Question:
Responsabilité personnelle et légale en cas d'inexpérience?
durantjm198
2018-04-16 19:06:26 UTC
view on stackexchange narkive permalink

Je suis récemment diplômé d'un baccalauréat en informatique - je travaille dans le domaine depuis moins d'un an.

Mon employeur actuel me demande de concevoir et de mettre en œuvre un schéma de sécurité de l'information relativement avancé, et cela me met un peu mal à l'aise. Je suis prêt à faire de mon mieux, mais je n'ai pas du tout reçu de formation formelle en sécurité et je n'ai aucune expérience professionnelle en sécurité technique.

Comment puis-je communiquer au mieux, "si vous ne me faites pas confiance qualifications pour concevoir ce système, et quelque chose ne va pas, c'est de votre faute de ne pas avoir embauché un véritable expert en sécurité de l'information? "

De plus - y a-t-il un moyen que cela puisse avoir un impact sur moi légalement? Je ne veux pas être légalement responsable si je suis pleinement conscient de mon inexpérience et de mon manque de qualifications.

Je suis un entrepreneur, pas un employé à temps plein.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/76355/discussion-on-question-by-durantjm198-personal-and-legal-liability-with-respect).
Neuf réponses:
#1
+109
user44108
2018-04-16 19:10:46 UTC
view on stackexchange narkive permalink

L'honnêteté est la meilleure politique ici.

Merci de m'avoir confié cette mission. Vous réalisez bien sûr que je ne suis pas un expert en sécurité et que je vais devoir passer du temps à faire des recherches, et même dans ce cas, ce n'est peut-être pas une excellente solution?

Et voyez où les choses partent de là.

En fonction du besoin / de la solution, vous voudrez peut-être faire appel à un consultant externe pour examiner votre proposition et resserrer les choses avant le déploiement.

Il est peu probable que cela avoir un impact sur vous personnellement si quelque chose ne va pas - votre patron / autres devraient examiner / tester / approuver tout ce que vous proposez, ce qui garantit que toute responsabilité incombe à l'entreprise, et non à vous (vous ne faites que suivre les ordres après avoir indiqué vos limites, après tout ).

Dans le cadre de la diligence raisonnable, assurez-vous d'avoir des e-mails / documents démontrant que l'entreprise est satisfaite de votre travail sur ce sujet et que vous êtes conscient de votre manque d'expertise dans ce domaine. Imprimez les e-mails pertinents - les e-mails problématiques ont parfois l'habitude de «disparaître» des comptes Exchange.

De plus, demandez une formation formelle dans le cadre de ce projet.
Et assurez-vous que tout cela est formellement documenté dans un e-mail que vous pouvez pointer pour montrer que vous avez essayé d'obtenir les bonnes choses.
Vraisemblablement, cette réponse (et les commentaires) sont antérieurs à l'information selon laquelle la personne est un entrepreneur.Je ne pense pas que cela annule la réponse sous-jacente, mais cela a un impact sur les détails.
Bonne réponse, mais il vous manque deux mots: ** trace papier **.
Je suis prêt à parier que quelqu'un qui attribue de telles tâches à des personnes inexpérimentées au départ écarterait le besoin de formation.Bonne chance néanmoins.
Je répondrais légèrement différemment - à savoir, je dirais que toute solution que je proposerais serait certainement moins sûre qu'une adaptation d'une solution existante par un professionnel de la sécurité.Ce n'est pas "peut-être pas génial", c'est "Je vais certainement manquer certaines vulnérabilités de sécurité car ce n'est pas mon domaine d'expertise".La sécurité est extrêmement difficile et une personne sans expérience dans la conception de systèmes sécurisés laissera inévitablement quelque chose de vulnérable.
#2
+44
HLGEM
2018-04-16 19:53:22 UTC
view on stackexchange narkive permalink

En tant que contractant (informations dans les commentaires), vous devez également être très prudent d'accepter ce travail à l'insu et sans l'accord de votre propre employeur, l'entreprise contractante, car ils peuvent avoir une responsabilité légale à cet égard. Si vous êtes votre propre entreprise, refusez le travail.

Pour expliquer plus en détail comment refuser le travail, si vous êtes un entrepreneur individuel, vous pourriez avoir une responsabilité légale de plusieurs millions de dollars (peut-être même des centaines de millions) si vous acceptez le contrat. Les culottes de sécurité peuvent causer d'énormes dommages à une entreprise et à ses clients.

