• Home

  • Documents

  • Fusiones y adquisiciones más seguras - cybsec.com
5
Fusiones y adquisiciones más seguras Cultura, gobierno y cumplimiento: Las necesidades del negocio y el riesgo de resistencia a los cambios organizacionales Fabián Descalzo, CYBSEC Si lo que la organización busca es bene- ficiarse con una fusión de empresas para disminuir los gastos de operación y/ o producción y aumentar la rentabilidad ¿Porque no tener en cuenta el análisis previo de plataformas, aplicaciones y procesos tecnológicos que dan soporte al negocio, evitando así mayores costos en su remediación posterior por cues- tiones regulatorias o generar nuevos ex- puestos de seguridad a sus procesos in- ternos y a la información? Hay dos condiciones que generan profun- dos cambios en la operación funcional y tec- nológica de las empresas que hacen peligrar el gobierno de sus procesos internos: La adop- ción de nuevos estándares o regulaciones de negocios, y la adquisición o fusión de empre- sas. Ambas problemáticas responden a una acción decidida y planificada por la alta di- rección y representada en el plan de nego- cios de la organización, pero los cortos tiem- pos de implementación resultantes de una baja coordinación desde el negocio con las diferentes áreas de servicio y soporte de la organización hace que los riesgos sobre el gobierno de las tecnologías y la falta de cum- plimiento aumente. Esta exposición que impacta negativamen- te sobre la gestión y seguridad de los proce- sos de negocio puede verse representada en fusiones o adquisiciones mal administradas que provocan, entre otros, los siguientes ries- gos a los negocios: Estratégico Incapacidad para manejar las expecta- tivas de los inversionistas Fallas del gobierno corporativo y con- trol interno Rechazo interno al marco regulatorio Acciones legales o punitivas por falta de cumplimiento al marco regulatorio Incapacidad para atraer y retener co- nocimientos y competencias durante la transición Bajo control de costos Operativo y Cumplimiento Administración ineficiente o fallas en la prestación de servicios internos y ex- ternos Inversión ineficaz en la infraestructura con impacto negativo que la convierte en obsoleta o inadecuada Percepciones

Fusiones y adquisiciones más seguras - cybsec.com

  • Upload
    others

  • View
    7

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Fusiones y adquisiciones más seguras - cybsec.com

Fusiones y adquisicionesmás seguras

Cultura, gobierno y cumplimiento:Las necesidades del negocio y el riesgo deresistencia a los cambios organizacionales

Fabián Descalzo, CYBSEC

Si lo que la organización busca es bene-ficiarse con una fusión de empresas paradisminuir los gastos de operación y/o producción y aumentar la rentabilidad¿Porque no tener en cuenta el análisisprevio de plataformas, aplicaciones yprocesos tecnológicos que dan soporteal negocio, evitando así mayores costosen su remediación posterior por cues-tiones regulatorias o generar nuevos ex-puestos de seguridad a sus procesos in-ternos y a la información?

Hay dos condiciones que generan profun-dos cambios en la operación funcional y tec-nológica de las empresas que hacen peligrarel gobierno de sus procesos internos: La adop-ción de nuevos estándares o regulaciones denegocios, y la adquisición o fusión de empre-sas. Ambas problemáticas responden a unaacción decidida y planificada por la alta di-rección y representada en el plan de nego-cios de la organización, pero los cortos tiem-pos de implementación resultantes de unabaja coordinación desde el negocio con lasdiferentes áreas de servicio y soporte de laorganización hace que los riesgos sobre elgobierno de las tecnologías y la falta de cum-plimiento aumente.

Esta exposición que impacta negativamen-te sobre la gestión y seguridad de los proce-sos de negocio puede verse representada enfusiones o adquisiciones mal administradasque provocan, entre otros, los siguientes ries-gos a los negocios:

Estratégico

• Incapacidad para manejar las expecta-tivas de los inversionistas

• Fallas del gobierno corporativo y con-trol interno

• Rechazo interno al marco regulatorio

• Acciones legales o punitivas por faltade cumplimiento al marco regulatorio

• Incapacidad para atraer y retener co-nocimientos y competencias durante latransición

• Bajo control de costos

Operativo y Cumplimiento

• Administración ineficiente o fallas enla prestación de servicios internos y ex-ternos

• Inversión ineficaz en la infraestructuracon impacto negativo que la convierteen obsoleta o inadecuada

Percepciones

Page 2: Fusiones y adquisiciones más seguras - cybsec.com

• Débil seguridad de los datos y riesgosde privacidad

• Riesgos en los procesos de servicio deTI y seguridad de la información

• Incapacidad de explotar y proteger ac-tivos (piratería y derechos de propiedadintelectual)

