[20/01/2021] Todo CISO necesita acceso a un asesor legal calificado, un asesor confiable que pueda abordar el desafío de proteger los datos de la empresa y los clientes, así como cumplir con un laberinto cada vez mayor de mandatos gubernamentales y de la industria internacional. Encontrar un abogado que comprenda los graves problemas que enfrentan los CISO puede ser una tarea formidable. Solo un puñado relativo tiene conocimientos sobre tecnología, seguridad y privacidad.
Esa es una buena razón para que los CISO participen en la contratación de un abogado general (GC, por sus siglas en ingles). Las siguientes cinco preguntas ayudarán a los CISO a abrirse paso entre la multitud de candidatos, y encontrar el asesor legal que esté mejor equipado para ayudarles a su organización, clientes y socios comerciales a mantenerse seguros y protegidos.
1. ¿Cómo responderá a nuestro llamado de ayuda?
El tiempo es fundamental cuando se produce una irrupción. Para la mayoría de las empresas, el costo creado por la mala gestión de los riesgos legales supera con creces el costo de las reparaciones técnicas y la recuperación de sistemas perdidos. "Es fundamental contar con un bufete de abogados con experiencia en retención y prepararse para una respuesta a incidentes con anticipación”, afirma Leo Taddeo, CISO de Cyxtera, un proveedor de colocación de datos.
Es particularmente importante determinar quién tomará las decisiones clave en los minutos y horas posteriores al inicio de una infracción. Si no se encuentran representantes de la gerencia disponibles de inmediato, ¿el abogado estará autorizado para tomar las acciones necesarias destinadas a proteger los recursos empresariales críticos?
La mayoría de los GC se sienten cómodos tomando decisiones sensibles al riesgo, pero rara vez esas decisiones también son urgentes, observa Steve Zalewski, CISO adjunto de Levi Strauss and Co. "Si un GC se ve arrastrado a una crisis cibernética, generalmente se debe a que un host de medidas de contención ya ha fallado, y es posible que se requieran medidas drásticas para neutralizar el ataque», señala Zalewski. "Durante un incidente cibernético creciente, los GC pueden tener minutos, en ese caso, para realizar una llamada importante”. Dado que el GC es a menudo el segundo al mando designado cuando el CEO no está disponible, el CISO necesita encontrar a alguien que se sienta cómodo haciendo llamadas críticas, como cerrar el correo electrónico, las páginas web minoristas o los sistemas de facturación.
Zalewski sugiere buscar un GC que tenga un historial de tomar decisiones difíciles sin dudarlo. "Descubrí que [los abogados] con experiencia militar a menudo tendrán una mejor perspectiva y preparación para estar en el puesto de decisión”, afirma. "El enfoque en la misión y la capacitación que reciben al operar en situaciones de crisis encajan bien en la respuesta a incidentes de ciberseguridad”.
2. ¿Qué tan fuerte es usted en las leyes regulatorias y de respuesta a incidentes?
Las leyes y regulaciones de privacidad y seguridad están evolucionando rápidamente, incluso cuando las empresas enfrentan un torrente aparentemente interminable de desafíos emergentes. Desde el punto de vista de la seguridad/privacidad, es importante encontrar un GC que se especialice en leyes regulatorias y de respuesta a incidentes. "Con demasiada frecuencia, los abogados de tecnología que tienen mucha experiencia en licencias de propiedad intelectual no consideran que la privacidad o la seguridad de los datos estén dentro de sus propios límites», explica la abogada Kimberly Verska, CIO de Culhane Meadows un bufete de abogados.
Si un GC no está completamente instruido en cuestiones clave de seguridad y privacidad, puede ser necesario asignar fondos para que el GC se reúna con expertos en leyes de privacidad/seguridad para obtener conocimientos sobre las tendencias emergentes de privacidad y seguridad. "Esto puede resultar muy costoso si el proceso de selección de abogados no ha dado como resultado un abogado de tecnología que pueda manejar todos los problemas presentados”, señala Verska.
3. ¿Conoce nuestras tecnologías y modelo de negocio?
Un abogado especializado en derecho tecnológico debe tener una visión profunda del modelo comercial, los sistemas y las vulnerabilidades potenciales de cada cliente. "Es importante que un abogado corporativo para empresas tenga la capacidad de operar eficientemente con información limitada, de manera rápida y con confianza”, afirma Matthew Rogers, CISO del proveedor de software de administración de TI, Syntax. El abogado también debe tener la capacidad de desafiar ocasionalmente nuevas leyes y regulaciones, posiblemente estableciendo nuevos precedentes para futuras pautas de la industria. "Muchas de las situaciones por las que litigarán se encuentran en aguas desconocidas, por lo que necesitarán encontrar algo de consuelo y confianza en ese espacio”, agrega Rogers.
Para encontrar candidatos adecuados para GC, Rogers sugiere buscar asesoramiento de CISOs en empresas de industrias similares que no sean competidores directos. "De esa manera, puede explorar su historial de experiencia en litigios con... nuevas leyes de privacidad y seguridad”, señala. La experiencia con regulaciones como HIPAA y tener una comprensión completa de los requisitos NIST 800-171 es crucial.
4. ¿Qué le convierte en un buen comunicador?
El CISO y el abogado deben poder trabajar juntos como un equipo. Un abogado arrogante, terco, difícil de contactar o al que simplemente no le gusta hablar es un gran riesgo. "La comunicación constante entre el CISO y el asesor legal puede ayudarle a la organización a identificar cualquier riesgo legal que el CISO desconocía y, por supuesto, contribuir a documentar políticas, SLA [acuerdos de nivel de servicio] y lograr el cumplimiento de la seguridad”, afirma Victor Kritakis, CISO de TalentLMS, proveedor de plataformas de aprendizaje en línea. Agrega que también es importante que el abogado pueda comunicar sus conocimientos de una manera que muestre "una sólida comprensión de las amenazas básicas que una empresa puede enfrentar en un ciberespacio que cambia y evoluciona rápidamente”.
Zalewski sugiere buscar un abogado que tenga la capacidad de escuchar primero y hablar en segundo lugar. "A muchos abogados corporativos les gusta decirle a la gente qué hacer y están acostumbrados a dar órdenes, pero una cibercrisis siempre tiene un conjunto único de circunstancias», afirma. El GC debe ser un buen oyente, no simplemente un dador de órdenes unidimensional. "Durante un ciberataque, o realmente en cualquier crisis, es difícil para cualquiera tomar buenas decisiones o proporcionar un liderazgo sólido sin el contexto y la conciencia de la situación, lo que requiere una conversación -especialmente a las 2 am”.
5. ¿Puede describir un desafío que pudo resolver con un enfoque novedoso?
Muchos problemas de ciberseguridad y privacidad son complejos y no se pueden abordar rápidamente con una solución genérica. Por eso es importante tener acceso a un abogado que pueda pensar de manera diferente, no convencional o desde una nueva perspectiva. Esto es particularmente cierto cuando se navega por la red, cada vez más compleja, de leyes y regulaciones estatales, nacionales e internacionales. "Los CISO y los responsables de la toma de decisiones empresariales necesitan soluciones pragmáticas que permitan a la organización abordar de manera responsable los requisitos reglamentarios en evolución”, aconseja Nevin Markwart, CISO de FutureVault, un proveedor de plataforma de gestión de documentos y datos basada en la nube.
En lugar de mirar a los precedentes del pasado, los líderes empresariales necesitan un asesor corporativo que pueda responder de manera creativa a los nuevos desafíos en un panorama legal en rápida evolución, afirma Karen Walsh, CEO de Allegro Solutions, una firma de asesoría de cumplimiento de ciberseguridad. "Por ejemplo, las firmas de los demandantes se han vuelto más creativas, buscando formas de establecer demandas colectivas de privacidad bajo las leyes de escuchas telefónicas, como se evidencia en la demanda de June Brown, et al. v. Google”, señala Walsh. "Los CISO necesitan contrapartes legales que puedan comprender el impacto de la tecnología en los resultados de negocio, en contraposición al funcionamiento interno de la tecnología”.
Basado en el artículo de John Edwards (CSO) y editado por CIO Perú