Un reciente artículo en Harvard Business Review, “Don’t acquire a company until you evaluate its data security“, advierte a las compañías, a la luz de las importantes responsabilidades económicas derivadas de recientes escándalos de seguridad, de que no lleven a cabo operaciones de adquisición de ninguna empresa a la que no hayan tenido la oportunidad de practicar una cuidadosa auditoría de seguridad – o en caso de hacerlo y sospechar que esas prácticas no han sido históricamente buenas, como mínimo provisionen las posibles responsabilidades que puedan derivarse de ello.

En efecto, la seguridad se está convirtiendo en un tema con cada vez más efectos colaterales, hasta el punto de que podría llegar a ser un determinante sobre posibles operaciones de adquisición, con todo lo que ello conlleva de pérdida de oportunidades. Cada día está más claro que adquirir una compañía que haya sido gestionada anteriormente con prácticas de seguridad poco rigurosas, los llamados data lemons como analogía con esas adquisiciones de vehículos “que salen malos” y que acaban generando una cadena absurda de gastos, puede convertirse en una auténtica pesadilla, en un problema de cara a su integración tecnológica, y en una serie de responsabilidades económicas potencialmente importantes si existen, como suele ocurrir cuando la seguridad no ha sido considerada una prioridad estratégica, usuarios afectados por los problemas derivados de esas posibles malas prácticas.

Cada vez son más los problemas de seguridad que se saldan con denuncias colectivas y con la exigencia de responsabilidades económicas a las compañías que los sufrieron. Visto así, la posibilidad de adquirir una compañía en función de unas determinadas sinergias o de una cierta complementariedad estratégica puede llegar a convertirse en un problema si termina generando la necesidad de indemnizar a un determinado número de usuarios. Por otro lado, incluir una auditoría de seguridad en el proceso de due diligence puede generar numerosos problemas, porque exige abrir todos los procesos de la compañía a un tercero con un nivel de detalle extremadamente elevado, lo que obligaría, posiblemente, a introducir a un agente de confianza que proporcionase únicamente el resultado de la auditoría, sin entrar en detalles, hasta que la empresa adquirente tome una decisión.

Cada día más, la seguridad se convierte ya no en una cuestión reservada a departamentos de IT, sino en una serie de prácticas globales que afectan a todos los empleados de una compañía. Una cultura de seguridad razonable, con un equilibrio razonable entre comodidad y buenas prácticas, es cada día más esencial, y no parte únicamente de decisiones tomadas en un departamento, sino del desarrollo de una auténtica cultura de la seguridad. Y ahora, puede incluso convertirse en un limitante de las opciones estratégicas que, en un momento dado, pueda tener disponibles tu compañía.

This post is also available in English in my Medium page, “The repercussions of poor security for a company can be extensive… and expensive“