Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hogar
Aug 05, 2023
Seis 'errores' legales que podrían hundir tu carrera como CIO
Vivimos en una sociedad litigiosa y los CIO no son una excepción cuando se trata de demandas. Que puedes hacer para protegerte? Los empleadores de los CIO y sus equipos legales brindan a los CIO mucha protección legal
Vivimos en una sociedad litigiosa y los CIO no son una excepción cuando se trata de demandas. Que puedes hacer para protegerte?
Los empleadores de los CIO y sus equipos legales brindan a los CIO mucha protección legal cuando se trata de realizar su trabajo. Aún así, se puede dejar que los CIO se las arreglen solos si se percibe que sus acciones cruzan un umbral legal o cuando se considera que los riesgos inherentes al trabajo no se abordan adecuadamente.
Los CIO han sido demandados por supuestamente aceptar sobornos de empresas con las que sus empresas de origen tenían contratos y por no proteger los datos, lo que resultó en una violación de datos importante.
Este año, Gartner demandó a un ex director de investigación del gobierno por supuestamente violar sus acuerdos de no competencia y no captación y por apropiación indebida de secretos comerciales.
La conclusión es que los CIO pueden ser demandados, y es igualmente cierto que muchos CIO no piensan en esa posibilidad.
¿Cuáles son algunos de los “errores” legales que los CIO deberían tener en cuenta y cómo pueden protegerse?
Aquí hay seis cuestiones que debe tener en cuenta cuando se trata de su exposición legal como líder de TI.
Estas razones van desde violaciones de la responsabilidad fiduciaria, fraude, autocontrato y conflicto de intereses, hasta violaciones de las leyes estatales y federales, prácticas laborales cuestionables, robo de propiedad intelectual y mal manejo de datos.
Podría estar pensando que su empresa lo defenderá por responsabilidad, y podría tener razón si su empresa tiene cobertura de responsabilidad para sus funcionarios y usted es un funcionario. ¿Pero su empresa cuenta con un seguro de responsabilidad civil para sus ejecutivos?
Es estándar para la mayoría de las empresas Fortune 500 tener un seguro de responsabilidad para sus ejecutivos, pero un número sustancial de empresas privadas y sin fines de lucro enfrentan desafíos por el aumento de las primas y es posible que no tengan protección de responsabilidad.
Si está entrevistando para un puesto de CIO, es prudente averiguar si la empresa con la que está entrevistando ofrece protección de responsabilidad y seguro de indemnización para sus ejecutivos.
¿El seguro de responsabilidad ejecutiva cubre todo? No, no lo hace.
“El seguro D&O [director y funcionario] generalmente no cubre casos de daños a la propiedad, actos ilegales y demandas entre gerentes”, dice el abogado Mat Kresz de Kresz Law. "Los daños a la propiedad podrían potencialmente no cubrir los daños a computadoras, equipos de red y datos que resulten de un ataque cibernético como un ataque de ransomware, aunque la responsabilidad cibernética podría continuar donde termina la cobertura D&O".
Kresz también señala que existe una zona gris cuando se trata de actos considerados ilegales. "Algunas pólizas están dirigidas a excluir conductas que el asegurado sabía que eran ilegales, mientras que otras podrían estar dirigidas a cualquier actividad ilegal, ya sea que se sepa que es ilegal o no", dice, y agrega: "Las demandas entre gerentes están excluidas para prevenir el fraude de seguros, donde un directivo demanda a otro asegurado”.
En resumen, es aconsejable revisar minuciosamente su cobertura de responsabilidad corporativa si su empresa la proporciona, porque no todo está cubierto.
En un caso, el personal alertó a un CIO sobre un ciberataque que había afectado a miles de registros de clientes. Temeroso de las repercusiones, el CIO decidió no alertar al director ejecutivo ni a la junta directiva. Finalmente, la infracción salió a la luz, cuando los clientes comenzaron a amenazar a la empresa con demandas. No hace falta decir que el CIO fue despedido. También podría haber sido demandado por negligencia e incumplimiento de deberes.
En mi primer trabajo como gerente de TI, me encontré con una situación en la que mi supervisora de telecomunicaciones abusaba de su personal y ni siquiera conocía el trabajo. Le habían asignado su puesto porque era la esposa de un vicepresidente senior.
El departamento de TI del que estaba asumiendo la responsabilidad estaba funcionando mal. Sabía que probablemente no había manera de revertir la mala moral y mejorar el desempeño sin probablemente despedirla, y tenía una gran cantidad de documentación que ilustraba su incapacidad y falta de voluntad para hacer su trabajo.
Consciente de que ella era esposa de un vicepresidente, trabajé de la mano con RRHH. Documenté los problemas de desempeño con gran detalle y RR.HH. y yo mantuvimos varias reuniones conjuntas con el individuo. Desafortunadamente, el mal comportamiento y desempeño nunca cambiaron. Al final no tuve más remedio que despedirla.
Luego, el individuo amenazó con demandar a mí y a la empresa por despido injustificado y discriminación de género. Finalmente abandonó la amenaza, pero yo aprendí una lección: documente siempre de manera exhaustiva cuando tenga problemas de desempeño y discusiones con los empleados. Si es necesario reunirse con las personas involucradas, involucre a RR.HH. en estas reuniones para tener un segundo testigo de sus conversaciones.
Cuando los CIO son demandados o despedidos, a menudo se debe a una violación importante de la ciberseguridad. La razón de esto es que los CIO son, en última instancia, responsables de salvaguardar la información corporativa. Cuando se produce una infracción, siempre se percibe como si estuviera bajo la supervisión del CIO y las repercusiones pueden ser graves.
Para reducir el riesgo y cumplir con sus responsabilidades, el CIO debe reunirse periódicamente con su CISO y/o el líder del equipo de seguridad para revisar los informes semanales de monitoreo de seguridad, presupuestar y programar auditorías de seguridad oportunas, garantizar que existan marcos y herramientas de seguridad adecuados. y que los empleados, el director ejecutivo y la junta directiva estén adecuadamente informados y capacitados sobre políticas y prácticas sólidas de seguridad de la información.
Los CIO deben participar personalmente en este proceso, porque la ignorancia cuando uno está en última instancia a cargo no es una defensa en una demanda por violación de seguridad.