Philippe Thomas Fundador de Vaulinum
    Philippe Thomas Fundador de Vaulinum

Cuatro consejos para implantar una ‘due diligence’ tecnológica exhaustiva

Philippe Thomas / 17 may 2022 / 17:03 H.

El sector tecnológico español registró un récord en 2021 en la inversión en startups con 2.936 millones de dólares captados hasta septiembre, el triple que en 2020. Esta expansión representa una oportunidad para que los inversores añadan empresas innovadoras a su cartera de activos. Pero al mismo tiempo, las tecnológicas están viendo nuevas amenazas que requieren un cambio de enfoque de cara a mitigar riesgos.

En 2021 se produjo el coste medio más alto de las brechas de datos en 17 años, alcanzando los 4,24 millones. También prevalecieron los riesgos adicionales asociados a fallos del software, el software de código abierto y los problemas de propiedad intelectual (PI), evidentes en la vulnerabilidad de Log4j. Los inversores deben ser más conscientes de estos peligros potenciales y asegurarse de que sus activos están debidamente protegidos.

Con el auge del sector tecnológico, las organizaciones pueden centrarse en crecer rápidamente en lugar de asegurarse de que su software tiene viabilidad a largo plazo. Aunque el software es su principal activo, las empresas pueden no cumplir las expectativas en términos de escalabilidad, rendimiento, capacidad de mantenimiento, coste o calendario de entrega.

Los inversores deben asegurarse de que cualquier activo en el que inviertan tenga unos objetivos establecidos y un camino realista para alcanzarlos. Los equipos de operaciones y producto han de tener una visión clara de la escalabilidad de su software que se comunica a los desarrolladores, y tener una transferencia de conocimientos desde la etapa inicial. Esto demuestra un potencial de crecimiento realista y que generará un ROI.

La inversión en software tiene que ver con su potencial y con sus derechos de PI. Los inversores solo deberían considerar la posibilidad de financiar empresas que puedan demostrar la plena propiedad de sus activos, para evitar el robo de derechos de autor más adelante, lo que haría que los inversores salieran perdiendo. La empresa objetivo debe ser capaz de demostrar que posee todos los derechos necesarios para fabricar, utilizar y vender sus productos propuestos. El conocimiento colectivo de estos derechos debe ser compartido por todos los desarrolladores, pero para las empresas más fiables, depositar el código fuente de su software en un tercero de confianza o en una oficina de derechos de autor puede proporcionar la mejor protección. Una solución de depósito debe ser verse con buenos ojos, ya que demuestra que la empresa ha tomado medidas estratégicas para gestionar y proteger su PI.

Cada vez más, las empresas confían en el software de terceros junto con su propio software desarrollado internamente para crear sus productos y ejecutar sus operaciones. Por tanto, la protección de la PI es solo un paso en la aplicación de la due diligence en materia de tecnología: los inversores también deben analizar el uso comercial del software de terceros.

Dos medidas preventivas deben considerarse durante la due diligence tecnológica previa a la inversión. La primera, comprobar si la empresa objetivo ha firmado acuerdos de custodia con cualquier proveedor para garantizar que la empresa sigue funcionando incluso si el éstedeja de cumplir con la provisión de software, normalmente en caso de quiebra. El tipo de custodia más sólido es un acuerdo tripartito entre el proveedor de software, el cliente y un tercero independiente de confianza, con condiciones específicas bajo las cuales se liberará el código fuente del software.Una custodia de software demuestra que una empresa ha sido diligente en su mitigación de riesgos, algo que los inversores valoran mucho.

Una segunda medida sería la gestión de su uso de software de código abierto (OSS). Hoy, muchos desarrolladores internos dependen del OSS, ya que necesitan desarrollarse rápidamente para atraer la atención de los inversores. Una mala gestión del OSS puede dar lugar a posibles pérdidas financieras, de reputación, de PI y a problemas de continuidad de negocio.

Se prevé que el coste de la ciberdelincuencia mundial aumente un 15% anual en los próximos cinco años, lo que supondrá una factura al año de 10,5 billones de dólares en 2025. No se puede subestimar la importancia de contar con un programa robusto de gestión de ciberriesgos, y este es un aspecto de la empresa que debería revisarse durante la due diligence tecnológica.

Con el GDPR, las empresas también deben garantizar que recogen, procesan y protegen de forma segura tanto los datos de otros como sus propios datos confidenciales. Esto implica la creación de una estrategia de gestión de datos fiable y la adopción de medidas adecuadas. Además, llevar a cabo un proceso exhaustivo de due diligence de software que analice el código fuente puede permitir la identificación temprana de cualquier riesgo potencial de brecha de datos, facilitando a las empresas aplicar las medidas de mitigación adecuadas.

Aquellos que deseen invertir en tecnología deben llevar a cabo una due diligence exhaustiva que incluya el software junto con el análisis tradicional de las operaciones, las finanzas, el aspecto legal y los recursos humanos. Para ello los inversores tienen la posibilidad de contratar a un tercero independiente, como Vaultinum, que garantiza que las medidas de due diligence se apliquen de forma exhaustiva y eficaz.

Los avances de la IA permiten analizar cada línea de código para identificar posibles vulnerabilidades cibernéticas, problemas de propiedad intelectual (normalmente relacionados con el uso de OSS) y riesgos de mantenimiento, lo que hace que las auditorías sean menos susceptibles al error humano. En último lugar, protege la reputación de los inversores, garantiza la continuidad del negocio y ayuda a evitar posibles responsabilidades legales por cualquier vulnerabilidad.