• Sistemas y procesos inadecuados parasustentare! negocio

• Aumento en las presiones regulatorias

Esta problemática abarca tanto a procesosfuncionales como tecnológicos, partiendo dela base que hace SolfctóciltoucaernEa r̂tasáCa^daorganización y que establece las pautas parala gestión del negocio: las políticas y su en-torno documental, y los usos y costumbres delas personas. Por ello cada vez que nos hatocado el desafío de ayudar en una organiza-ción para adecuar sus procesos y procedi-mientos internos, ya sea de negocio o de ser-vicios de tecnología y seguridad, nos hemosencontrado con las limitaciones propias delnivel de madurez de las mismas empresas quepretenden alinear sus procesos ante fusioneso adquisiciones poniendo en riesgo la cali-dad de sus servicios, la gobernabilidad de susoperaciones y la seguridad de la informaciónque procesan.

Por ello, los riesgos mencionados no soloestán relacionados con la Confidencialidad...Compatibilizar creencias, cultura, sistemas ymecanismos de transferencia puede afectarseriamente la disponibilidad e integridad dela información y por consecuencia afectar ala CALIDAD de los servicios o productos queofrecemos, y por ende impactar negativamenteen la IMAGEN de nuestra Compañía.

En respuesta a esta problemática debemosanalizar cómo es que se ha desarrollado lacultura de cada una de las empresasinvolucradas en el proceso de fusión, y estoinvolucra el analizar como tratan y cumplenlas personas con cada una de las políticas,normas y procedimientos, su entendimientode las regulaciones y su nivel de compromiso

en el cumplimiento, y cuál es su enfoque deacuerdo al grupo de interés que ocupe en laorganización determinado por niveles de Di-rección, Gerencia! o Usuarios.

De esa forma podremos construir un mo-delo de comunicación para poder obtener elapoyo desde la Dirección y Alta Gerencia, lacolaboración de los Usuarios y su compromi-so con el proyecto, responsabilidad con la in-formación brindada y eficiencia en su efecti-va implementación. De por sí, ya sabemosque dentro de esos grandes grupos definidoscomo Dirección, Gerencias y Usuarios, losintereses de cada uno frente a una fusión sondiferentes, por lo que establecer una formade conectar cada área de interés es INDIS-PENSABLE en estas situaciones para la saludy sobrevivencia de una Organización.

Sabemos también que desde el negocio sedeben tomar acciones coordinadas en cuan-to a la preparación de nuestra organizaciónpara que responda en forma adecuada a losnuevos requerimientos planteados desde susobjetivos actuales. Para comunicar en formaclara estos objetivos debe entenderse que:

• El Negocio debe comunicar cuáles sonsus futuros objetivos, para conseguir elsoporte necesario por parte de la Orga-nización, ya sea desde sus áreas admi-nistrativas como de sus áreas tecnoló-gicas.

Page 3: Fusiones y adquisiciones más seguras - cybsec.com

• La organización, desde las diferentesáreas brindará el soporte necesarioacorde a los requerimientos del Nego-cio.

¿Que tener en cuenta entonces? Primor-dialmente, reconocer y conocer cuáles sonlos requisitos normativos y regúlatenos queimpactan en el proyecto de fusión como con-secuencia de la unión de ambas empresas, ya partir de a l l í establecer equiposinterdisciplinarios que nos permitan analizaren forma integral todos los aspectos que ha-cen que nuestro negocio sea exitoso a partirdel tratamiento y procesamiento de la infor-mación. Áreas comerciales, legales, adminis-trativas, tecnológicas y de seguridad de la in-formación pueden ser los principales actorespara definir en forma adecuada para el escla-recer el nuevo entorno del negocio.

Ante una fusión o asociación de empresasdebemos pensar que para asegurar cada unode los procesos de negocio resultantes, sobretodo aquellos que surjan nuevos o adecua-dos a la nueva organización, deben ser ali-neados siguiendo los siguientes conceptos:

1. Entender que la buena comunicación in-terna aporta un valor positivo (más queagregado) para cumplir objetivos regula-torios del negocio, claridad en los requeri-mientos operativos del Negocio y sus pro-cesos manuales y tecnológicos y facilitarla coordinación de los diferentes equiposal establecer roles específicos ante proyec-tos de respuesta al Negocio.

2. Promover con el apoyo de la Alta Geren-cia esta comunicación, para que desdecualquier área de la organización puedanestablecerse ambientes colaborativos conpautas claras y roles definidos que apor-ten a la concreción de los objetivos esta-blecido por el Negocio durante todo el pro-ceso de fusión.

