Tecnología Info Tecnología

Las empresas están viendo nuevas amenazas que requieren un cambio de enfoque cuando se trata de tácticas de mitigación de riesgos

Implementación de una 'due diligence' tecnológica exhaustiva: 4 consejos importantes para los inversores

Philippe Thomas, fundador de Vaultinum

28/02/2022
El sector tecnológico español registró un récord en 2021, en el que la inversión en startups captó 2.936 millones de dólares hasta septiembre, lo que supone el triple que en todo 2020, cuando se captó 909 millones de dólares, lo que ha permitido a España sustituir a Suiza en el sexto puesto en el ranking por capital captado. Esta expansión es emocionante para el sector y representa una oportunidad para que los inversores añadan nuevas empresas innovadoras a su cartera de activos. Sin embargo, al mismo tiempo, las empresas tecnológicas están viendo nuevas amenazas que requieren un cambio de enfoque cuando se trata de tácticas de mitigación de riesgos.

En 2021 se produjo el coste medio más alto de las brechas de datos en 17 años, alcanzando los 4,24 millones a finales de año. En 2021 también prevalecieron los riesgos adicionales asociados a los fallos del software, el software de código abierto y los problemas de propiedad intelectual (PI), tristemente evidentes en la reciente vulnerabilidad de Log4j que afecta a las operaciones de algunas de las organizaciones tecnológicas y gubernamentales más importantes de todo el mundo. Los inversores deben ser más conscientes de estos peligros potenciales y asegurarse de que sus activos están debidamente protegidos.

Considerar el potencial del negocio a través de su software

Con el auge del sector tecnológico, las organizaciones pueden tener la tentación de centrarse en crecer rápidamente en lugar de asegurarse de que su software tiene viabilidad a largo plazo. Aunque el software es su principal activo, las empresas tecnológicas pueden no cumplir las expectativas en términos de escalabilidad, rendimiento, capacidad de mantenimiento, coste o calendario de entrega.

Los inversores deben asegurarse de que cualquier activo empresarial en el que inviertan tenga unos objetivos establecidos y un camino realista para alcanzarlos. Los equipos de operaciones y producto deben tener una visión clara de la escalabilidad de su software que se comunica a los desarrolladores. Estos desarrolladores también deben haber tenido una adecuada transferencia de conocimientos de cualquier desarrollador que haya participado en las etapas iniciales de desarrollo. Estas líneas de comunicación abiertas dentro de la organización objetivo demuestran un potencial de crecimiento que es realista y que generará un retorno de la inversión.

Imagen

Gestión de los derechos de PI

La inversión en software no solo tiene que ver con su potencial, sino con sus derechos de PI. Los inversores solo deberían considerar la posibilidad de financiar empresas que puedan demostrar la plena propiedad de sus activos, para evitar el robo de derechos de autor más adelante, lo que haría que los inversores salieran perdiendo.

Por ello, los inversores deben asegurarse de que la PI de cualquier empresa en la que pretendan invertir dinero no solo esté protegida, sino que estas protecciones se gestionen y revisen periódicamente. La empresa objetivo debe ser capaz de demostrar que posee todos los derechos necesarios para fabricar, utilizar y vender sus productos propuestos. El conocimiento colectivo de estos derechos debe ser compartido por todos los desarrolladores que trabajan en el producto como un mínimo indiscutible, pero para las empresas más fiables, depositar el código fuente de su software en un tercero de confianza o en una oficina de derechos de autor puede proporcionar la mejor protección.

Un depósito es una solución con sello de tiempo reconocida ante los tribunales que demuestra la plena propiedad de una creación al asegurar los derechos de PI y demostrar que el autor de la creación tuvo la idea primero. Una solución de depósito debe ser verse con buenos ojos, ya que demuestra que la empresa ha tomado medidas estratégicas para gestionar y proteger su PI.