Le fait que vous sachiez que vous n'êtes pas qualifié rendrait probablement encore plus probable qu'il y aurait une grave culasse et plus probable qu'ils gagneraient une affaire. Il n'y a aucune circonstance où il est sécuritaire pour vous en tant qu'entrepreneur d'accepter ce contrat par vous-même. Si vous doutez de moi, consultez un avocat avant d'accepter le travail.

Baissez-le?Je suis d'accord avec la méfiance et le besoin de transparence mais un travail est un travail et l'expérience ne peut pas être remplacée quand on vient de sortir de l'université ...
@USER_8675309 Bien sûr, mais vous ne voulez pas être le prochain "Six Million Dollar Man".Si vous êtes seul, comme si vous passez un contrat directement avec l'entreprise, je refuserais cela juste pour m'assurer que je ne suis pas celui qui est sur le coup quand (pas si) le système de sécurité est violé.
@USER_8675309: Si vous n'avez pas d'assurance responsabilité civile professionnelle, procurez-vous-en dès maintenant.Assurez-vous que votre police couvre la responsabilité potentielle.Assurez-vous que votre contrat avec l'entreprise limite votre responsabilité à ce que couvre votre police.Je ne suis pas avocat.:-)
@USER_8675309 L'expérience professionnelle juste à la sortie de l'université est excellente, mais il y a l'expérience de travail et l'expérience d'être poursuivi publiquement pour le travail que vous avez fait.Cette dernière est le genre d'expérience «juste à la sortie de l'université» dont vous ne pouvez pas récupérer financièrement, et elle ne sera pas non plus bonne lors de vos futures vérifications d'antécédents.Il y a de fortes chances que le rédacteur du contrat sache ce qu'il demande (il saura certainement quand il doit être livré) et en vous choisissant pour éventuellement le fournir, il semble qu'il cherche un patsy pour prendre la chute.Ils connaissent vos références, pourquoi risquer le travail pour vous?
@USER_8675309 "mais un travail est un travail et l'expérience ne peut pas être remplacée lorsque vous sortez de l'université ..." L'expérience est inestimable.Comme l'expérience de ne pas faire de choses risquées, on n'est pas qualifié pour faire.On peut décider d'apprendre cela de manière simple ou difficile - la leçon est la même.
Oui.La bonne façon d'acquérir de l'expérience dans quelque chose comme celui-ci est de faire partie d'un projet sous la direction d'une personne expérimentée, PAS être le seul entrepreneur et légalement obligé de livrer.
#3
+20
K_foxer9
2018-04-17 01:32:20 UTC
view on stackexchange narkive permalink

Toute réponse que vous obtenez est basée sur une hypothèse:

  1. Vous êtes un entrepreneur qui est en fait un employé mal classé. (Très courant aux États-Unis.)
  2. Vous êtes un sous-traitant qui est vraiment un sous-traitant.
  3. Contrats d'agence avec le client («employeur actuel»), mais vous êtes un employé de Agence.
  4. Vous êtes en fait un employé de «l'employeur actuel».

Si l'hypothèse est fausse, alors la réponse est probablement fausse aussi.

Si vous travaillez comme un "vrai" entrepreneur, vous devez vous considérer comme un fournisseur et agir en conséquence (voir la réponse d'Adam Davis).

Si je devais conseiller quelqu'un à votre place, je me méfierais beaucoup de leur classification. les employés, car cela fait une énorme différence dans l'analyse, les conséquences potentielles et les voies de recours (et, surtout, qui est à blâmer).

De nombreux avocats offrent des consultations initiales gratuites, et vous pourriez obtenir quelques bons conseils pour en sortir, vous guidant sur un chemin différent de celui que vous aviez imaginé.

#4
+16
Glen Pierce
2018-04-16 19:32:22 UTC
view on stackexchange narkive permalink

Il existe probablement des livres entiers sur ce sujet et il est impossible pour quiconque de vous répondre par oui ou par non. Cependant, les cas où des employés ont été jugés responsables sont extrêmement rares.

Vous agissez en tant qu'agent de votre entreprise et êtes généralement supposé agir de bonne foi. Votre patron connaît votre expérience et vous a ordonné d'accomplir une tâche légale. Donc, tant que vous ne gâchez pas intentionnellement, ou n'implantez pas intentionnellement des logiciels malveillants ou ne mentez pas à votre patron sur ce que vous avez fait, tout ira presque certainement bien.

Si vous ' êtes vraiment inquiet, assurez-vous de documenter soigneusement vos processus et demander à ce que votre travail soit examiné par une personne plus âgée (c'est une bonne idée de toute façon).

Cela ne s'applique qu'aux employés réels d'une entreprise, pas aux entrepreneurs indépendants.
#5
+11
Adam Davis
2018-04-16 23:51:18 UTC
view on stackexchange narkive permalink

En tant que sous-traitant, vous courez un risque et une responsabilité plus élevés que si vous étiez un employé.

Envisagez de souscrire une assurance erreurs et omissions, qui vous fournira une certaine protection, mais sachez que même cela peut ne pas vous couvrir si vous travaillez en dehors de votre domaine d'expertise éprouvé. Si un autre expert peut siéger à la barre des témoins et signaler une douzaine de choses que vous avez mal faites, vous pouvez toujours être responsable des dommages en résultant.

Envisagez également de créer une LLC, ce qui devrait mieux isoler votre travail de vos finances personnelles, donc même si vous êtes déterminé à être responsable des dommages, vous pouvez mieux protéger vos finances personnelles.

En tant qu'entrepreneur, vous êtes responsable de comprendre votre domaine d'expertise et de fournir un produit de travail qui répond normes professionnelles minimales d'experts.

Si vous ne vous sentez pas à l'aise avec cela, vous pouvez suivre des cours ou vous instruire jusqu'à ce que vous pensiez pouvoir faire le travail à un niveau élevé, ou vous pouvez insister sur la supervision - essentiellement plusieurs réunions avec un consultant en sécurité qui fournit l'approbation nécessaire sur la conception et le plan, ou du moins vous empêche de faire les erreurs les plus simples. Si vous ne pouvez effectuer aucune des opérations ci-dessus, envisagez de vous retirer du projet.

La LLC peut ne pas tenir.Si vous prenez un travail pour lequel vous n'êtes pas qualifié, il s'agit d'une fraude, c'est-à-dire criminelle.Rien ne brise un voile d'entreprise plus rapidement qu'un comportement criminel.
@TomTom Correct, c'est pourquoi j'ai utilisé les mots belette «devrait» et «mieux» dans ce paragraphe.Ni l'assurance, ni la LLC ne vous protégeront contre les activités criminelles, et les deux n'offrent qu'une protection limitée contre les poursuites civiles.Un procès bien financé sera toujours en mesure de percer les deux et d'affecter ses finances personnelles, même dans le cas où vous n'êtes pas en faute, car ils peuvent simplement vous épuiser avec des poursuites.Néanmoins, une assurance et une SARL peuvent offrir une meilleure protection que rien, et pour la majorité de ces situations, elles sont adéquates.
#6
+7
jkf
2018-04-17 02:11:07 UTC
view on stackexchange narkive permalink

En tant qu'entrepreneur, vous vivez ou mourez en raison de votre contrat - vous devriez faire rédiger par un véritable avocat une description standard qui vous indemnise contre la responsabilité pour les dommages indirects, et si vous en faites une grande partie, probablement une LLC votre responsabilité personnelle.

Cela mis à part, je différerais des autres réponses en ce que le fait que vous ayez été embauché pour faire le travail indique que l'employeur estime que vos qualifications sont suffisantes.

Chaque fois que vous commencez un nouveau contrat, il y aura probablement des recherches et des apprentissages à faire - si vous y faites preuve de diligence, il n'y a aucune raison pour que vous partagiez votre doute avec l'employeur. Travaillez simplement pour remédier à toute lacune dans vos connaissances, puis faites le travail au mieux de vos capacités.

tl; dr: Assurez-vous d'être protégé contre toute responsabilité, mordez autant que vous le pouvez mâcher et mâcher comme l'enfer! :)

L'indemnisation +1 est exactement la question dont il a besoin pour s'assurer qu'elle est _explicitement_ traitée.
#7
+6
Jay
2018-04-16 19:46:05 UTC
view on stackexchange narkive permalink

En plus des autres bonnes réponses, je suggère de faire appel à un auditeur infoec tiers familier avec ce type de développement pour valider votre candidature / plan. En quelques heures, vous pouvez partager vos besoins, planifier et obtenir leurs commentaires / suggestions qui vous aideront certainement à sécuriser votre développement. De plus, s'il existe des normes ISO pour cette période de travail, vous devez absolument vous efforcer de maintenir la conformité de vos applications.