3. Analizar cada uno de los procesos de unoy otro lado, para poder identificar posibili-dades de integración o riesgos de posiblesconflictos. Esto nos permitirá obtener lasherramientas necesarias para conseguir unamejora de nuestro Negocio desde la inte-gración, y las respuestas correctivas pararesolver inconsistencias

4. Al iniciar el proyecto identifique una fasede capacitación para el entendimiento dela operación, identificación de intervinien-tes, alcances y roles dentro del proyecto,necesidades de cumplimiento legal y denegocio, y fundamentalmente las necesi-dades de servicio por parte de las áreastecnológicas (IT, redes, comunicaciones)y de seguridad (seguridad de la informa-ción, o bien seguridad física y seguridadinformática).

5. Si bien integrar la cultura de distintas or-ganizaciones siempre es un desafío queafecta en forma directa al negocio, recor-dar y no perder de vista nuestras políticasdebe servir para repasar la documentaciónasociada a cada uno de los procesos, iden-tificar aquellos "puntos a cubrir" que sur-gen de los cambios, y establecer la actua-lización adecuada para la capacitación decada uno de los integrantes de la organi-zación basados en el entendimiento y lacomunicación para reforzar nuestra cultu-ra interna en su nuevo entorno.

6. Todas las aplicaciones deben ser previa-mente analizadas, teniendo en cuenta suadministración, operación y control, entra-das y salidas de información, posibilida-des de importación y exportación de da-tos, compatibilidad de software de base yposibilidades de upgrade, interfaces exis-

Page 4: Fusiones y adquisiciones más seguras - cybsec.com

tentes y la posibilidad de crear nuevas,haciendo que se mantenga la DISPONIBI-LIDAD e INTEGRIDAD de la informacióny CONTINUIDAD de procesamiento.

7. Todo el equipamiento debe ser previamen-te analizado para revisar su dimensiona-miento respecto a las nuevas necesidadesdel Negocio, establecidos sus estándaresde configuración de acuerdo a lo indica-do por los requisitos regulatorios y norma-tivos e identificar en forma correcta estoscomponentes dentro de cada uno de losprocesos para asegurar protección al Ne-gocio desde la infraestructura de los servi-cios de IT.

Cada uno de estos aspectos deben ser ana-lizados por un equipo interdisciplinario des-de el principio de las negociaciones; esto per-mitirá que podamos establecer los alcancesde impacto en nuestra organización, medirlos esfuerzos y establecer la disponibilidad delos recursos financieros, económicos yoperativos, establecer las medidas necesarias

para mitigar los riesgos de seguridad e inte-gridad de la información, planificar en formaadecuada las futuras implementaciones esta-bleciendo fechas y prioridades acorde a losresultados esperados por el Negocio.

El resultado de esta "sinergia" generadadesde la Alta Dirección al propiciar la partici-pación efectiva de los referentes de cada áreapermitirá que su plan de negocio sea más só-lido en su estrategia, recordando que las áreasde seguridad y tecnología son parte de eseplan en el marco empresario actual, brindan-do a través de ellas calidad y gobernabilidadsobre todos los servicios de IT.

¿A que debemos estar atentos en la transi-ción?

1. Establecerauditoriaspara la verificaciónde cumplimiento con el compromiso deseguridad y tratamiento de la informa-ción, acorde a la Política de Seguridadde nuestra organización, así como laaceptación de la política mencionadapor parte del nuevo personal.

2. Informar sobre todos los cambios de per-sonal que afecten al negocio, así comoespecificar roles y responsabilidades enel tratamiento de la información, la quedeberá ser previamente clasificada y ana-lizar los riesgos y medidas de proteccióndurante todo el proceso.

3. Disponer de procedimientos definidosy aceptados por nuestro socio, para ladetección y respuesta de alertas de in-trusión por ejemplo, previendo la noti-ficación por medio de alertas o intru-siones de alto riesgo.

4. Todo sistema, red o conexión externano operado por nosotros y que interac-túe con nuestros sistemas o redes de-ben estar documentadas y contar coninstalaciones y equipamiento previa-mente anal izados y aprobados por nues-tra organización.

Estableciendo una relación entre los aspec-tos legales y de seguridad de nuestro negó-

Page 5: Fusiones y adquisiciones más seguras - cybsec.com

ció, a veces es conveniente reforzar los con-tratos comerciales con convenios deconfidencialidad aunque tengan una cláusu-la de confidencialidad incluida, ya que con-tienen otros aspectos más amplios a (os deuna simple cláusula contractual y en él setranscribe la política de acceso a la informa-ción involucrada, por ejemplo, por nuestraorganización.

