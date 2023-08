Vivimos en una sociedad litigiosa y los CIO no son una excepción cuando se trata de juicios. ¿Qué puede hacer para protegerse?

Los empleadores de los CIO y sus equipos legales brindan a los CIO mucha protección legal cuando se trata de realizar su trabajo. Aún así, se puede dejar que los CIO se las arreglen solos si se percibe que sus acciones cruzan un umbral legal o cuando los riesgos inherentes al trabajo se consideran inadecuados.

Los CIO han sido demandados por supuestamente aceptar sobornos de empresas con las que sus empresas de origen habían contratado y por no proteger los datos que resultaron en una violación de datos importante.

Este año, Gartner demandó a una ex directora de investigación del gobierno por presuntamente violar sus acuerdos de no competencia y no captación y apropiación indebida de secretos comerciales.

La conclusión es que los CIO pueden ser demandados, y es igualmente cierto que muchos CIO no piensan en esa posibilidad.

¿Cuáles son algunos de los “errores” legales que los CIO deben tener en cuenta y cómo pueden protegerse?

Aquí hay seis cuestiones a tener en cuenta cuando se trata de su exposición legal como líder de TI:

1. Usted puede ser personalmente responsable por una variedad de razones

Estos motivos van desde infracciones de responsabilidad fiduciaria, fraude, autonegociación y conflicto de intereses, hasta infracciones de las leyes estatales y federales, prácticas laborales cuestionables, robo de propiedad intelectual y mal manejo de datos.

2. La falta de un seguro de responsabilidad civil puede dejarlo expuesto

Es posible que esté pensando que su empresa lo defenderá por responsabilidad, y podría tener razón si su empresa tiene cobertura de responsabilidad para sus ejecutivos y usted es un directivo. Pero, ¿su empresa tiene un seguro de responsabilidad civil para sus ejecutivos?

Es estándar para la mayoría de las compañías Fortune 500 tener un seguro de responsabilidad civil para sus ejecutivos, pero un número considerable de compañías privadas y sin fines de lucro se enfrentan a desafíos en el aumento de las primas y es posible que no tengan protección de responsabilidad civil.

Si se está entrevistando para un trabajo de CIO, es prudente averiguar si la empresa con la que se está entrevistando ofrece protección de responsabilidad civil y seguro de indemnización para sus ejecutivos.

3. El seguro de responsabilidad civil no es un cajón de sastre

¿El seguro de responsabilidad ejecutiva cubre todo? No, no lo hace.

“El seguro D&O [director y oficial] por lo general no cubre casos de daños a la propiedad, actos ilegales y demandas entre gerentes”, advierte el abogado Mat Kresz de Kresz Law. “Los daños a la propiedad podrían no cubrir los daños a las computadoras, los equipos de red y los datos que resultan de un ataque cibernético, como un ataque de ransomware, aunque la responsabilidad cibernética podría continuar donde termina la cobertura de D&O”.

Kresz también señala que existe un área gris cuando se trata de actos considerados ilegales. “Algunas pólizas están dirigidas a excluir conductas que el asegurado sabía que eran ilegales, mientras que otras podrían estar dirigidas a cualquier actividad ilegal, ya sea que se sepa que es ilegal o no”, dice, y agrega: “Se excluyen los juicios entre gerentes para prevenir el fraude de seguros, donde un administrador demanda a otro asegurado”.

En resumen, es aconsejable revisar minuciosamente su cobertura de responsabilidad corporativa si su empresa la proporciona, porque no todo está cubierto.

4. Es mejor revelar que ocultar

En otro caso, el personal alertó a un CIO sobre un ataque cibernético que comprendía miles de registros de clientes. Temeroso de las repercusiones, el CIO decidió no alertar al CEO ni al directorio. Finalmente, la infracción salió a la luz, cuando los clientes comenzaron a amenazar a la empresa con demandas. No hace falta decir que el CIO fue despedido. También podría haber sido demandado por negligencia e incumplimiento del deber.

5. Los problemas de los empleados deben documentarse

En mi primer trabajo como gerente de TI, entré en una situación en la que mi supervisora ​​de telecomunicaciones abusaba de su personal y ella misma no conocía el trabajo. Le habían dado su puesto porque era la esposa de un vicepresidente senior.

El departamento de TI del que estaba asumiendo la responsabilidad estaba funcionando mal. Sabía que probablemente no había forma de revertir la mala moral y mejorar el desempeño sin probablemente despedirla, y tenía abundante documentación que ilustraba su incapacidad y falta de voluntad para hacer su trabajo.

Consciente de que ella era la esposa de un vicepresidente, trabajé de la mano con Recursos Humanos. Documenté los problemas de desempeño con gran detalle, y Recursos Humanos y yo tuvimos una serie de reuniones conjuntas con el individuo. Desafortunadamente, el mal comportamiento y desempeño nunca cambiaron. Eventualmente no tuve más remedio que terminar su empleo.

Luego, el individuo amenazó con una demanda por despido injustificado y discriminación de género contra mí y la empresa. Eventualmente abandonó la amenaza, pero me fui con una lección aprendida: documente siempre de manera integral cuando tenga problemas de rendimiento y discusiones con los empleados. Si es necesario reunirse con las personas involucradas, involucre a Recursos Humanos en estas reuniones para que tenga un segundo testigo de sus conversaciones.

6. Haga de la seguridad corporativa su negocio personal

Cuando los CIO son demandados o despedidos, a menudo se debe a una brecha de seguridad cibernética significativa. La razón de esto es que los CIO son los responsables últimos de salvaguardar la información corporativa. Cuando se produce una infracción, siempre se percibe que está bajo la supervisión del CIO, y las repercusiones pueden ser graves.

Para reducir el riesgo y cumplir con las responsabilidades, el CIO debe reunirse regularmente con su CISO y/o el líder del equipo de seguridad para revisar los informes semanales de monitoreo de seguridad, presupuestar y programar auditorías de seguridad oportunas, garantizar que se implementen los marcos y las herramientas de seguridad adecuados, y que los empleados, el director ejecutivo y la junta estén debidamente informados y capacitados en políticas y prácticas sólidas de seguridad de la información.

Los CIO deben participar personalmente en este proceso, porque la ignorancia cuando usted está a cargo en última instancia no es una defensa en una demanda por violación de seguridad.

Sarah K. White, CIO.com