Newsletter
 Marzo – Abril 2022

Resumen

Artículo

Comprender la cyber amenaza dentro de la empresa

 Breves

ARTÍCULO

Comprender la cyber amenaza dentro de la empresa

El 8 de marzo pasado, un canal de televisión francés, una plataforma de música en línea y una aplicación de mensajería instantánea dejaron de funcionar con normalidad, fueron víctimas de un ciberataque.

Este fenómeno no es raro; en 2020, cada 39 segundos, una empresa sufrió un ciberataque. Desde la crisis de COVID-19, el riesgo de ciberataque ha aumentado debido a la aceleración de la digitalización de los intercambios dentro de la empresa, provocada por la introducción urgente del teletrabajo generalizado.

Este ciber riesgo afecta a todas las empresas, independientemente de su tamaño, actividad o reputación. Los ciber atacantes buscan sobre todo un fallo de seguridad para entrar en un sistema de información con el fin de acceder a datos confidenciales para obtener un beneficio económico.

Así, el ataque más extendido es el ransomware, que consiste en que un ciber atacante bloquea el acceso a datos esenciales para el funcionamiento diario de la empresa. La víctima se ve obligada a pagar un rescate para recuperar el acceso a su sistema de información.

A pesar del aumento de estos ataques, existen varios instrumentos para prevenir los ciberataques y, sobre todo, gestionar las consecuencias críticas que provocan.

Aunque obviamente es esencial protegerse técnicamente asegurando los sistemas de información de la empresa mediante la ingeniería informática, la empresa debe ser consciente de los riesgos legales asociados a la ciberdelincuencia.

Por ejemplo, la legislación europea anima a los Estados miembros a “prever, en el marco de su derecho nacional, las medidas pertinentes que permitan exigir la responsabilidad de las personas jurídicas cuando se ponga de manifiesto que no han garantizado un nivel suficiente de protección contra los ciberataques” (Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información). Así, una empresa que sea víctima de un ciberataque podría ser considerada responsable si no demuestra un nivel de protección suficiente.

Un ciberataque puede afectar a todas las actividades de una empresa y a sus relaciones con clientes, proveedores o empleados. Más allá de los medios técnicos y tecnológicos de protección, también existen buenas prácticas jurídicas para limitar o reducir los riesgos en caso de ciberataque.

En cuanto a las relaciones comerciales, se recomienda encarecidamente incluir cláusulas contractuales en los contratos y en las condiciones generales de compraventa de la empresa que permitan anticipar las consecuencias que podrían derivarse de un ciberataque. Por ejemplo, es importante comprobar si las cláusulas que organizan las consecuencias de la mala ejecución o el incumplimiento (retraso en la entrega, fuerza mayor) o las cláusulas que limitan la responsabilidad se adaptan a los nuevos riesgos.

Además, un ciberataque puede ser el resultado o la continuación de un ciberataque anterior contra uno de los socios de la empresa. Muy a menudo, las empresas que sufren un ciberataque tienden a no informar a sus socios, ya sea por descuido o porque no quieren hacer público el hecho de que han sufrido un ciberataque. Las cláusulas que exigen la información inmediata del socio en caso de ciberataque pueden limitar el riesgo de propagación del ataque y proteger a la empresa.

Por último, existen pólizas de seguro especializadas para cubrir el riesgo cibernético y, en particular, para compensar la pérdida de datos, cubrir el coste de recuperación de los datos robados o pagar el rescate. Dependiendo de la actividad de la empresa y del nivel de riesgo al que esté expuesta, puede merecer la pena contratar un seguro. La obligación de contratar un seguro también puede imponerse a un socio comercial.

En cuanto a las relaciones con los empleados, hay que tener en cuenta que el 98% de los ataques están relacionados con errores humanos.

Por ello, es muy importante concienciar a los empleados de los riesgos cibernéticos. Esto puede hacerse mediante la formación o la adopción de una Carta de buenas prácticas en el uso de las herramientas digitales.

Un último punto de atención se refiere a la reacción ante un ciberataque. En caso de ciberataque, la empresa puede enfrentarse a varios requisitos, como: identificar el origen del ataque, reunir pruebas, identificar la naturaleza de los datos robados y, en su caso, la necesidad de notificar la violación de los datos personales en un plazo de 72 horas. Es importante que la empresa forme a sus equipos en las reacciones adecuadas en caso de ciberataque.

En breve 

1. Evento de la empresa

Nathalie Cazeau intervendrá en el Seminario de Derecho de la Moda de la UIA sobre el concepto de conformidad en el marco de la venta internacional de mercancías, en Barcelona el 18 de marzo de 2022.

2. Formación

El 9 de abril, Nathalie Cazeau dará su curso anual sobre Responsabilidad Social de las Empresas (RSE) a los estudiantes del MBA en Derecho de los Negocios de la Universidad de París-Panthéon-ASSAS.