6 'trampas' legales que podrían hundir tu carrera de CIO
Los CIO no son una excepción cuando se trata de juicios. ¿Qué puedes hacer para protegerte?
Los empleadores de los CIO y sus equipos legales brindan a los CIO mucha protección legal cuando se trata de realizar su trabajo. Aun así, se puede dejar que los CIO se las arreglen solos si se percibe que sus acciones cruzan un umbral legal o cuando los riesgos inherentes al trabajo se consideran inadecuados.
Los CIO han sido demandados por supuestamente aceptar sobornos de empresas con las que sus empresas de origen habían contratado y por no proteger los datos que resultaron en una brecha de seguridad importante.
Este año, Gartner demandó a una ex directora de investigación del gobierno por presuntamente violar sus acuerdos de no competencia y no captación y apropiación indebida de secretos comerciales.
La conclusión es que los CIO pueden ser demandados, y es igualmente cierto que muchos CIO no piensan en esa posibilidad. ¿Cuáles son algunos de los "errores" legales que los CIO deben tener en cuenta y cómo pueden protegerse?
Aquí hay seis cuestiones a tener en cuenta cuando se trata de su exposición legal como líder de TI.
1. Puedes ser personalmente responsable por una variedad de razones
Estos motivos van desde infracciones de responsabilidad fiduciaria, fraude, autonegociación y conflicto de intereses, hasta infracciones de las leyes estatales y federales, prácticas laborales cuestionables, robo de propiedad intelectual y mal manejo de datos.
2. La falta de un seguro de responsabilidad civil puede dejarte expuesto
Es posible que estés pensando que tu empresa te defenderá por responsabilidad y podría tener razón si tu empresa tiene cobertura de responsabilidad para sus funcionarios y tú eres un funcionario. Pero, ¿tu empresa tiene un seguro de responsabilidad civil para sus ejecutivos?
Es estándar para la mayoría de las compañías Fortune 500 tener un seguro de responsabilidad civil para sus ejecutivos, pero un número considerable de compañías privadas y sin fines de lucro se enfrentan a desafíos en el aumento de las primas y es posible que no tengan protección de responsabilidad civil.
Si te estás entrevistando para un trabajo de CIO, es prudente averiguar si la empresa con la que te estás entrevistando ofrece protección de responsabilidad civil y seguro de indemnización para sus ejecutivos.
3. El seguro de responsabilidad civil no es un cajón de sastre
¿El seguro de responsabilidad ejecutiva cubre todo? No, no lo hace.
“El seguro D&O [director y oficial] por lo general no cubre casos de daños a la propiedad, actos ilegales y demandas entre gerentes”, dice el abogado Mat Kresz de Kresz Law. “Los daños a la propiedad podrían no cubrir los daños a las computadoras, los equipos de red y los datos que resultan de un ataque cibernético, como un ataque de ransomware, aunque la responsabilidad cibernética podría continuar donde termina la cobertura de D&O”.
Kresz también señala que existe un área gris cuando se trata de actos considerados ilegales. “Algunas pólizas están dirigidas a excluir conductas que el asegurado sabía que eran ilegales, mientras que otras podrían estar dirigidas a cualquier actividad ilegal, ya sea que se sepa que es ilegal o no”, dice, y agrega: “Se excluyen los juicios entre gerentes para prevenir el fraude de seguros, donde un administrador demanda a otro asegurado”.
En resumen, es aconsejable revisar minuciosamente su cobertura de responsabilidad corporativa si su empresa la proporciona, porque no todo está cubierto.
4. Es mejor revelar que ocultar
En un caso, el personal alertó a un CIO sobre un ataque cibernético que comprendía miles de registros de clientes. Temeroso de las repercusiones, el CIO decidió no alertar al CEO ni al directorio. Finalmente, la infracción salió a la luz, cuando los clientes comenzaron a amenazar a la empresa con demandas. No hace falta decir que el CIO fue despedido. También podría haber sido demandado por negligencia e incumplimiento del deber.
5. Los problemas de los empleados deben documentarse
En mi primer trabajo como gerente de TI, entré en una situación en la que mi supervisora ??de telecomunicaciones abusaba de su personal y no conocía el trabajo. Le habían dado su puesto porque era la esposa de un vicepresidente senior.
El departamento de TI del que estaba asumiendo la responsabilidad estaba funcionando mal. Sabía que probablemente no había forma de revertir la mala moral y mejorar el desempeño sin probablemente despedirla y tenía abundante documentación que ilustraba su incapacidad y falta de voluntad para hacer su trabajo.
Consciente de que ella era la esposa de un vicepresidente, trabajé de la mano con recursos humanos. Documenté los problemas de desempeño con gran detalle y recursos humanos y yo tuvimos una serie de reuniones conjuntas con el individuo. Desafortunadamente, el mal comportamiento y desempeño nunca cambiaron. Eventualmente no tuve más remedio que despedirla.
Luego, el individuo amenazó con una demanda por despido injustificado y discriminación de género contra mí y la empresa. Abandonó la amenaza, pero me fui con una lección aprendida: documenta siempre de manera integral cuando tenga problemas de rendimiento y discusiones con los empleados. Si es necesario reunirse con las personas involucradas, involucre a RRHH en estas reuniones para que tenga un segundo testigo de tus conversaciones.
6. Haz de la seguridad corporativa tu negocio personal
Cuando los CIO son demandados o despedidos, a menudo se debe a una brecha de seguridad cibernética significativa. La razón de esto es que los CIO son los responsables últimos de salvaguardar la información corporativa. Cuando se produce una infracción, siempre se percibe que está bajo la supervisión del CIO y las repercusiones pueden ser graves.
Para reducir el riesgo y cumplir con las responsabilidades, el CIO debe reunirse regularmente con su CISO y/o el líder del equipo de seguridad para revisar los informes semanales de monitoreo de seguridad, presupuestar y programar auditorías de seguridad oportunas, garantizar que se implementen los marcos y las herramientas de seguridad adecuados, y que los empleados, el director ejecutivo y la junta estén debidamente informados y capacitados en políticas y prácticas sólidas de seguridad de la información.
Los CIO deben participar personalmente en este proceso, porque la ignorancia cuando estás a cargo en última instancia no es una defensa en una demanda por violación de seguridad.
