Frage:
Persönliche und rechtliche Haftung in Bezug auf Unerfahrenheit?
durantjm198
2018-04-16 19:06:26 UTC
view on stackexchange narkive permalink

Ich bin ein Bachelor-Absolvent in Informatik - ich bin seit weniger als einem Jahr in diesem Bereich beschäftigt.

Mein aktueller Arbeitgeber bittet mich, ein relativ fortgeschrittenes Informationssicherheitsschema zu entwerfen und umzusetzen. und es macht mich etwas unwohl. Ich bin bereit, mein Bestes zu geben, aber ich bin überhaupt nicht offiziell in Sicherheit geschult worden und habe keine Arbeitsplatzerfahrung in technischer Sicherheit.

Wie kann ich das am besten kommunizieren, "wenn Sie mir mit Nein vertrauen Qualifikationen für das Design dieses Systems, und etwas geht schief, das ist Ihre Schuld, wenn Sie keinen tatsächlichen Experten für Informationssicherheit eingestellt haben? "

Gibt es auch eine Möglichkeit, dass sich dies rechtlich auf mich auswirkt? Ich möchte nicht rechtlich haftbar gemacht werden, wenn ich mir meiner Unerfahrenheit und mangelnden Qualifikationen voll bewusst bin.

Ich bin ein Auftragnehmer, kein Vollzeitbeschäftigter.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/76355/discussion-on-question-by-durantjm198-personal-and-legal-liability-with-pect).
Neun antworten:
user44108
2018-04-16 19:10:46 UTC
view on stackexchange narkive permalink

Ehrlichkeit ist hier die beste Politik.

Vielen Dank, dass Sie mir diesen Auftrag erteilt haben. Sie erkennen natürlich, dass ich kein Sicherheitsexperte bin und Zeit damit verbringen muss, dies zu untersuchen, und selbst dann ist es möglicherweise keine großartige Lösung?

Und sehen Sie, wo Dinge gehen von dort aus.

Je nach Bedarf / Lösung möchten Sie möglicherweise einen externen Berater hinzuziehen, der sich Ihren Vorschlag ansieht und die Dinge vor der Bereitstellung verschärft.

Es ist zweifelhaft, ob dies der Fall ist Sie persönlich beeinflussen, wenn etwas schief geht - Ihr Chef / andere sollten prüfen / testen / genehmigen, was auch immer Sie vorschlagen, um sicherzustellen, dass jegliche Haftung beim Unternehmen und nicht bei Ihnen liegt (Sie folgen schließlich nur den Anweisungen, nachdem Sie Ihre Einschränkungen angegeben haben ).

Stellen Sie im Rahmen der Due Diligence sicher, dass Sie E-Mails / Unterlagen haben, aus denen hervorgeht, dass das Unternehmen mit Ihrer Arbeit zufrieden ist, und dass Sie sich Ihres Mangels an Fachwissen in diesem Bereich bewusst sind. Drucken Sie die entsprechenden E-Mails aus - manchmal haben problematische E-Mails die Angewohnheit, von Exchange-Konten zu "verschwinden".

Bitten Sie im Rahmen dieses Projekts zusätzlich um eine formelle Schulung.
Und stellen Sie sicher, dass all dies formal in einer E-Mail dokumentiert ist, auf die Sie verweisen können, um zu zeigen, dass Sie versucht haben, die richtigen Dinge zu finden.
Vermutlich geht diese Antwort (und die Kommentare) der Information voraus, dass die Person ein Auftragnehmer ist.Ich denke nicht, dass dies die zugrunde liegende Antwort negiert, aber es wirkt sich auf die Details aus.
Schöne Antwort, aber zwei Wörter fehlen: ** Papierspur **.
Ich bin bereit zu wetten, dass jemand, der solche Aufgaben zunächst unerfahrenen Personen zuweist, die Notwendigkeit einer Schulung ablehnt.Trotzdem viel Glück.
Ich würde etwas anders reagieren - nämlich würde ich sagen, dass jede Lösung, die ich mir ausgedacht habe, mit Sicherheit weniger sicher wäre als eine Anpassung einer vorhandenen Lösung durch einen Sicherheitsexperten.Es ist nicht "könnte nicht großartig sein", es ist "Ich werde definitiv einige Sicherheitslücken vermissen, weil dies nicht mein Fachgebiet ist".Sicherheit ist extrem schwierig, und jemand, der keine Erfahrung mit dem Entwerfen sicherer Systeme hat, wird unweigerlich etwas anfällig machen.
HLGEM
2018-04-16 19:53:22 UTC
view on stackexchange narkive permalink

Als Auftragnehmer (Informationen in den Kommentaren) müssen Sie auch sehr vorsichtig sein, diese Arbeit ohne das Wissen und die Zustimmung Ihres eigenen Arbeitgebers, des Vertragsunternehmens, anzunehmen, da dieser möglicherweise eine rechtliche Haftung dafür hat. Wenn Sie Ihr eigenes Unternehmen sind, lehnen Sie die Arbeit ab.

Wenn Sie ein Einzelunternehmer sind, können Sie eine rechtliche Haftung in Millionenhöhe (möglicherweise) haben sogar Hunderte von Millionen), wenn Sie den Vertrag annehmen. Sicherheitshosen können einem Unternehmen und seinen Kunden enormen Schaden zufügen.

Die Tatsache, dass Sie wissen, dass Sie nicht qualifiziert sind, würde es wahrscheinlich noch wahrscheinlicher machen, dass es einen ernsthaften Verschluss gibt, und wahrscheinlicher, dass sie einen Fall gewinnen würden. Es gibt keinen Umstand, in dem es für Sie als Auftragnehmer selbst sicher ist, diesen Vertrag abzuschließen. Wenn Sie an mir zweifeln, konsultieren Sie einen Anwalt, bevor Sie die Arbeit annehmen.

Ablehnen?Ich stimme der Vorsicht und dem Bedürfnis nach Transparenz zu, aber ein Job ist ein Job und Erfahrung kann nicht ersetzt werden, wenn Sie gerade das College abgeschlossen haben ...
@USER_8675309 Sicher, aber Sie wollen nicht der nächste "Sechs-Millionen-Dollar-Mann" sein.Wenn Sie alleine sind, wie bei einem direkten Vertrag mit dem Unternehmen, würde ich dies ablehnen, um sicherzustellen, dass ich nicht derjenige bin, der am Haken liegt, wenn (nicht wenn) das Sicherheitssystem verletzt wird.
@USER_8675309: Wenn Sie keine Berufshaftpflichtversicherung haben, holen Sie sich jetzt eine.Stellen Sie sicher, dass Ihre Police die potenzielle Haftung abdeckt.Stellen Sie sicher, dass Ihr Vertrag mit dem Unternehmen Ihre Haftung auf das beschränkt, was Ihre Police abdeckt.Ich bin kein Anwalt.:-)
@USER_8675309 Die Berufserfahrung nach dem College ist großartig, aber es gibt Berufserfahrung und die Erfahrung, öffentlich für den Job verklagt zu werden, den Sie gemacht haben.Letzteres ist die Art von "Just-out-of-College" -Erfahrung, von der Sie sich finanziell nicht erholen können, und die auch bei Ihren zukünftigen Hintergrundprüfungen nicht gut aussehen wird.Die Chancen stehen gut, dass der Verfasser des Vertrags weiß, wonach er fragt (er wird sicherlich wissen, wann er geliefert werden muss), und wenn er sich für eine mögliche Bereitstellung entscheidet, scheint es sehr ähnlich zu sein, dass er nach einem Patsy sucht, um den Sturz zu überstehen.Sie kennen Ihre Anmeldeinformationen, warum riskieren Sie den Job für Sie?
@USER_8675309 "aber ein Job ist ein Job und Erfahrung kann nicht ersetzt werden, wenn Sie frisch vom College sind ..." Erfahrung ist von unschätzbarem Wert.Zum Beispiel die Erfahrung, keine riskanten Dinge zu tun, für die man nicht qualifiziert ist.Man kann sich entscheiden, dies auf einfache oder schwierige Weise zu lernen - die Lektion ist dieselbe.
Ja.Der richtige Weg, um Erfahrung in so etwas zu sammeln, besteht darin, Teil eines Projekts unter Anleitung einer erfahrenen Person zu sein, NICHT der einzige Auftragnehmer zu sein und gesetzlich zur Lieferung verpflichtet zu sein.
K_foxer9
2018-04-17 01:32:20 UTC
view on stackexchange narkive permalink

Jede Antwort, die Sie erhalten, basiert auf der Annahme:

  1. Sie sind ein Auftragnehmer, der tatsächlich ein falsch klassifizierter Mitarbeiter ist. (In den USA sehr verbreitet.)
  2. Sie sind ein Auftragnehmer, der wirklich ein Auftragnehmer ist.
  3. Agenturverträge mit dem Kunden ('aktueller Arbeitgeber'), aber Sie sind Mitarbeiter von Agentur.
  4. Sie sind tatsächlich ein Mitarbeiter des 'aktuellen Arbeitgebers'.
  5. ol>

    Wenn die Annahme falsch ist, ist die Antwort wahrscheinlich auch falsch.

    Wenn Sie als "echter" Auftragnehmer tätig sind, sollten Sie sich als Verkäufer betrachten und entsprechend handeln (siehe Adam Davis 'Antwort.)

    Auf jeden Fall ist es klug, sich über die Dinge Sorgen zu machen, über die Sie sich Sorgen machen, aber es scheint, als würden Sie von einer professionellen Rechtsberatung profitieren. Jeder kann im Internet antworten, einschließlich Law.SE, und diejenigen, die dies tun, sind nicht für ihre Beratung verantwortlich. Ein Fachmann wird Ihre Situation überprüfen, die Annahmen in Frage stellen und für ihren Rat haftbar gemacht werden.

    Wenn ich jemanden in Ihren Schuhen beraten würde, wäre ich sehr misstrauisch, ob er falsch klassifiziert ist Mitarbeiter, denn das macht einen großen Unterschied in der Analyse, den möglichen Konsequenzen und den Möglichkeiten für Rechtsbehelfe (und vor allem, wer schuld ist).

    Viele Anwälte bieten kostenlose Erstberatungen an, und Sie erhalten möglicherweise eine gute Anleitung, die Sie auf einen anderen Weg führt, als Sie sich vorgestellt haben.

Glen Pierce
2018-04-16 19:32:22 UTC
view on stackexchange narkive permalink

Es gibt wahrscheinlich ganze Bücher zu diesem Thema und es ist für niemanden möglich, Ihnen eine eindeutige Ja- oder Nein-Antwort zu geben. Die Fälle, in denen Mitarbeiter als haftbar befunden wurden, sind jedoch äußerst selten.

Sie handeln als Vertreter Ihres Unternehmens und es wird allgemein davon ausgegangen, dass Sie in gutem Glauben handeln. Ihr Chef kennt Ihre Erfahrung und hat Sie angewiesen, eine rechtmäßige Aufgabe zu erledigen. Solange Sie es nicht absichtlich vermasseln oder absichtlich Malware implantieren oder Ihren Chef belügen, was Sie getan haben, wird es Ihnen mit ziemlicher Sicherheit gut gehen.

Wenn Sie ' Wenn Sie wirklich besorgt sind, sollten Sie Ihre Prozesse sorgfältig dokumentieren und darum bitten, dass Ihre Arbeit von einer älteren Person überprüft wird (dies ist sowieso eine gute Idee).

Dies gilt nur für tatsächliche Mitarbeiter eines Unternehmens, nicht für unabhängige Auftragnehmer.
Adam Davis
2018-04-16 23:51:18 UTC
view on stackexchange narkive permalink

Als Auftragnehmer sind Sie einem höheren Risiko und einer höheren Haftung ausgesetzt als wenn Sie ein Mitarbeiter wären.

Erwägen Sie den Abschluss einer Fehler- und Unterlassungsversicherung, die Ihnen einen gewissen Schutz bietet, aber Beachten Sie, dass auch dies Sie möglicherweise nicht abdeckt, wenn Sie außerhalb Ihres bewährten Fachgebiets arbeiten. Wenn ein anderer Experte auf einem Zeugenstand sitzen und auf ein Dutzend Dinge hinweisen kann, die Sie falsch gemacht haben, haften Sie möglicherweise dennoch für daraus resultierende Schäden.

Erwägen Sie auch die Gründung einer LLC, die Ihre Arbeit weiter isolieren sollte Ihre persönlichen Finanzen. Selbst wenn Sie entschlossen sind, für Schäden verantwortlich zu sein, können Sie Ihre persönlichen Finanzen besser schützen.

Als Auftragnehmer sind Sie dafür verantwortlich, Ihr Fachgebiet zu verstehen und ein Arbeitsprodukt bereitzustellen, das den Anforderungen entspricht professionelle Mindeststandards für Experten.

Wenn Sie sich damit unwohl fühlen, können Sie entweder Unterricht nehmen oder sich selbst unterweisen, bis Sie glauben, dass Sie die Arbeit zu einem hohen Standard erledigen können, oder Sie können auf Aufsicht bestehen - im Wesentlichen mehrere Besprechungen mit einem Sicherheitsberater, der dies bereitstellt Die erforderliche Freigabe für Design und Plan verhindert zumindest, dass Sie die einfachsten Fehler machen. Wenn Sie eines der oben genannten Verfahren nicht ausführen können, sollten Sie sich aus dem Projekt zurückziehen.

Die LLC kann nicht halten.Wenn Sie eine Arbeit aufnehmen, für die Sie nicht qualifiziert sind, ist dies Betrug, d. H. Kriminell.Nichts durchbricht einen Unternehmensschleier schneller als kriminelles Verhalten.
@TomTom Richtig, weshalb ich in diesem Absatz die Wieselwörter "sollte" und "besser" verwendet habe.Weder eine Versicherung noch eine LLC schützen Sie vor kriminellen Aktivitäten, und beide bieten nur einen begrenzten Schutz vor Zivilklagen.Eine gut finanzierte Klage wird weiterhin in der Lage sein, beide zu durchdringen und die persönlichen Finanzen zu beeinträchtigen, selbst wenn Sie nicht schuld sind, da sie Sie einfach mit Klagen zermürben können.Trotzdem können Versicherungen und eine LLC einen besseren Schutz bieten als nichts, und für die meisten dieser Situationen sind sie angemessen.
jkf
2018-04-17 02:11:07 UTC
view on stackexchange narkive permalink

Als Auftragnehmer leben oder sterben Sie in Ihrem Vertrag - Sie sollten sich von einem echten Anwalt ein Kesselschild ausstellen lassen, das Sie von der Haftung für Folgeschäden freistellt, und wenn Sie viel davon tun, ist dies wahrscheinlich eine LLC zur Begrenzung Ihre persönliche Haftung.

Abgesehen davon würde ich mich von den anderen Antworten darin unterscheiden, dass die Tatsache, dass Sie für die Arbeit eingestellt wurden, darauf hinweist, dass der Arbeitgeber der Ansicht ist, dass Ihre Qualifikationen ausreichend sind.

Wenn Sie einen neuen Vertrag abschließen, müssen Sie wahrscheinlich etwas recherchieren und lernen. Wenn Sie dies sorgfältig tun, gibt es keinen Grund für Sie, Ihre Selbstzweifel mit dem Arbeitgeber zu teilen. Arbeiten Sie einfach daran, Wissenslücken zu schließen, und erledigen Sie die Arbeit dann nach besten Kräften.

tl; dr: Stellen Sie sicher, dass Sie vor Haftung geschützt sind, und beißen Sie so viel wie möglich ab kauen und höllisch kauen! :)

+1 Entschädigung ist genau die Frage, die er stellen muss, um sicherzustellen, dass sie explizit angesprochen wird.
Jay
2018-04-16 19:46:05 UTC
view on stackexchange narkive permalink

Zusätzlich zu den anderen guten Antworten würde ich vorschlagen, einen Infosec-Auditor eines Drittanbieters zu beauftragen, der mit dieser Art von Entwicklung vertraut ist, um Ihre Anwendung / Ihren Plan zu validieren. In wenigen Stunden können Sie Ihre Anforderungen teilen, ihre Rückmeldungen / Vorschläge planen und erhalten, die definitiv dazu beitragen, Ihre Entwicklung kugelsicher zu machen. Wenn es für diese Arbeitszeit ISO-Standards gibt, sollten Sie sich auf jeden Fall bemühen, die Konformität in Ihren Anwendungen aufrechtzuerhalten.

Dies ist eine gute Idee, aber es kann schwierig sein, Infosec-Know-how in der Entwicklung zu finden.Der größte Teil des Feldes wurde von der Netzwerksicherheit dominiert.Dies ist auch wirklich etwas, was der Arbeitgeber tun müsste, damit das OP es nur wirklich empfehlen kann.
Ich stimme dieser Idee voll und ganz zu: Sie können erklären, dass diese Art von Arbeit einen höheren Preis erfordert als das, was Sie normalerweise tun, und das zusätzliche Geld verwenden, um eine gute Sicherheitsperson an Bord zu bringen!
@jimmyJames Ich arbeite in Infosec und sehe Auditoren, die sich auf viel mehr als Netzwerksicherheit spezialisiert haben.Die Besonderheiten können von Identitäts- und Zugriffsverwaltung über Cloud-Sicherheit bis hin zu DLP variieren.Woher bekommen Sie diese Informationen?
@Anthony https: // www.amazon.com / Software-Sicherheitsgebäude-Gary-McGraw / dp / 0321356705
Pixelomo
2018-04-17 08:05:10 UTC
view on stackexchange narkive permalink

Als Auftragnehmer müssen Sie über eine persönliche Haftpflichtversicherung verfügen. Je nachdem, in welchem ​​Land Sie leben, kann dies gesetzlich vorgeschrieben sein. Ich habe als Auftragnehmer in Großbritannien gearbeitet und dies war eine Voraussetzung, bevor ich mit der Arbeit begann. Wenn Sie es noch nicht haben, schließen Sie eine Versicherung ab!

Die Berufshaftpflichtversicherung richtet sich an Fachleute, die ihren Kunden Beratung oder Dienstleistungen anbieten. Es schützt Ihr Unternehmen vor Rechtskosten und Ansprüchen Dritter auf Schäden, die durch Handlungen, Unterlassungen oder Verstöße gegen die Berufspflicht im Laufe Ihres Geschäfts entstehen.

Es ist kostengünstig und bedeutet, dass wenn Wenn Sie einen Fehler machen, der zu einer Sicherheitsverletzung führt und / oder dem Unternehmen Schaden zufügt, deckt Ihre Versicherung Sie bis zu Millionen Pfund / Dollar ab.

Wenn Sie sich bei dieser Arbeit unwohl fühlen, ist dies auch der Fall Ihr Recht als Auftragnehmer, es abzulehnen. Sie können den Vertrag verlieren. Besprechen Sie Ihre Bedenken möglicherweise mit Ihrem Arbeitgeber und fragen Sie ihn, ob er es sich leisten kann, Sie vor Beginn der Arbeit zu einem Schulungskurs zu schicken.

Versuchen Sie, eine Versicherung für finanzielle Schäden abzuschließen, wenn Sie an IT-Sec-Produkten arbeiten.Müssen wahrscheinlich Ihre Preise verdoppeln, um dafür zu bezahlen!
@Daniel haha ja, ohne Zweifel kostet es viel mehr, als für Front-End-Entwickler gedeckt zu werden: D.
Tatsächlich ist dies der Fall - insbesondere, wenn Ihre Antworten auf alle Erfahrungsfragen lauten: "Ich habe dies noch nie zuvor getan und habe keine formale Qualifikation."
Stilez
2018-04-17 00:20:05 UTC
view on stackexchange narkive permalink

Ich würde beide Aspekte gleich behandeln. Ich würde dies per E-Mail tun (schreibt es schriftlich, beseitigt die Verleugnung und jede Behauptung, dass Sie irgendetwas sind ...)

"Wie Sie wissen, bin ich nicht sicherheitsqualifiziert, und die Sicherheit muss dies tun richtig gemacht werden. Obwohl ich mein Bestes geben würde, muss ich betonen, dass ich meiner Ansicht nach nicht die richtige Person bin, um diese spezifische Aufgabe zu erledigen, da sie sehr spezifische Qualifikationen und / oder nachgewiesene Erfahrungen erfordert. Ehrlich gesagt denke ich, dass ich falsch liege Bitte überdenken Sie sorgfältig, ob ich die Person bin, die Sie damit beauftragen möchten. Wie Sie wissen, versuche ich, alles zu tun, was ich kann. Wenn Sie also möchten, dass ich dies trotz meiner Bedenken tue, können Sie es bitte Erklären Sie, wie genau ich es angesichts meiner Unerfahrenheit tun soll. "

Wenn Sie möchten." Legen Sie es auf dick ", beenden Sie den letzten Satz mit: ". .. damit der Kunde immer noch den erwarteten hohen Standard erhält und nicht durch die oben genannten Faktoren gefährdet ist. "

Dies macht nicht nur deutlich, dass Sie beruflich besorgt und einvernehmlich sind zu jeder vernünftigen Lösung Es gibt es auch schriftlich, was bedeutet, dass es viel schwieriger ist, so zu tun, als ob sie es nicht wüssten, oder es zu ignorieren. Es schriftlich zu haben, kann ein gutes, wenn auch harmloses Motiv für ein Unternehmen sein, eine möglicherweise schädliche Entscheidung zu überdenken und sich zu fragen, "was ist, wenn es zurückkommt, um uns zu beißen"



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...