?如果要構(gòu)建一個維恩圖(Venn diagram)來比較正式工與合同工(contract worker)的入職、培訓(xùn)、監(jiān)督和離職流程，那么這些領(lǐng)域的差異可能會讓人感到意外。但很顯然，CISO并不喜歡任何意外。因此，作為內(nèi)部風(fēng)險威脅管理計劃的一部分，這樣的圖表突出了兩種類型的員工之間存在的差異以及企業(yè)對待他們的不同方式。

如今，越來越多的實體企業(yè)發(fā)現(xiàn)自己正在將“王國的密鑰”交給第三方來處理手頭的任務(wù)。更重要的是，在過去兩年多的時間里，許多實體在員工/獨立合同工的參與方式上發(fā)生了重大變化，遠(yuǎn)程辦公選項也日趨常態(tài)化。

Code42公司首席技術(shù)官Rob Juncker認(rèn)為，獨立合同工/第三方供應(yīng)商可能會使企業(yè)面臨更大的風(fēng)險敞口。

正式工和獨立合同工本質(zhì)上的差異

我們這里要問的問題是：“你的企業(yè)在雇傭員工和合同工時是否存在差異?你為誰提供與正式工一樣的權(quán)限以訪問公司基礎(chǔ)設(shè)施和知識產(chǎn)權(quán)?”

正式工入職通常包含一個正式的流程，該流程一般在他們踏入公司之前就已開始，可能涉及人力資源、財務(wù)、信息技術(shù)和管理等內(nèi)容。簽署的文件包括保密協(xié)議(NDA)、知識產(chǎn)權(quán)聲明、工資單和稅務(wù)文件等。此外，公司還可能會向該員工提供公司設(shè)備或允許他們使用自己的設(shè)備。當(dāng)員工離職時，公司將對他們的網(wǎng)絡(luò)活動進(jìn)行為期90天的審查，簽署歸還設(shè)備和知識產(chǎn)權(quán)的證明，并進(jìn)行簡報。

這些流程賦予正式工滿滿的歸屬感和主人翁感。而獨立合同工雖然可能同為團(tuán)隊成員，但卻與正式工大不相同。他們沒有獲得與正式工相同的福利和津貼。公司文化可能會接受獨立合同工，但更多情況下并非如此。在這些差異中，我們發(fā)現(xiàn)獨立合同工本質(zhì)上就是一場“臨時演出”。

獨立合同工可能將敏感數(shù)據(jù)泄露進(jìn)/出組織

從好的方面來說，獨立合同工團(tuán)隊可能會為你的團(tuán)隊帶來信息安全實踐，如果實施可以增強安全足跡。不利的一面是，獨立合同工可能會帶來可怕的網(wǎng)絡(luò)衛(wèi)生實踐和設(shè)備，這些設(shè)備在他們不斷更換公司的過程中已經(jīng)接觸過多的實體。

這無疑凸顯了一個嚴(yán)重問題：另一個實體的知識產(chǎn)權(quán)會被意外或故意滲透到你的環(huán)境中，而當(dāng)該合同工離職后，你的知識產(chǎn)權(quán)同樣也有可能滲透到其他組織。你是否從他們的設(shè)備和存儲中收回了所有公司信息?他們的訪問被終止了嗎?所有這些問題都需要謹(jǐn)慎對待。事實證明，大多數(shù)內(nèi)部盜竊都發(fā)生在個人準(zhǔn)備離職時，這早已不是什么秘密。

與獨立合同工建立信任錨

根據(jù)Juncker的說法，解決方案需要“信任錨”(trust anchor)并踐行“3E”原則：

• 專業(yè)知識(Expertise)：合同工正在將專業(yè)知識轉(zhuǎn)化成實際價值。雖然他們可能不是員工，但他們的投入對成功至關(guān)重要。必須鼓勵公司對其價值和成功的認(rèn)同。
• 執(zhí)行(Enforcement)：管理預(yù)期至關(guān)重要，尤其是在執(zhí)行方面。日?；邮且粋€關(guān)鍵組成部分，也能確保員工和獨立合同工離開時不會帶走你的知識產(chǎn)權(quán)。同樣地，當(dāng)?shù)谌焦?yīng)商提供解決方案并宣稱其員工已經(jīng)過審查時，請確保你有辦法驗證該審查過程，并確保該解決方案按照承諾的方式運行。
• 教育培訓(xùn)(Education)：在信息安全和內(nèi)部流程及程序方面投資員工教育，可能是一種持續(xù)的員工生命周期(ELC)參與，包括初始、補救和強化，具體取決于合同的期限。

Juncker表示，當(dāng)涉及到合同工時，用于員工的控制措施應(yīng)擴展到超出員工的控制范圍。