Evaluar el uso de software de terceros

Cada vez más, las empresas confían en el software de terceros junto con su propio software desarrollado internamente para crear sus productos de software y ejecutar sus operaciones. Por tanto, la protección de la PI es solo un paso en la aplicación de la due diligence en materia de tecnología: los inversores también deben analizar el uso comercial del software de terceros.

Hay dos medidas preventivas que deberían considerarse durante la due diligence tecnológica previa a la inversión. En primer lugar, los inversores pueden comprobar si la empresa objetivo ha firmado acuerdos de custodia con cualquier proveedor de software, un contrato que garantiza que la empresa puede seguir funcionando incluso si el proveedor de software deja de cumplir con la provisión de software, normalmente en caso de quiebra. El tipo de custodia más sólido es un acuerdo tripartito, firmado por el proveedor de software, el cliente y un tercero independiente de confianza, con condiciones específicas bajo las cuales se liberará el código fuente del software. Si estas condiciones se cumplen y el proveedor de software ya no puede desempeñar su función, el tercero independiente concederá acceso al código fuente, permitiendo que el negocio del cliente continúe. Además de garantizar la continuidad de la empresa, una custodia de software demuestra que una empresa ha sido diligente en su mitigación de riesgos, algo que los inversores deberían valorar mucho.

Una segunda medida que las empresas deberían tener en su arsenal es la gestión de su uso de software de código abierto (OSS). Hoy en día muchos desarrolladores internos dependen del OSS, ya que necesitan desarrollarse rápidamente para atraer la atención de los inversores. Por ello, los inversores deben asegurarse de que las empresas objetivo han implementado suficientes procesos de gestión de OSS que evalúen las restricciones de licencia de cualquier software utilizado, así como que también verifiquen regularmente cualquier actualización de software. Una mala gestión del OSS puede dar lugar a posibles pérdidas financieras, de reputación y de PI, así como a problemas de continuidad de la actividad en caso de que el software quede obsoleto.

Philippe Thomas, fundador de Vaultinum

Philippe Thomas, fundador de Vaultinum.

Descubrir vulnerabilidades de ciberseguridad

Se prevé que el coste de la ciberdelincuencia mundial aumente un 15% anual en los próximos cinco años, lo que supondrá una factura al año de 10,5 billones de dólares en 2025. No se puede subestimar la importancia de contar con un programa robusto de gestión de ciberriesgos, y este es un aspecto de la empresa que debería revisarse durante la due diligence tecnológica.

Tras la aplicación de las restricciones del GDPR en Europa, las empresas también deben garantizar que recogen, procesan y protegen de forma segura tanto los datos de otros como sus propios datos confidenciales. Esto implica la creación de una estrategia de gestión de datos fiable y la adopción de medidas adecuadas para proteger cualquier instalación física contra el acceso no autorizado o el robo. Además, llevar a cabo un proceso exhaustivo de due diligence de software que analice el código fuente puede permitir la identificación temprana de cualquier riesgo potencial de brecha de datos, permitiendo a las empresas aplicar las medidas de mitigación adecuadas.

Aquellos que deseen invertir en tecnología deben llevar a cabo una due diligence exhaustiva que incluya el software junto con el análisis tradicional de las operaciones, las finanzas, el aspecto legal y los recursos humanos. Los inversores deberían contratar a un tercero independiente especializado, como Vaultinum, para este proceso, a fin de garantizar que las medidas de due diligence se apliquen de forma exhaustiva y eficaz. Los avances de la inteligencia artificial (IA) permiten analizar cada línea de código para identificar posibles vulnerabilidades cibernéticas, problemas de propiedad intelectual (normalmente relacionados con el uso de código abierto) y riesgos de mantenimiento, lo que hace que las auditorías sean menos susceptibles al error humano. En última instancia, este enfoque protege la reputación de los inversores, garantiza la continuidad del negocio y ayuda a evitar posibles responsabilidades legales por cualquier vulnerabilidad.

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos