Breaking

10/3/15

Fusiones y adquisiciones... los riesgos de no conocer quien entra en casa

Hoy es un día muy importante, se ha cerrado una importante alianza con una compañía regional, y el área de negocios responsable de la operación nos informa sobre los detalles para poder empezar a interactuar con nuestro nuevo Socio.
Ante este breve relato de situación pueden hacerse varias preguntas referentes al riesgo sobre nuestra información y otros procesos de negocios de la Organización. Por tal razón, es importante saber cómo prepararnos, desde las definiciones surgidas de nuestra Política Corporativa hasta la definición de los controles adicionales requeridos para la relación con terceros o la integración de operaciones como resultado de fusiones entre empresas.

En primera instancia, debemos entender que desde el Negocio se deben tomar acciones coordinadas en cuanto a la preparación de nuestra Organización para que responda en forma adecuada a los nuevos requerimientos planteados desde sus objetivos actuales. Para comunicar en forma clara estos objetivos debe entenderse que:
  • El Negocio debe comunicar cuáles son sus futuros objetivos, para conseguir el soporte necesario por parte de la Organización, ya sea desde sus áreas administrativas como de sus áreas tecnológicas.
  • La organización, desde las diferentes áreas brindará el soporte necesario acorde a los requerimientos del Negocio.
El riesgo que menciono no solo es el relacionado con la Confidencialidad... Compatibilizar sistemas y mecanismos de transferencia puede afectar seriamente la Disponibilidad e Integridad de la información y por consecuencia afectar a la CALIDAD de los servicios o productos que ofrecemos, y por ende impactar negativamente en la IMAGEN de nuestra Compañía.
¿Que tener en cuenta entonces? Primordialmente, reconocer y conocer cuáles son los requisitos normativos y regulatorios de nuestro Negocio, y a partir de allí establecer equipos interdisciplinarios que nos permitan analizar en forma integral todos los aspectos que hacen que nuestro Negocio sea exitoso a partir del tratamiento y procesamiento de la información. Áreas comerciales, legales, administrativas, tecnológicas y de seguridad (de la información) pueden ser los principales actores para definir en forma adecuada para el esclarecer el nuevo entorno del Negocio.
Ante una fusión o asociación de empresas, debo pensar que para asegurar cada uno de los procesos de negocio hay que alinear todos los componentes de los distintos servicios que lo soportan: 
  1. Analizar cada uno de los procesos de uno y otro lado, para poder identificar posibilidades de integración o riesgos de posibles conflictos. Esto nos permitirá el poder obtener las herramientas necesarias para conseguir mejorar nuestro Negocio desde la integración, y las respuestas correctivas para resolver inconsistencias
  2. Integrar la Cultura de distintas Organizaciones siempre es un desafío que afecta en forma directa al Negocio, recordar y no perder de vista nuestras Políticas debe servir para repasar la documentación asociada a cada uno de los procesos, identificar aquellos “puntos a cubrir” que surgen de los cambios, y establecer la actualización adecuada para la capacitación de cada uno de los integrantes de la Organización, para poder reforzar nuestra cultura interna.
  3. Todas las aplicaciones deben ser previamente analizadas, teniendo en cuenta las entradas y salidas de información, posibilidades de importación y exportación, sus interfaces existentes y la posibilidad de crear nuevas, haciendo que se mantenga la INTEGRIDAD de la información
  4. Todo el equipamiento debe estar dimensionado acorde a las nuevas necesidades del Negocio, y establecidos sus estándares de configuración de acuerdo a lo indicado por los requisitos regulatorios y normativos. Identificar en forma correcta estos componentes dentro de cada uno de los procesos hará que protejamos al Negocio desde la infraestructura de los servicios de IT.
Cada uno de estos aspectos debe ser analizado por un equipo interdisciplinario desde el principio de las negociaciones; esto permitirá que podamos establecer los alcances de impacto en nuestra Organización, medir los esfuerzos y establecer la disponibilidad de los recursos financieros, económicos y operativos, establecer las medidas necesarias para mitigar los riesgos de seguridad e integridad de la información, planificar en forma adecuada las futuras implementaciones estableciendo fechas y prioridades acorde a los resultados esperados por el Negocio.
El resultado de esta “sinergia” generada desde la Alta Dirección al propiciar la participación efectiva de los referentes de cada Unidad de Negocio (y recordemos que Seguridad es parte del Plan de Negocios en el marco empresario actual, brindando a través de ella Calidad y Gobernabilidad sobre todos los servicios de IT) permitirá que sus Planes de Negocio sean más sólidos en su estrategia.
En caso de tratase de un proveedor como socio de negocios, le permitirá establecer desde el inicio: 
  1. Contractualmente incluir una cláusula donde se puedan establecer auditorias para la verificación de cumplimiento con el compromiso de seguridad y tratamiento de la información, acorde a la Política de Seguridad de nuestra Organización, así como la aceptación de la Política mencionada.
  2. Informar sobre todos los cambios de personal que afecten al Negocio, así como especificar roles y responsabilidades en el tratamiento de la información, la que deberá ser previamente clasificada y analizar los riesgos y medidas de protección durante todo el proceso del Negocio.
  3. Disponer de procedimientos definidos y aceptados por nuestro Socio, para la detección y respuesta de alertas de intrusión, previendo la notificación por medio de alertas o intrusiones de alto riesgo.
  4. Todo sistema, red o conexión externa no operado por nosotros y que interactúe con nuestros sistemas o redes deben contar con instalaciones y equipamiento previamente analizados y aprobados por nuestra Organización.
Estableciendo una relación entre los aspectos legales y de seguridad de nuestro Negocio, a veces es conveniente reforzar los contratos comerciales (aunque tengan una cláusula de confidencialidad incluida) con convenios de confidencialidad, ya que contienen otros aspectos más amplios a los de una simple cláusula contractual y en él se transcribe la política de acceso a la información involucrada, por ejemplo, por nuestra Organización.
Los objetivos de control que normalmente están en esta política y que debe aceptar nuestro partner o tercera parte son: Acceso y Autenticación, Confidencialidad de información, Control de acceso (tanto físico como lógico - onsite o remoto), Continuidad comercial, Política de escritorio limpio, Manejo de los datos, Encripción de archivos, Uso de HDW y SFW, Instalación, Seguridad de la contraseña, Retiro de información.
Como conclusión, y cuando desde cualquier Unidad de Negocio se planteen estrategias comerciales que resulten en fusiones o convenios de acciones comerciales conjuntas lo primero que debemos preguntarnos es:
  •  ¿Invitarías a tu casa a alguien que no conoces?
  • ¿Compartirías tus sueños y proyectos con alguien que no comparte tus "ideas y creencias"?
Les dejo la inquietud, un saludo a todos.
Fabián Descalzo

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar