Manténgase informado con actualizaciones gratuitas
Simplemente regístrese en Cyber Security myFT Digest, que se entrega directamente en su bandeja de entrada.
El incidente en el que estafadores de Hong Kong robaron 25 millones de dólares de una empresa de ingeniería británica utilizando un clon digital de un alto ejecutivo, un “deepfake”, para emitir órdenes de remesas a través de videollamada, es un ejemplo reciente de la creciente sofisticación de los ciberataques. . Dejó claro que sí.
El cibercrimen es uno de los tres principales problemas que mantienen despiertos a los directores jurídicos por la noche, según una encuesta de 669 personas de 31 países realizada por la Corporate Law Association, un colegio de abogados mundial, el 37% de los directores jurídicos lo citaron como su problema. principal preocupación.
A los reguladores les preocupa que las empresas no estén implementando suficiente protección. En julio, el Banco Central Europeo pidió a las instituciones financieras que se prepararan mejor para los ciberataques después de que su primera prueba de resistencia cibernética descubriera “margen de mejora”. El mercado de seguros Lloyd's de Londres advirtió recientemente que los ciberataques a los sistemas de pagos internacionales podrían costar a la economía mundial 3,5 billones de dólares.
Para las empresas, los riesgos están aumentando. Según un informe de la empresa de ciberseguridad Sophos, el ransomware (donde los ciberdelincuentes bloquean los datos o los sistemas informáticos de la víctima y solo los liberan si se paga un rescate) se está utilizando ahora en ataques a servicios financieros. La proporción aumentará del 55% en 2022. al 64% en 2023. Los piratas informáticos han atacado organizaciones de alto perfil como el Royal Mail de Gran Bretaña, la Biblioteca Británica y la sucursal de Nueva York del Banco Industrial y Comercial de China.
Los directores jurídicos están en primera línea para proteger a las empresas de estas amenazas cibernéticas. Muchas empresas realizan periódicamente ejercicios militares para prepararse ante posibles ataques, y los abogados internos desempeñan un papel clave.
El ciberataque a la Biblioteca Británica en 2023 genera preocupación sobre las vulnerabilidades en la infraestructura de TI del sector público © Getty Images
“La simulación de escenarios de ciberpiratería es una parte importante de cómo los abogados internos responden a las amenazas”, dijo David Dunn, director general senior y jefe de ciberseguridad de EMEA en la consultora FTI Consulting.
En caso de un ciberataque, los asesores legales tienen obligaciones como notificar a los reguladores dentro de un plazo determinado. En el caso de un ataque de ransomware, el asesor legal participará en gran medida a la hora de decidir si se paga el rescate. Sin embargo, estos escenarios ya deberían tenerse en cuenta durante los juegos de guerra.
“Los abogados internos deben participar en la toma de decisiones sobre ransomware en escenarios de manual mucho antes de que ocurra un incidente”, dice Dunn. “También existen riesgos de sanciones si una empresa decide pagar un rescate a una organización y esa organización tiene una relación con una empresa o individuo sancionado, existe el riesgo de violar las sanciones al realizar el pago”.
Además de la planificación de escenarios, los equipos jurídicos también participan en la formación del personal, que a menudo se considera el eslabón débil de un ciberataque. El año pasado, se informó que se llevó a cabo un ataque de ransomware en MGM Resorts International, uno de los operadores de casinos más grandes del mundo, utilizando las credenciales de inicio de sesión débiles y robadas de un ingeniero de TI de nivel medio.
“Requerimos capacitación cibernética para todos los empleados cada año”, informa Kari Hietanen, vicepresidente ejecutivo de relaciones corporativas y asuntos legales de Wartsila, un grupo de tecnología marina y energética que cotiza en Helsinki. “Existe una conciencia cada vez mayor sobre la prevención de cosas como amenazas cibernéticas y ataques de phishing”.
“Los equipos jurídicos y los equipos de ciberseguridad trabajan cada vez más juntos”, añadió.
Los proveedores externos plantean otro riesgo que los equipos legales deben considerar. Hietanen afirma que Wartsila especifica cada vez más requisitos contractuales para la ciberresistencia de los productos de proveedores externos.
En Estados Unidos, el riesgo de litigio después de un incidente es muy alto. En Alemania y Francia, el riesgo de litigio podría ser aún mayor.
Mientras tanto, las regulaciones globales y el cumplimiento que rigen la seguridad cibernética son cada vez más complejos. Los ataques cibernéticos suelen ser delitos denunciables y las violaciones de datos pueden dar lugar a enormes multas por parte de reguladores como el Comisionado de Información del Reino Unido. Las empresas también pueden enfrentar demandas de clientes cuyos datos pueden haber sido robados.
“En Estados Unidos, por ejemplo, el riesgo de litigios posteriores al incidente por parte de socios, terceros y clientes es muy alto”, dijo Dunn. “Hay menos demandas en el Reino Unido y Europa, pero Alemania y Francia pueden ver más litigios después de los incidentes”.
Los abogados internos a menudo también necesitan garantizar que las empresas cumplan con las medidas de resiliencia cibernética que se aplican a sus productos y servicios. Hietanen señala como ejemplo las nuevas regulaciones para la energía y los productos marítimos, como los requisitos destinados a proteger los sistemas y equipos a bordo de los barcos.
En el sector de servicios financieros, las empresas europeas se están preparando para la Ley de Resiliencia de Operaciones Digitales (DORA), que entrará en vigor en enero de 2025. La ley tiene como objetivo fortalecer la resiliencia y garantizar que las operaciones financieras sean ininterrumpidas en caso de interrupciones debido a problemas globales de TI o ataques cibernéticos.
Raymond Kreimeer, ex alto funcionario de políticas del Banco Central holandés, está trabajando actualmente en la implementación de DORA en una importante institución financiera. Anteriormente participó en el desarrollo de directrices internacionales para la resiliencia cibernética en el sector financiero. Dijo que DORA requiere que las empresas organicen su gobernanza y trabajen de acuerdo con un modelo de tres líneas de defensa: revisiones comerciales, gestión de riesgos y auditoría.
La necesidad de hacer cumplir las normas ha hecho que el papel del asesor jurídico interno sea aún más importante, afirma Kleijmeer. “Tradicionalmente, este papel se consideraba una carga regulatoria adicional (para las empresas), pero con la llegada de Dora, se requiere un enfoque más proactivo e incluso proactivo”.
https://www.ft.com/content/5ce0a155-ddc2-43e4-a383-c6e78f51f836