Blog | ne Digital: Managed Services for Cybersecurity, Microsoft 365 and Azure

Llevar a cabo el Proceso de Due Diligence en TI de manera efectiva.

Escrito por Nicolas Echavarria | 29-jul-2022 18:50:45

El proceso de due diligence en TI se encarga de evaluar y descubrir el rendimiento, las responsabilidades, las amenazas clave y las oportunidades en términos de Tecnologías de la Información, así como las posibles necesidades de inversión asociadas a esta área.

Este se lleva a cabo, en primer lugar, para garantizar una mejor valoración de una estructura de TI. A partir de este análisis, es posible reforzar la mitigación de posibles riesgos y comprender si la infraestructura objetivo tiene lo necesario para ayudar a la empresa a lograr sus metas estratégicas.

De esta manera, se convierte en un elemento clave para la empresa compradora durante un proyecto de adquisición, al igual que para la toma de decisiones relacionadas a potenciales fusiones mercantiles y corporativas.

Pero, ¿qué es realmente un proceso de due diligence en TI y cómo ponerlo en marcha? A continuación, profundizamos en el tema.

Due Diligence en TI: ¿Qué es y cuál es su importancia?

La debida inteligencia de TI, también conocida como "proceso de IT due diligence", abarca un conjunto de actos sistemáticos de revisión y evaluación de la estrategia de esta área y los recursos disponibles en ella.

En líneas generales, al aplicar la debida inteligencia, se deben considerar sus "3 P's": Personnel (personal), Processes (procesos) y Privacy Controls (controles de privacidad).

Si llevamos este principio al ámbito de TI, esto incluye el análisis de la arquitectura, la cartera de aplicaciones, la infraestructura, los contratos del personal de este departamento y los procedimientos y la seguridad de TI, e incluso de la información financiera ligada a este campo.

Bajo este proceso, es posible identificar elementos de interés para la gestión de riesgos, como:

  • Posibles contingencias;
  • Riesgos;
  • Oportunidades clave;
  • Posible obsolescencia de la plataforma de TI o bien su nivel de actualización;
  • Costos e impactos financieros;
  • Viabilidad de integración de TI y Tecnologías de la Información y Comunicación (TIC) en general.

¿Por qué es necesaria la debida diligencia en el área de TI?

La TI y los negocios se entrelazan cada vez más. En la actualidad, las empresas dependen de la Tecnología de la Información para respaldar las operaciones comerciales, administrar transacciones y habilitar nuevas oportunidades.

Sin embargo, muchos proyectos de debida diligencia carecen del énfasis y las sinergias requeridas en el proceso de investigación del área de TI, lo cual abre brecha a amenazas asociadas a la vulneración de privacidad e incluso a la ineficiencia operativa a partir de una deficiente infraestructura tecnológica, entre otros riesgos potenciales.

Proceso de due diligence de TI en una empresa: ¿Cuáles son las 6 áreas clave?

En general, el proceso de due diligence de TI observa 6 áreas de una empresa, y cada una de estas debe responder a una interrogante crítica por parte de un IT Manager para verificar que haya una buena salud en la infraestructura de este sector. Las áreas de análisis son las siguientes:

  1. Estrategia de TI y aplicación comercial: ¿Cómo se rige la TI como un componente estratégico de las operaciones y el crecimiento del negocio?
  2. Liderazgo o roles y capacidad del personal: ¿El liderazgo gestiona el crecimiento y genera un progreso comercial significativo utilizando sus procesos de TI?
  3. Estrategia comercial: ¿La TI potencia directamente la estrategia comercial de la empresa o sirve como un jugador neutral o un obstáculo?
  4. Infraestructura tecnológica, recuperación de brechas y estabilidad comercial: ¿La TI de la empresa utiliza las mejores prácticas para cada situación?
  5. Ciberseguridad: ¿Cómo protege la TI de la empresa los activos y recursos de la empresa?
  6. Futuras implementaciones de TI: ¿La TI de la empresa se anticipa y se ajusta al próximo crecimiento y necesidades del negocio?

5 componentes fundamentales del proceso de due diligence en TI

La debida diligencia en fusiones y adquisiciones, considerando el área de TI, es un proceso extenso y complejo que involucra múltiples partes y fases.

