“Os compradores precisam proteger seus investimentos e fortalecer as suas auditorias de cibersegurança”.
A cibersegurança tornou-se num pilar fundamental para a auditoria ao realizar uma fusão ou aquisição de uma empresa , especialmente no mercado de tecnologia, cuja atividade nesse sentido continua a crescer apesar dos inconvenientes da pandemia de COVID-19, explica o CSO Phillipe Thomas , fundador da Vaultinum , empresa especializada em due diligence de vulnerabilidades digitais. Da mesma forma, esclarece, “ as ameaças de segurança informática ultrapassaram a sobrerregulamentação como a principal preocupação dos CEO em setores como seguros, capital de risco, bancos e tecnologia ”.
A maré mudou e os potenciais compradores estão a começar a recorrer à auditoria informática após algumas perdas de alto perfil. Thomas dá o exemplo do caso Marriot e Starwood de 2016, que acabou por revelar um grande fuga de dados anos depois. O Marriot foi objeto de vários processos em várias jurisdições, custando 130 milhões dólares apenas no Reino Unido. “ Até agora, os investidores recorreram apenas à due diligence manual, que envolve o envio de especialistas para entrevistar departamentos de TI e rever, linha por linha, o código-fonte de seu software”, diz o gestor. “Isso pode ter sido uma prática aceitável há 20 anos, mas hoje, quando um automóvel inteligente sozinho requer mais de 150 milhões de linhas de código, é impraticável, demorado e o risco de erro humano é muito alto”. Além disso, acrescenta: “ Esse processo apenas arranha a superfície do risco informático, bem como questões de propriedade intelectual. Os compradores estratégicos estão a procura de várias soluções para proteger os seus investimentos, tanto antes quanto depois da transação, incluindo o uso de auditorias para mitigar os riscos de malware, ransomware e outros vírus prejudiciais.”
De qualquer forma, Thomas acredita que os órgãos reguladores, encarregados de dar luz verde às aquisições, ainda estão mais preocupados com as questões antitrust do que com a cibersegurança. “No entanto, também é verdade que muitos governos chegaram à conclusão de que o mercado livre não respondeu adequadamente ao aumento das ameaças a segurança informática e tomaram medidas sobre o assunto, promulgando leis como o Regulamento Geral de Proteção de Dados (GDPR) e reforçando os seus requisitos”. Portanto, o gestor conclui, que embora um regulador não possa impedir uma fusão por motivos de segurança informática, pode intervir posteriormente para impor responsabilidades e multas.
Principais riscos para auditoria
A empresa compilou uma lista dos três principais desafios de segurança a serem considerados antes de fazer uma aquisição. Por um lado, argumentam, essas operações são um terreno fértil para os cibercriminosos. “No curto prazo, com essas operações em transição, os dados ficam mais vulneráveis e correm maior risco de serem atacados.” Mas mesmo assim, e de acordo com um estudo da IBM, mais de 50% das empresas aguardam a conclusão da due diligence antes de realizar qualquer avaliação tecnológica das transações.
Por outro lado, a fusão com uma empresa que possui vulnerabilidades de dados ocultas pode afetar as operações comerciais, as relações com investidores e a sua própria reputação. Por exemplo, durante as negociações de fusão com a Verizon em 2017, foi revelada uma violação no Yahoo de pelo menos 1 bilhão de contas, das quais muitas credenciais de login e informações pessoais foram roubadas. O preço de compra foi reduzido em 350 milhões de dólares e a Verizon concordou em partilhar a responsabilidade legal.
Finalmente, existem vários riscos em código aberto. Estes tipos de licenças geralmente são oferecidos sujeitos a restrições condicionais, que podem incluir a publicação do código ou o pagamento de uma taxa de uso. Quando uma transação é concluída, o adquirente torna-se responsável pelo uso anterior, bem como pelas condições relacionadas à sua licença. Os custos legais disso podem levar à interrupção da fusão.