C'est une bonne idée mais il peut être difficile de trouver une expertise infosec en développement.La plupart du domaine a été dominé par la sécurité des réseaux.De plus, c'est vraiment quelque chose que l'employeur devrait faire pour que le PO ne puisse que le recommander vraiment.
Je suis tout à fait d'accord avec cette idée: vous pouvez expliquer que ce type de travail nécessite un prix plus élevé que ce que vous faites habituellement, et utiliser l'argent supplémentaire pour amener à bord une bonne personne de sécurité!
@jimmyJames Je travaille dans infosec et je vois des auditeurs se spécialiser dans bien plus que la sécurité réseau.Les spécialités peuvent varier de la gestion des identités et des accès à la sécurité du cloud en passant par la DLP.D'où proviennent ces informations?
@Anthony https: // www.amazon.com / Software-Security-Building-Gary-McGraw / dp / 0321356705
#8
+6
Pixelomo
2018-04-17 08:05:10 UTC
view on stackexchange narkive permalink

En tant qu'entrepreneur, vous devez avoir une assurance responsabilité civile personnelle. Selon le pays dans lequel vous vivez, cela peut être une obligation légale. J'ai travaillé comme entrepreneur au Royaume-Uni et c'était une exigence avant de commencer le travail. Si vous ne l'avez pas déjà, prenez une assurance!

L'assurance responsabilité civile professionnelle est destinée aux professionnels qui fournissent des conseils ou des services à leurs clients. Il protège votre entreprise contre les frais juridiques et les réclamations de tiers pour des dommages résultant d'actes, d'omissions ou de manquements à un devoir professionnel dans le cadre de votre entreprise.

C'est peu coûteux et cela signifie que si vous faites une erreur qui entraîne une faille de sécurité et / ou cause des dommages à l'entreprise, votre assurance vous couvrira jusqu'à des millions de livres / dollars.

De même si vous vous sentez mal à l'aise de faire ce travail, c'est votre droit en tant qu'entrepreneur de le refuser. Vous risquez de perdre le contrat. Discutez peut-être de vos préoccupations avec votre employeur, demandez-lui s'il peut se permettre de vous envoyer suivre une formation avant de commencer le travail.

Essayez d'obtenir une assurance couvrant les dommages financiers lorsque vous travaillez sur des produits IT-Sec.Devra probablement doubler vos tarifs pour payer!
@Daniel haha ouais il ne fait aucun doute que cela coûte beaucoup plus cher que d'être couvert pour le développement frontal: D
En fait, c'est le cas - en particulier si vos réponses à toutes les questions sur l'expérience sont «Je n'ai jamais fait cela auparavant et je n'ai aucune qualification formelle».
#9
+3
Stilez
2018-04-17 00:20:05 UTC
view on stackexchange narkive permalink

Je traiterais ces deux aspects de la même manière. Je le ferais par e-mail (le met par écrit, supprime le déni et toute réclamation selon laquelle vous êtes quelque chose ...)

"Comme vous le savez, je ne suis pas qualifié en matière de sécurité et la sécurité doit Bien que je fasse de mon mieux, je dois souligner qu'à mon avis, je ne suis pas la bonne personne pour effectuer cette tâche spécifique, car elle nécessite des qualifications très spécifiques et / ou des expériences éprouvées. Franchement, je pense que je me trompe pour cela. Veuillez reconsidérer attentivement si je suis la personne à qui vous voulez confier cette tâche. Cela dit, comme vous le savez, j'essaie de faire tout ce que je peux, donc si vous voulez que je fasse cela, malgré mes inquiétudes, pourriez-vous expliquez exactement comment vous voulez que je procède, compte tenu de mon inexpérience. "

Si vous le souhaitez." couchez-le ", terminez la dernière phrase par: ". .. ainsi le client obtient toujours le niveau élevé attendu, et ne risque pas d'être affecté par ce qui précède. "

Non seulement cela indique clairement que vous êtes professionnellement concerné et amical à toute solution raisonnable tion / direction, il le met également par écrit, ce qui signifie qu'il est beaucoup plus difficile de prétendre qu'ils ne le savaient pas ou de l'ignorer. L’avoir par écrit peut être un bon motif, même si inoffensif, pour une entreprise, de reconsidérer une décision éventuellement préjudiciable et de se demander "et si elle revient nous mordre"



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...