Por esa razón, es recomendable hacer un checklist o lista de verificación de debida inteligencia en tecnologías de la información, que evalúe de manera rigurosa los siguientes componentes:

1. Análisis de la infraestructura empresarial

En este elemento del proceso de debida diligencia de TI, una empresa observará el organigrama general y el personal detrás de una empresa.

Evaluará quién lidera qué departamentos, sus calificaciones y experiencia en la dirección de estos departamentos, su historial, procesos de delegación y asignación, cómo se ejecutan las decisiones y qué controles y procesos se implementan, y más.

En este punto, también estará bajo supervisión los contratos del personal de TI, los costos de salarios, entre otros elementos clave, con el objetivo de monitorear la infraestructura empresarial y, así, promover su buen desempeño.

2. Evaluación de procesos de negocio y arquitectura tecnológica

Aquí, el proceso de due diligence de TI analizará la interacción entre la arquitectura tecnológica general de una empresa objetivo y cómo contribuye a la ejecución comercial de la organización, desde la gestión de clientes hasta la incorporación, los pagos, el servicio al cliente, entre otros factores.

3. Iniciativas tecnológicas en curso y futuras

En este ámbito, el proceso de debida diligencia de TI analiza a la empresa para determinar cómo está creciendo y ajustándose en relación con su industria, competidores, tendencias de clientes, etcétera. Algunas de las preguntas clave que responde son:

  • ¿La empresa está dedicando demasiada, muy poca o la cantidad justa de atención y recursos a la tecnología futura y las nuevas implementaciones o modificaciones a su infraestructura que son apropiadas para el crecimiento?
  • ¿La compañía utiliza procesos, protocolos de almacenamiento de datos y procesamiento de información necesaria obsoletos o ineficientes?
  • ¿Su presupuesto y gastos reflejan un equilibrio saludable de mantenimiento tecnológico y crecimiento para adaptarse a los cambios de los clientes?

4. Protocolos de gestión de datos

Acá, la debida diligencia consiste en preguntar cómo la empresa administra, transmite, protege, utiliza y modifica los datos para servir los intereses del cliente y facilitar un desarrollo comercial saludable. Acá se debe aclarar:

  • ¿Se recopilan los datos de los clientes de manera eficiente?
  • ¿Cómo se utiliza la información relevante para mantener y gestionar la relación con el cliente?
  • ¿Qué datos se generan a partir de los datos iniciales del cliente y cómo estos nuevos datos informan los procesos dentro de la empresa para generar un producto o servicio significativo que pueda escalar con el tiempo?
  • ¿Hay ineficiencias en la forma en que se adquieren, modifican, almacenan, transmiten, etcétera, los datos?

5. Herramientas, prácticas y estándares de ciberseguridad

La debida diligencia de TI se centrará en el software, los protocolos, la propiedad intelectual tecnológica, las prácticas y las salvaguardas implementadas para la seguridad cibernética y la prevención de pérdida de datos.

Para ello, analizará con punto de vista objetivo los siguientes elementos:

  • ¿Cómo se configuran los protocolos de seguridad?
  • ¿Cuáles son los medios de prevención de las infracciones?
  • ¿Cómo interactúa el error humano con los sistemas tecnológicos y dónde pueden ocurrir y cuáles han ocurrido las vulnerabilidades?
  • ¿De qué forma se gestiona la capacitación de los empleados para ayudar a alinearse con las mejores prácticas de seguridad de datos, cómo se cifran, almacenan y transmiten de forma segura los datos de los clientes?

La revisión y análisis de cada uno de estos componentes es fundamental para obtener una visión general del estado del área de TI, valorando tanto aspectos tecnológicos como recursos humanos y financieros asociados a la misma, así como la estabilidad y alcances que brindará a largo plazo.

Recuerde que determinar la solvencia y el valor de la empresa, en el ámbito de la Tecnología de la Información, es un requisito fundamental para mitigar riesgos financieros, legales y de otras índoles durante un proceso de adquisición.

El objetivo de la due diligence es proteger los intereses del potencial comprador y su plan de negocio asociado a la adquisición, proveyendo un informe final certero, que permita tomar decisiones efectivas con base en la información proporcionada.

Ahora que conoce todo su procedimiento y mejores prácticas, es momento de que comprenda las ventajas del due diligence en TI leyendo nuestro post sobre el tema.
Ver post completo