser usada para estabelecer benchmarks que podem ser aplicados na avaliação de novos investimentos. É importante utilizar uma abordagem baseada em risco ao realizar o processo para a diligência cibernética, visto que isso propicia uma melhor análise e identificação dos deal-breakers no negócio.
A lacuna em processos de fusões e aquisições:
Um ciberataque é um sério risco operacional, que pode afetar o valor de uma empresa de diversas formas. Apesar dos riscos, os executivos operadores de fusões e aquisições, tradicionalmente, tendem a negligenciar a questão da segurança cibernética ao avaliar e adquirir empresas. Eles são adeptos no que diz respeito aos aspectos financeiros e legais de due diligence, e até mesmo o contexto de TI da empresa visada. A realidade é que a segurança cibernética é um campo muito especializado. Contudo, na era digital, a diligência cibernética precisa ser parte de qualquer transação. A diligência cibernética permite avaliar com precisão os ativos digitais de uma empresa e, consequentemente, o negócio como um todo.
Referências: grantthornton.co.uk e securityscorecard.com
