Implementación de una 'due diligence' tecnológica exhaustiva: 4 consejos importantes para los inversores

En 2021 se produjo el coste medio más alto de las brechas de datos en 17 años, alcanzando los 4,24 millones a finales de año. En 2021 también prevalecieron los riesgos adicionales asociados a los fallos del software, el software de código abierto y los problemas de propiedad intelectual (PI), tristemente evidentes en la reciente vulnerabilidad de Log4j que afecta a las operaciones de algunas de las organizaciones tecnológicas y gubernamentales más importantes de todo el mundo. Los inversores deben ser más conscientes de estos peligros potenciales y asegurarse de que sus activos están debidamente protegidos.

Con el auge del sector tecnológico, las organizaciones pueden tener la tentación de centrarse en crecer rápidamente en lugar de asegurarse de que su software tiene viabilidad a largo plazo. Aunque el software es su principal activo, las empresas tecnológicas pueden no cumplir las expectativas en términos de escalabilidad, rendimiento, capacidad de mantenimiento, coste o calendario de entrega.

Los inversores deben asegurarse de que cualquier activo empresarial en el que inviertan tenga unos objetivos establecidos y un camino realista para alcanzarlos. Los equipos de operaciones y producto deben tener una visión clara de la escalabilidad de su software que se comunica a los desarrolladores. Estos desarrolladores también deben haber tenido una adecuada transferencia de conocimientos de cualquier desarrollador que haya participado en las etapas iniciales de desarrollo. Estas líneas de comunicación abiertas dentro de la organización objetivo demuestran un potencial de crecimiento que es realista y que generará un retorno de la inversión.

La inversión en software no solo tiene que ver con su potencial, sino con sus derechos de PI. Los inversores solo deberían considerar la posibilidad de financiar empresas que puedan demostrar la plena propiedad de sus activos, para evitar el robo de derechos de autor más adelante, lo que haría que los inversores salieran perdiendo.

Por ello, los inversores deben asegurarse de que la PI de cualquier empresa en la que pretendan invertir dinero no solo esté protegida, sino que estas protecciones se gestionen y revisen periódicamente. La empresa objetivo debe ser capaz de demostrar que posee todos los derechos necesarios para fabricar, utilizar y vender sus productos propuestos. El conocimiento colectivo de estos derechos debe ser compartido por todos los desarrolladores que trabajan en el producto como un mínimo indiscutible, pero para las empresas más fiables, depositar el código fuente de su software en un tercero de confianza o en una oficina de derechos de autor puede proporcionar la mejor protección.

Un depósito es una solución con sello de tiempo reconocida ante los tribunales que demuestra la plena propiedad de una creación al asegurar los derechos de PI y demostrar que el autor de la creación tuvo la idea primero. Una solución de depósito debe ser verse con buenos ojos, ya que demuestra que la empresa ha tomado medidas estratégicas para gestionar y proteger su PI.

Cada vez más, las empresas confían en el software de terceros junto con su propio software desarrollado internamente para crear sus productos de software y ejecutar sus operaciones. Por tanto, la protección de la PI es solo un paso en la aplicación de la due diligence en materia de tecnología: los inversores también deben analizar el uso comercial del software de terceros.

Hay dos medidas preventivas que deberían considerarse durante la due diligence tecnológica previa a la inversión. En primer lugar, los inversores pueden comprobar si la empresa objetivo ha firmado acuerdos de custodia con cualquier proveedor de software, un contrato que garantiza que la empresa puede seguir funcionando incluso si el proveedor de software deja de cumplir con la provisión de software, normalmente en caso de quiebra. El tipo de custodia más sólido es un acuerdo tripartito, firmado por el proveedor de software, el cliente y un tercero independiente de confianza, con condiciones específicas bajo las cuales se liberará el código fuente del software. Si estas condiciones se cumplen y el proveedor de software ya no puede desempeñar su función, el tercero independiente concederá acceso al código fuente, permitiendo que el negocio del cliente continúe. Además de garantizar la continuidad de la empresa, una custodia de software demuestra que una empresa ha sido diligente en su mitigación de riesgos, algo que los inversores deberían valorar mucho.

Una segunda medida que las empresas deberían tener en su arsenal es la gestión de su uso de software de código abierto (OSS). Hoy en día muchos desarrolladores internos dependen del OSS, ya que necesitan desarrollarse rápidamente para atraer la atención de los inversores. Por ello, los inversores deben asegurarse de que las empresas objetivo han implementado suficientes procesos de gestión de OSS que evalúen las restricciones de licencia de cualquier software utilizado, así como que también verifiquen regularmente cualquier actualización de software. Una mala gestión del OSS puede dar lugar a posibles pérdidas financieras, de reputación y de PI, así como a problemas de continuidad de la actividad en caso de que el software quede obsoleto.

Philippe Thomas, fundador de Vaultinum.

Se prevé que el coste de la ciberdelincuencia mundial aumente un 15% anual en los próximos cinco años, lo que supondrá una factura al año de 10,5 billones de dólares en 2025. No se puede subestimar la importancia de contar con un programa robusto de gestión de ciberriesgos, y este es un aspecto de la empresa que debería revisarse durante la due diligence tecnológica.

Tras la aplicación de las restricciones del GDPR en Europa, las empresas también deben garantizar que recogen, procesan y protegen de forma segura tanto los datos de otros como sus propios datos confidenciales. Esto implica la creación de una estrategia de gestión de datos fiable y la adopción de medidas adecuadas para proteger cualquier instalación física contra el acceso no autorizado o el robo. Además, llevar a cabo un proceso exhaustivo de due diligence de software que analice el código fuente puede permitir la identificación temprana de cualquier riesgo potencial de brecha de datos, permitiendo a las empresas aplicar las medidas de mitigación adecuadas.

Aquellos que deseen invertir en tecnología deben llevar a cabo una due diligence exhaustiva que incluya el software junto con el análisis tradicional de las operaciones, las finanzas, el aspecto legal y los recursos humanos. Los inversores deberían contratar a un tercero independiente especializado, como Vaultinum, para este proceso, a fin de garantizar que las medidas de due diligence se apliquen de forma exhaustiva y eficaz. Los avances de la inteligencia artificial (IA) permiten analizar cada línea de código para identificar posibles vulnerabilidades cibernéticas, problemas de propiedad intelectual (normalmente relacionados con el uso de código abierto) y riesgos de mantenimiento, lo que hace que las auditorías sean menos susceptibles al error humano. En última instancia, este enfoque protege la reputación de los inversores, garantiza la continuidad del negocio y ayuda a evitar posibles responsabilidades legales por cualquier vulnerabilidad.