Como conclusión, y cuando desde cual-quier Unidad de Negocio se planteen estrate-gias comerciales que resulten en fusiones oconvenios de acciones comerciales conjun-tas lo primero que debemos preguntarnos es:

¿Invitarías a tu casa a alguien que no cono-ces? ¿Compartirías tus sueños y proyectoscon alguien que no comparte tus «ideas y

creencias»?

Fabián Descalzo, CYBSEC

Gerente de Servicios y Solu-ciones en el área de Gobier-no, Riesgo y Cumplimiento(GRC) en CYBSEC, certifica-do en Dirección de Seguridadde la Información (Universi-dad CAECE), instructor certi-ficado (TIL Fundation v3-2011 (EXIN) y auditor ISO20000 (LSQA-Latu).

Columnista especializado en áreas de Gobierno, Se-guridad y Auditoría, Informática en Salud y Complian-ce en las revistas CISALUD, PERCEPCIONES (ISACAMontevideo Chapter), El Derecho Informático, CXO-Community y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias In-formáticas, ISACA Buenos Aires Chapter, ISACAMontevideo Chapter.

Profesor del módulo 27001 del curso de IT Gover-nance, Uso eficiente de Frameworks y la Diplomatu-ra en Gobierno y Gestión de Servicios de IT del Insti-tuto Tecnológico Buenos Aires (ITBA)

Securíty Systems


Sistema de placas pélvicas Acumed · • Fracturas, fusiones y osteotomías del sacro • Fracturas, fusiones y osteotomías del ilion • Fracturas, fusiones y osteotomías del

Sistema de placas pélvicas Acumed · • Fracturas, fusiones y osteotomías del sacro • Fracturas, fusiones y osteotomías del ilion • Fracturas, fusiones y osteotomías del

Documents
Macerado y Fusiones de Tragos

Macerado y Fusiones de Tragos

Documents
Pablo Milano - cybsec.com

Pablo Milano - cybsec.com

Documents
Fusiones Competencia Clase

Fusiones Competencia Clase

Documents
Fusiones y Adquicisiones

Fusiones y Adquicisiones

Documents
Uniones Fusiones Lucha de Culturas

Uniones Fusiones Lucha de Culturas

Documents
FUSIONES EMPRESARIALES

FUSIONES EMPRESARIALES

Documents
DRUPA 2016 mais seguras e inteligentes! mais seguras e

DRUPA 2016 mais seguras e inteligentes! mais seguras e

Documents
FUSIONES Y ESCISIONES TRANSNACIONALES

FUSIONES Y ESCISIONES TRANSNACIONALES

Documents
Julio César Ardita, CISM - cybsec.com · Análisis forense técnico en entornos virtuales Julio César Ardita, CISM jardita@cybsec.com

Julio César Ardita, CISM - cybsec.com · Análisis forense técnico en entornos virtuales Julio César Ardita, CISM [email protected]

Documents
7. Fusiones

7. Fusiones

Documents
Curso Adquisiciones Fusiones y Escisiones.pdf

Curso Adquisiciones Fusiones y Escisiones.pdf

Documents
Fusiones y adquicisiones doc

Fusiones y adquicisiones doc

Documents
MODELO DE FUSIONES

MODELO DE FUSIONES

Documents
Cap 26 : FUSIONES Y ADQUISICIONES

Cap 26 : FUSIONES Y ADQUISICIONES

Economy & Finance
Fusiones bancarias panamá may 2013

Fusiones bancarias panamá may 2013

Documents
FUSIONES Y ADQUISICIONES

FUSIONES Y ADQUISICIONES

Documents
Fusiones y Adquisiciones Caso Mexico_TEMA5

Fusiones y Adquisiciones Caso Mexico_TEMA5

Documents
Que es fusiones presentación1

Que es fusiones presentación1

Economy & Finance
ejemplos Fusiones y adquisiciones

ejemplos Fusiones y adquisiciones

Documents
Fusiones y Adquisiciones o Absorciones

Fusiones y Adquisiciones o Absorciones

Documents
Fusiones y Adquisiciones Int

Fusiones y Adquisiciones Int

Documents
Guia-Fusiones FNE 2012

Guia-Fusiones FNE 2012

Documents
Casos Fusiones y Adquisiciones

Casos Fusiones y Adquisiciones

Documents
Absorciones y Fusiones de Empresas

Absorciones y Fusiones de Empresas

Documents
Fusiones impropias

Fusiones impropias

Documents
SEMINARIO FUSIONES, ESCISIONES Y ADQUISICIONES

SEMINARIO FUSIONES, ESCISIONES Y ADQUISICIONES

Documents
Fusiones e Ibex

Fusiones e Ibex

Economy & Finance
Fusiones 2016 2o. Examen

Fusiones 2016 2o. Examen

Documents
r107 Agostini Fusiones

r107 Agostini Fusiones

Documents