Inversores exigen cada vez más requisitos antes de invertir en emprendimientos y afirman que la fortaleza en ciberseguridad incide en el valor de venta de las empresas
Ciberseguridad
Las preocupaciones en materia de ciberseguridad adquieren cada vez más relevancia en las transacciones de fusiones y adquisiciones de las empresas y startups de Uruguay y afectan el valor de venta de las compañías.
Según diferentes expertos en ciberseguridad consultados por El Observador, este tema tiene una significativa incidencia al momento de evaluar la concreción de una fusión y/o adquisición.
“El comprador evaluará su exposición” a los riesgos de ciberseguridad a los que se enfrenta, “y por lo tanto, es razonable pensar que de concretarse la operación, el precio descontará el riesgo asumido”, explicó Ana Lucero, referente de ciberseguridad de la Cámara Uruguaya de Tecnologías de la Información (CUTI) y CEO de Tilo Cybersecurity Services.
Si bien depende del tipo de startup de la que se trate, en términos generales, Lucero explicó que algunos de los aspectos que los compradores evalúan son: políticas y procedimientos relacionados a seguridad de la información, así como también la gestión en ciberseguridad en la cadena suministro (a nivel de contratos con proveedores críticos), el riesgo a nivel de contratos con clientes evaluando qué tipo de obligaciones contrajo la empresa en materia de ciberseguridad, privacidad, protección de datos, propiedad intelectual, entre otros.
También se concentran en aspectos de cumplimiento con la normativa aplicable a la empresa, ya sea nacional o internacional, las que varían según las jurisdicciones en las que opera, como leyes de protección de datos y contar con un delegado de protección de datos
De acuerdo con Rafael Pereira, Cybersecurity Manager de PwC Uruguay, hay tres puntos clave que el inversor procura que la startup tenga cubiertos en su “innovación potencial que no es más que el resguardo del core (la actividad principal) del negocio, sea un producto o servicio y que el mismo, por su potencial innovador, no haya filtrado información al mercado o a terceras partes interesadas o posibles competencias”.
En líneas generales, esos tres puntos mencionados por Pereira tienen que ver con que la startup tenga cubierto el cumplimiento de buenas prácticas (gestión de activos, riesgos, contratos adecuados con el personal vinculado con acuerdo de confidencialidad, medidas preventivas adecuadas); en segundo lugar, con metodologías y procedimientos de respuesta a incidentes de ciberseguridad, incluido procesos de contención ante un ciberataque, con información sobre la información que se filtró, cómo y qué acciones se tomaron para recuperar, contener y remediar posibles vulnerabilidades.
El tercer punto, detallado por Pereira es la gestión de la “ciberresiliencia, o sea la continuidad del negocio, lo que es algo transversal a toda empresa y no tiene vinculación a su tamaño ni rubro en la actualidad”.
Si la empresa o startup cuenta con buenas prácticas de ciberseguridad y madurez, “esos activos, entendidos en un sentido amplio, estarán mejor protegidos, lo que genera confianza entre las partes interesadas, como inversores y clientes de la empresa, quienes son los que luego aportan los ingresos”, indicó Marcelo Cagniani, director de Advisory Services en KPMG.
Por esos motivos, en el proceso de adquisición, los expertos coincidieron en que un buen nivel de ciberseguridad ayuda a reducir los riesgos, minimiza la posibilidad de una brecha de seguridad que podría afectar negativamente la operación y, por ende, la reputación de la empresa.
Más allá de los impactos reputacionales, este tema adquiere cada vez más relevancia por su afectación en el valor de venta.
Sobre este punto, Pereira remarcó que si bien los requisitos de ciberseguridad exigidos por los inversores varían mucho en función “del tipo de producto o servicio, o sea el core del negocio de la startup, en la mayoría de los casos, incide muchísimo en el precio o directamente anula su posibilidad de venta cuando se explotan vulnerabilidades y se materializa el riesgo, lógicamente con un impacto financiero muy importante”.
Esto es así, según el especialista de PwC, principalmente porque desde la óptica de un inversor, si está comprando una startup lo que pretende es “comprar innovación, desarrollo e inventiva y, sobre todo, en base a algo que pueda hacer crecer exponencialmente su valor de acuerdo a la originalidad o necesidad de su aplicación”.
Por lo que “esto queda totalmente invalidado si no se tomaron medidas preventivas relacionadas a la ciberseguridad en la organización o si la misma tuvo algún incidente de ciberseguridad o seguridad de la información”, explicó.
Desde el lado inversor, Joaquín Morixe, VP de Globant Ventures —el fondo corporativo de Globant—, explicó que antes de realizar una inversión en una startup realizan un due diligence (proceso de debida diligencia) tecnológico para evaluar que no tengan vulnerabilidades.
“Esto significa que pedimos a ciertos expertos en tecnología de Globant que hagan una evaluación sobre la tecnología y en esa evaluación también analizamos las barreras y protocolos de ciberseguridad que tiene la startup”.
De acuerdo con Morixe, en términos generales “las startups uruguayas están bien preparadas en estos temas”, lo que consideró un aspecto relevante ya que actualmente la ciberseguridad “representa un riesgo muy alto y un riesgo reputacional que, por supuesto, puede jugar en contra de la empresa, especialmente cuando busca captar clientes de importancia”.
En comparación con el resto de exigencias y requisitos que un inversor evalúa antes de avanzar en una fusión o adquisición, Morixe indicó que la ciberseguridad es hoy uno de los primeros puntos que evalúan.
“Tiene mucho peso, hoy es uno de los temas prioritarios”, afirmó y aconsejó que este “debería ser uno de los principales temas en cualquier compañía con presencia digital”.
Sobre potenciales inversiones, Morixe confirmó que si la startup no tiene un buen protocolo de ciberseguridad implementado, “no invertiríamos directamente en ella”, mientras que si se trata de una adquisición, “podría afectar significativamente el precio”.
