Lista de comprobación de Diligencias Debidas Tecnológicas

Dado que continuamos alejándonos del modelo tradicional de economía física y cada vez estamos más cerca de las realidades virtuales, las empresas se enfrentan a nuevas amenazas emergentes, como los fallos de software, las brechas de datos, los problemas de privacidad, las cuestiones de propiedad intelectual del software de código abierto, las amenazas cibernéticas o la sostenibilidad, entre otras muchas. En este nuevo escenario digital, la seguridad y la protección de los activos digitales cobra un nuevo sentido. Por consiguiente, es más importante que nunca, tanto si es inversor como comprador potencial, saber que la empresa en la que está interesado funciona conforme con las mejores prácticas y tiene las bases adecuadas para un crecimiento sólido.

En este artículo hemos destacado las 4 áreas principales: Propiedad Intelectual, Software de Terceros, Rendimiento Tecnológico y Ciberseguridad, así como las preguntas clave que debemos hacernos a la hora de gestionar la diligencia debida tecnológica.

PROPIEDAD INTELECTUAL

La gestión de la PI es un elemento esencial para el crecimiento y el éxito de una empresa. Además, los derechos de PI cada vez tienen más peso global en la evaluación general de una empresa. Los activos intangibles de PI solo suponían el 17% del valor de mercado de las empresas S&P 500 en 1975. En 2015 ha alcanzado un 87% y en el análisis de 2019, los sectores que han hecho un uso más intensivo de los derechos de PI han generado alrededor del PIB de la UE (6,6 mil billones de euros).

Preguntas Clave a tener en cuenta relativas a la Propiedad Intelectual

• ¿La compañía objetivo ha actuado para proteger los derechos de PI de su código fuente de software depositándolo en una tercera parte de confianza o en una oficina de copyright?
  El software, al igual que las obras de arte o de literatura, está protegido por las leyes del copyright. Para poder reivindicar este derecho, se debe depositar el código fuente y cualquier actualización del mismo en una tercera parte de confianza o en una oficina de copyright. Un depósito sienta las bases de la propiedad del código fuente en un momento dado.
  
• ¿Los contratos de transferencia de PI se realizan con todos los consultores y empleados que trabajan o han trabajado en el desarrollo del software?
  En algunos países, la transferencia de PI puede ser automática en las relaciones entre empleados, pero no siempre sucede y aún menos en la relación con los consultores. Esto supone un potencial riesgo de litigio y puede, si se da el caso, tener cierto impacto tanto económico como en lo relativo a la reputación de la empresa.
  
• ¿La empresa tiene todos los derechos necesarios para crear, utilizar, vender u ofrecer su productos reales y propuestos?
  El uso de licencias de terceros de alto riesgo (de uso libre, con copyright o de propiedad) sin tener un proceso eficaz para gestionar la PI que identifique y gestione estas licencias y otros derechos de PI, supone un problema potencial que pueda restringir la libertad para comercializar el producto final.

SOFTWARE DE TERCEROS

Las empresas cada vez confían más en el software de terceros para llevar a cabo sus operaciones y/o desarrollar sus propios productos de software. El software de terceros puede ser de código abierto o con licencia comercial. En ambos casos, hay licencias típicas que condicionan su uso. El uso incorrecto o la dependencia excesiva en un software de un tercero puede frenar el crecimiento de una empresa e, incluso, suponer una amenaza para su supervivencia.

Preguntas Clave a tener en cuenta respecto al Software de Terceros

• ¿Han firmado acuerdos de escrow que les permita acceder al código fuente del software en el que confían para sus operaciones, como en el caso de quiebra o bancarrota del proveedor (o de fallos en los servicios si funcionan en modo SaaS)?
  Depender del software de terceros implica que la empresa está expuesta al riesgo de que dicho software se quede obsoleto, no tenga el mantenimiento adecuado, no ofrezca soporte o, incluso, que se cancele el servicio. Un acuerdo de escrow es esencial para poder continuar trabajando y cumplir con las obligaciones para con los clientes.
  
• ¿La empresa puede identificar todo el software de código abierto que se utiliza en el producto final?
  La integración de un software de código abierto en el producto final puede limitar la capacidad de la empresa para comercializarlo y disfrutar del uso total del producto, debido al incumplimiento de los términos de la licencia o la violación de los derechos de PI.
  
• ¿Llevan a cabo un proceso para comprobar las actualizaciones periódicas del software de código abierto que utilizan?
  Las actualizaciones pueden solucionar las vulnerabilidades para que el software pueda continuar funcionando según las expectativas y límites de riesgos de los usuarios finales. La falta de actualizaciones también puede limitar el uso de la empresa de su producto de software, dependiendo de la licencia.

RENDIMIENTO TECNOLÓGICO

Mientras que el software se ha convertido rápidamente en la espina dorsal de muchas empresas, un significativo número de proyectos de software sigue fracasando a la hora de alcanzar las expectativas de las empresas en lo relativo al rendimiento, la adaptabilidad, el mantenimiento, el coste o el calendario de entrega. Existen múltiples factores en juego y cada uno tiene un diferente nivel de impacto en el éxito de la entrega, del rendimiento y de la reputación del propio producto de software.

Preguntas Clave a tener en cuenta respecto al Rendimiento de la Tecnología:

• ¿Cuál fue la transferencia de conocimiento adecuada que realizaron los desarrolladores que participaron en las etapas iniciales del desarrollo del producto?
  La gestión de la transferencia de conocimiento es necesario hacerla durante todo el proceso de desarrollo del software y su ciclo de utilización. El hecho de no tener acceso a las etapas iniciales de desarrollo puede tener efectos negativos sobre el mantenimiento y la adaptabilidad del producto final.
  
