我們活在一個好訟的社會,論到訴訟的風險,資訊長也是躲不掉的。你可以怎麼自保?
文/Mary Shacklett‧譯/高忠義
資訊長的雇主與他們的法律團隊可以提供資訊長許多的法律保護,如果是涉及工作。然而,如果資訊長的行為被認為超出法律界線,或者高層認為資訊長並未妥適處理工作上原本具有的風險,則他們可能要自己進行防禦。
曾經有資訊長因為被指控收受與公司簽約的廠商的回扣而被告,也有因為在重大的資安事件中未審慎保護資料而被告。
今年,Gartner 控告一位前任政府研究總監,指控她違反禁止競業與招攬合約,以及竊用營業秘密。
所以需要有個基本觀念,資訊長可能挨告,然而卻有許多資訊長並未想過這種可能性。
資訊長應該警覺哪些法律「罩門」,以及該如何自保呢?關於 IT 主管的法律曝險,以下有六個議題必須謹記在心:
1. 你可能因為多種原因必須自己承擔責任
這些原因從違反忠實義務、詐欺、謀私交易,以及違反利益衝突,違反州法與聯邦法律,可疑的聘雇慣行,竊取智慧財產,以及不當處理資料。
2. 未投保責任保險可能造成曝險
你可能認為你的公司會保護你免於責任,如果你的公司為主管投保責任保險(liability insurance),而你就是主管,那麼你的想法可能是對的。但你的公司是否替高階主管投保了責任險呢?
大部分 Fortune 500 大公司的標準作法是替高階主管買責任險,但有很多私人企業與非營利組織面臨保費漲價的問題,可能沒有責任險的保障。
如果你正面試資訊長的工作,建議謹慎確認你面試的公司是否為高階主管提供責任保障,以及免責保險。
3. 責任保險並非包山包海
高階主管責任保險是否承保各種事項呢?不,並非如此。
「D&O 保險(董事與主管)保險通常並不保財產損害、非法行為,以及經理人相互間的訴訟,」Kresz Law 的律師 Mat Kresz 這麼說。「財產損害可能並不包括電腦、網路設備受到的損害,以及諸如勒索攻擊等資安事件造成的資料損失,雖然網路責任保險可能填補 D&O 保險不足之處。」
Kresz 也指出關於非法行為有些灰色地帶。「有些保單排除那種明知違法的行為,而其他保單可能排除任何違法的活動,無論知道違法或不道違法,」他如此表示,並補充「經理人相互間的訴訟也被排除,以此避免保險詐欺,因為某個經理可能告其他有保險的經理。」
簡言之,如果你的公司有提供企業責任險,那麼明智的做法就是審慎地檢查你的企業責任保險範圍,因為並不是所有事都在保險範圍內。
4. 寧可揭露而不要隱匿
在某個案件,部屬向資訊長提出警示,表示網路攻擊已經損壞數千筆客戶記錄。因為擔心後續的影響,所以資訊長決定不向執行長或董事會提出警告。最終資安事件曝光,客戶開始提訴威脅公司。不用說,那個資訊長被炒掉。他可能也會因為過失與違背職務而被告。
5. 員工問題必須留下書面記錄
在我第一份 IT 經理工作上,我遇到一個情況我的通訊主任對她的部屬有不當的對待,而且不知自己職責何在。她得到那份工作是因為她是某個資深副總裁的妻子。
我負責的 IT 部門績效很不好。我知道如果不請她走路,我可能沒有辦法扭轉低落的士氣並提升績效,而我有很多書面記錄證明她的無能與不願意做好工作。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
因為擔心她是某個資深副總裁的老婆這點,我與人資密切合作。我詳細地留下績效記錄,而人資跟我也與那個人共同開了很多場會。不幸的,那種差勁的行為與績效從來沒有改變。最後我別無選擇只能終止她的聘僱。
那個人後來威脅要告我跟公司非法解雇,以及性別歧視。她最終沒這麼做,但我也學到了一個教訓:如果有工作績效問題,一定要完整保留文書記錄,並與員工討論。如果有必要與涉及的個人開會,一定要請人資參加這些會議,這樣你才可以有另一個證人見證你們之間的對話。
6. 讓企業安全成為你自己的重要工作
如果資訊長被告或被解聘,時常是因為發生了重大了網路安全侵犯事件。之所以如此是因為資訊長必須為保護企業資訊負最終責任。如果發生侵犯事件,那總是被認為是在資訊長的眼皮底下發生的事情,而後續影響可能非常嚴重。
為了減少風險並履行職責,資訊長應該定期與資安長以及安全團隊主管開會以檢討每週的安控報告,及時的為安全稽核編訂預算與時程,確保有適當的安全框架與工具,而且向員工、執行長與董事會提供適當的彙報與妥當的資訊安全政策與習慣的訓練。
資訊長可以親自參與這個過程,因為疏忽掉負最終責任的事情,在安全侵犯事件訴訟中並無藉口可說。
(本文授權非營利轉載,請註明出處:CIO Taiwan)