Jones Day enfrenta la escrutinía de la SEC debido a los riesgos relacionados con la divulgación de información cibernética.

El incidente ocurre en forma directa, lo que se trata de un fracaso clásico en la cadena de suministro por parte de un tercero. Los hackers tuvieron acceso a gigabytes de datos sensibles sobre los clientes, así como a comunicaciones relacionadas con la empresa, pero no a través de la red central de Jones Day. La vulnerabilidad ocurrió debido a una brecha en la plataforma de transferencia de archivos utilizada por la empresa, Accellion. Esto hace que Jones Day sea la segunda gran firma de abogados en sufrir un error de este tipo en dos semanas, después de que Goodwin Procter también sufriera un incidente similar. La firma, que representa a empresas como Google, JPMorgan Chase y Walmart, está investigando ahora y está notificando a los clientes afectados.

Este incumplimiento ha generado un importante incentivo regulatorio. La SEC solicitó información sobre los nombres de los clientes de Jones Day, con el objetivo de determinar qué de sus 298 clientes podría haber tenido acceso a información no pública que podría ser utilizada en su contra. La autoridad de la SEC fue confirmada cuando un tribunal dictaminó, el año pasado, que una firma de abogados debe proporcionar los nombres de sus clientes a la SEC en cualquier investigación cibernética. Sin embargo, el tribunal también estableció un precedente importante, limitando el acceso a la información solo a siete de esos 298 clientes. Se concluyó que el resto no era relevante para los propósitos de investigación de la SEC. Esta decisión indica que, aunque la capacidad de investigación de la SEC sigue siendo amplia, no es ilimitada.

Este caso sigue una clara tendencia en materia de aplicación de las leyes. Justo el año pasado, la SEC acusó a una empresa de software de haber distorsionado la información sobre el alcance de un ataque de tipo ransomware. Este acto demostró que la agencia está vigilando más estrechamente las declaraciones relacionadas con la ciberseguridad. Ahora, la agencia está intensificando sus esfuerzos, ampliando su departamento encargado de los activos criptográficos y la ciberseguridad. Para Jones Day, las consecuencias regulatorias son dobles: el precedente judicial podría limitar el alcance inmediato de las demandas de la SEC, pero en general, la tendencia es hacia requisitos de divulgación más estrictos y medidas más drásticas contra aquellos que distorsionen la información sobre el impacto de cualquier brecha de seguridad.

Riesgos financieros y de los clientes: el impacto en la realidad

La brecha de seguridad ocurrió a través de un proveedor, lo cual constituye una diferencia crucial. Los sistemas de seguridad propios de Jones Day no fueron el punto directo de fallo; el ataque aprovechó vulnerabilidades en la plataforma de transferencia de archivos de Accellion. Esto cambia la responsabilidad inmediata, pero plantea una pregunta más amplia: ¿qué tan sólidos son los protocolos de gestión de riesgos relacionados con los proveedores de las empresas? Por ahora, los controles de seguridad directos de la empresa parecen no ser responsables del incidente. Pero este incidente sirve como un recordatorio del riesgo sistémico que existe cuando se depende de terceros para el suministro de servicios.

Es esencial cuantificar la escala. Jones Day es…La décima firma de abogados más grande del país.Con más de 2 mil millones de dólares en ingresos brutos, esta empresa demuestra el potencial de sus consecuencias si algo sale mal. La lista de clientes incluye a empresas de gran importancia, como Google de Alphabet Inc., JPMorgan Chase & Co., Walmart Inc., Procter & Gamble Co. y McDonald’s Corp. La empresa también tiene estrechos vínculos con los círculos políticos, ya que ha enviado abogados a cargos gubernamentales importantes y ha representado a la campaña de Trump. La pérdida de un cliente tan importante como Alphabet, o la pérdida de la confianza por parte de excolaboradores de un expresidente, podría tener consecuencias a largo plazo que afectarían no solo a un solo trimestre.

Sin embargo, el riesgo financiero más inmediato es el relacionado con las regulaciones, y no con el robo directo de datos. El principal riesgo es la posibilidad de enfrentar multas y costos de reparación. La Unidad de Activos Criptográficos y Ciberseguridad de la SEC ha estado…Duplicado en tamañoEsto indica un enfoque más estricto por parte de las autoridades encargadas de hacer cumplir la ley. La agencia ya ha sentado un precedente al demandar a una empresa de software el año pasado por haber distorsionado la información sobre el alcance del ataque de tipo “ransomware”. Este caso puso de manifiesto la necesidad de que las empresas divulguen información precisa y honesta sobre los efectos de los incidentes cibernéticos. Para Jones Day, el riesgo es doble: primero, cualquier error en la divulgación de información sobre los efectos del incumplimiento puede llevar a sanciones por parte de la SEC. Segundo, la empresa podría enfrentar costos significativos para investigar, notificar a los clientes y mejorar su capacidad de seguridad cibernética. Aunque la decisión del tribunal limitó la lista de nombres de clientes que debían ser revelados por la SEC a solo siete de los 298, la tendencia general es hacia requisitos de divulgación más estrictos y medidas de aplicación más severas en caso de falsas declaraciones. El impacto financiero será probablemente una combinación de multas directas y costos operativos considerables debido a un importante incidente de seguridad.

Catalizadores y puntos de vigilancia tácticos

Las consecuencias regulatorias y para los clientes derivadas de la falla en la empresa Jones Day se confirmarán o se pondrán en duda gracias a una serie de acontecimientos en el corto plazo. Para un inversor táctico, lo importante es observar los signos de subprecio que indiquen si el mercado está reaccionando de forma excesiva ante el fracaso de la empresa o si subestima las vulnerabilidades operativas de la misma.

En primer lugar, es necesario monitorear cualquier acción de sanción por parte de la SEC contra Jones Day en sí. El caso reciente presentado por la agencia contra una empresa de software, por haber distorsionado los datos relacionados con un ataque de tipo ransomware, constituye un precedente claro. La SEC acusó a esa empresa de no haber informado sobre el robo de información sensible, y en cambio la consideró como un riesgo potencial. Para Jones Day, lo importante son las propias declaraciones de la empresa. Si se determinara que las declaraciones de la empresa sobre los efectos del ciberataque son igualmente vagas o subestiman la gravedad de la situación, esto podría desencadenar una investigación formal y sanciones. La Unidad Cibernética de la SEC está activamente buscando tales casos de incumplimiento, por lo que esto podría ser un factor que impulse una investigación formal si se descubre que los controles de divulgación no son adecuados.

En segundo lugar, es necesario analizar las comunicaciones con los clientes y las declaraciones públicas para detectar cualquier señal de desinterés o demandas de mayores medidas de seguridad por parte de los clientes. La lista de clientes de la firma incluye empresas importantes como Google y JPMorgan Chase. Cualquier indicación pública por parte de un cliente importante de que está reconsiderando su relación con la firma o exigiendo un nivel más alto de seguridad sería una clara señal de impacto en los negocios. Esta es la forma más directa de determinar si la brecha de seguridad ha afectado negativamente la confianza entre los niveles más altos de la empresa. El hecho de que Jones Day sea…La décima firma de abogados más grande del país.Con ingresos de más de 2 mil millones de dólares, la pérdida de incluso algunos de los clientes más importantes podría tener un impacto financiero significativo, algo que va más allá de las sanciones legales.

En tercer lugar, es importante observar la respuesta pública de la empresa y su inversión en ciberseguridad. Una reacción débil o retrasada podría indicar problemas operativos más graves, lo que podría aumentar la volatilidad de los precios. La historia reciente de otras empresas que han sufrido ataques similares proporciona un punto de referencia. Kirkland & Ellis enfrentó más de 100 demandas legales y costos estimados en más de 100 millones de dólares, en parte debido a un retraso de cinco meses en notificar a un cliente. Orrick Herrington & Sutcliffe pagó una compensación de 8 millones de dólares, además de monitoreo continuo para más de 600,000 personas, debido a la falta de monitoreo las 24 horas del día. La respuesta de Jones Day debe ser rápida y transparente, para evitar una escalada similar. El mercado tomará en consideración el riesgo de una solución costosa y prolongada si los pasos iniciales de la empresa parecen insuficientes.

La estrategia táctica depende de estos puntos de control. Una sanción administrativa por incumplimiento de las normas podría ser algo temporal, mientras que la pérdida de clientes o una respuesta inadecuada podrían causar daños más graves y duraderos. La oportunidad para obtener ganancias se encuentra en la brecha entre el comportamiento del vendedor durante el incumplimiento inicial y las posibles consecuencias negativas derivadas de los errores operativos de la propia empresa.