• ¿La infraestructura tecnológica está lista actualmente para avanzar sin más desarrollo en caso de un rápido crecimiento de la base del cliente?
  El hecho de que las infraestructuras tecnológicas no estén listas para avanzar en caso de un crecimiento rápido puede ocasionar errores graves del sistema o problemas de funcionalidad que provoquen pérdidas económicas y daños a la reputación.
  
• ¿Los aspectos organizativos del equipo de desarrollo que puedan tener un impacto directo en su capacidad global se pueden entregar de manera satisfactoria?
  Un equipo de desarrollo bien organizado y con un funcionamiento fluido es esencial para el éxito del producto. Unos de los elementos clave a tener en mente son la localización y la distribución del equipo (que no estén demasiado dispersos en cuanto a zonas horarias u oficinas) y el informe periódico de la gestión (para asegurarse de que las estrategias van en consonancia).

CIBERSEGURIDAD

En 2020, el coste global de los delitos cibernéticos alcanzó los 945.000 millones de dólares y se estima que crecerá un 15% anualmente, hasta alcanzar los 10.5 billones de dólares al año en 2025. Todos los días se descubren nuevas brechas técnicas y de seguridad. Cada cambio en un negocio puede provocar vulnerabilidades de manera accidental. Todos los nuevos empleados, consultores o contratistas suponen un nuevo riesgo que hay que gestionar. Un hacker solo tiene que conseguirlo una vez, pero las medidas de seguridad de una empresa tienen que ser adecuadas el 100% del tiempo (en un escenario de amenazas cambiantes). Por lo tanto, no se puede subestimar la importancia de gestionar correctamente el programa de riesgos de ciberseguridad.

Preguntas Clave a tener en cuenta respecto a la Ciberseguridad:

• ¿Los datos de los clientes se almacenan, están accesibles o se transmiten a través de un entorno en el extranjero (en un país diferente de donde se reciben los datos del cliente)?
  La normativa sobre privacidad de datos y las leyes de divulgación obligatoria varían de manera significativa de unas partes del mundo a otras, siendo de vital importancia para las empresas, en especial para las multinacionales, trasladar los requisitos legales de diligencia debida por los diferentes mercados para asegurarse de su cumplimiento. Además, la comunicación internacional no es necesariamente segura y plantea una gran cantidad de riesgos.
  
• ¿La empresa utiliza métodos de encriptación para proteger los datos?   
  La encriptación hace que los datos no se puedan leer ni utilizar, salvo que la otra parte tenga la clave para desencriptarlos. La encriptación es una manera de asegurarse de que en caso de brecha de datos y su consecuente robo o copia, es mucho más probable que no se puedan utilizar. Saltarse la encriptación es muy difícil, por lo que es uno de los métodos más seguros para proteger los datos.
  
• ¿Existen registros completos que se guarden y mantengan en todos los dispositivos de la empresa, incluyendo ordenadores, tabletas, móviles, portátiles, etc.?
  La documentación adecuada permite a una organización hacer un seguimiento de los dispositivos de la empresa. Es una importante medida para reducir el riesgo, ya que ayuda a evitar las pérdidas y permite dar una rápida respuesta en caso de incidente, como la deshabilitación en remoto de dispositivos perdidos o robados. Un dispositivo ausente supone un riesgo de seguridad que se puede hackear de manera potencial, abriendo la puerta a un ataque a los sistemas y redes de la organización.
  
  

¿ESTÁ HACIENDO LAS PREGUNTAS ADECUADAS?

Sin duda, la diligencia debida tecnológica es uno de los aspectos esenciales para las transacciones empresariales contemporáneas, así como tener conocimiento de los elementos a tener en cuenta antes de dar el siguiente paso. Sin embargo, es necesario tener las habilidades, experiencia y perspectivas que ofrecen terceras partes independientes.

Al contrario de los puntos de vista tradicionales de la diligencia debida tecnológica, Vaultinum ofrece una herramienta online de diligencia debida de software, Conoce Tu Software. Mediante un profundo análisis del código fuente, revisado por un experto en TI, la solución analiza la Propiedad Intelectual, la Ciberseguridad, la Adaptabilidad y los riesgos de Terceras Partes. Los resultados se comparten en un informe detallado que incluye la puntuación, recomendaciones y soluciones.

Con 40 años de experiencia en el ámbito legal y de las TI, todos los elementos de la solución de KYS de Vaultinum se ha diseñado en colaboración con expertos líderes en los sectores de la Ciberseguridad, la Propiedad Intelectual, el desarrollo de Software y el Cumplimiento, para ofrecer a los usuarios un análisis de riesgos completo y fiable.

Realice sus inversiones con confianza con la garantía de la solución de la diligencia debida tecnológica de Vaultinum personalizada pensando en el mundo digital actual.

Descargo de responsabilidad

Las opiniones, presentaciones, cifras y estimaciones expuestas en el sitio web, incluido este blog, tienen únicamente fines informativos y no deben interpretarse como asesoramiento jurídico. Para obtener asesoramiento jurídico debe ponerse en contacto con un profesional del derecho de su jurisdicción.

El uso de cualquier contenido de este sitio web, incluido este blog, para cualquier fin comercial, incluida la reventa, está prohibido, a menos que se obtenga primero el permiso de Vaultinum. La solicitud de permiso debe indicar el propósito y el alcance de la reproducción. Para fines no comerciales, todo el material de esta publicación puede ser citado o reproducido libremente, pero se requiere un reconocimiento, junto con un enlace a este sitio web.