?如果要構(gòu)建一個(gè)維恩圖(Venn diagram)來(lái)比較正式工與合同工(contract worker)的入職、培訓(xùn)、監(jiān)督和離職流程，那么這些領(lǐng)域的差異可能會(huì)讓人感到意外。但很顯然，CISO并不喜歡任何意外。因此，作為內(nèi)部風(fēng)險(xiǎn)威脅管理計(jì)劃的一部分，這樣的圖表突出了兩種類型的員工之間存在的差異以及企業(yè)對(duì)待他們的不同方式。

如今，越來(lái)越多的實(shí)體企業(yè)發(fā)現(xiàn)自己正在將“王國(guó)的密鑰”交給第三方來(lái)處理手頭的任務(wù)。更重要的是，在過(guò)去兩年多的時(shí)間里，許多實(shí)體在員工/獨(dú)立合同工的參與方式上發(fā)生了重大變化，遠(yuǎn)程辦公選項(xiàng)也日趨常態(tài)化。

Code42公司首席技術(shù)官Rob Juncker認(rèn)為，獨(dú)立合同工/第三方供應(yīng)商可能會(huì)使企業(yè)面臨更大的風(fēng)險(xiǎn)敞口。

正式工和獨(dú)立合同工本質(zhì)上的差異

我們這里要問(wèn)的問(wèn)題是：“你的企業(yè)在雇傭員工和合同工時(shí)是否存在差異?你為誰(shuí)提供與正式工一樣的權(quán)限以訪問(wèn)公司基礎(chǔ)設(shè)施和知識(shí)產(chǎn)權(quán)?”

正式工入職通常包含一個(gè)正式的流程，該流程一般在他們踏入公司之前就已開(kāi)始，可能涉及人力資源、財(cái)務(wù)、信息技術(shù)和管理等內(nèi)容。簽署的文件包括保密協(xié)議(NDA)、知識(shí)產(chǎn)權(quán)聲明、工資單和稅務(wù)文件等。此外，公司還可能會(huì)向該員工提供公司設(shè)備或允許他們使用自己的設(shè)備。當(dāng)員工離職時(shí)，公司將對(duì)他們的網(wǎng)絡(luò)活動(dòng)進(jìn)行為期90天的審查，簽署歸還設(shè)備和知識(shí)產(chǎn)權(quán)的證明，并進(jìn)行簡(jiǎn)報(bào)。

這些流程賦予正式工滿滿的歸屬感和主人翁感。而獨(dú)立合同工雖然可能同為團(tuán)隊(duì)成員，但卻與正式工大不相同。他們沒(méi)有獲得與正式工相同的福利和津貼。公司文化可能會(huì)接受獨(dú)立合同工，但更多情況下并非如此。在這些差異中，我們發(fā)現(xiàn)獨(dú)立合同工本質(zhì)上就是一場(chǎng)“臨時(shí)演出”。

獨(dú)立合同工可能將敏感數(shù)據(jù)泄露進(jìn)/出組織

從好的方面來(lái)說(shuō)，獨(dú)立合同工團(tuán)隊(duì)可能會(huì)為你的團(tuán)隊(duì)帶來(lái)信息安全實(shí)踐，如果實(shí)施可以增強(qiáng)安全足跡。不利的一面是，獨(dú)立合同工可能會(huì)帶來(lái)可怕的網(wǎng)絡(luò)衛(wèi)生實(shí)踐和設(shè)備，這些設(shè)備在他們不斷更換公司的過(guò)程中已經(jīng)接觸過(guò)多的實(shí)體。

這無(wú)疑凸顯了一個(gè)嚴(yán)重問(wèn)題：另一個(gè)實(shí)體的知識(shí)產(chǎn)權(quán)會(huì)被意外或故意滲透到你的環(huán)境中，而當(dāng)該合同工離職后，你的知識(shí)產(chǎn)權(quán)同樣也有可能滲透到其他組織。你是否從他們的設(shè)備和存儲(chǔ)中收回了所有公司信息?他們的訪問(wèn)被終止了嗎?所有這些問(wèn)題都需要謹(jǐn)慎對(duì)待。事實(shí)證明，大多數(shù)內(nèi)部盜竊都發(fā)生在個(gè)人準(zhǔn)備離職時(shí)，這早已不是什么秘密。

與獨(dú)立合同工建立信任錨

根據(jù)Juncker的說(shuō)法，解決方案需要“信任錨”(trust anchor)并踐行“3E”原則：

• 專業(yè)知識(shí)(Expertise)：合同工正在將專業(yè)知識(shí)轉(zhuǎn)化成實(shí)際價(jià)值。雖然他們可能不是員工，但他們的投入對(duì)成功至關(guān)重要。必須鼓勵(lì)公司對(duì)其價(jià)值和成功的認(rèn)同。
• 執(zhí)行(Enforcement)：管理預(yù)期至關(guān)重要，尤其是在執(zhí)行方面。日常互動(dòng)是一個(gè)關(guān)鍵組成部分，也能確保員工和獨(dú)立合同工離開(kāi)時(shí)不會(huì)帶走你的知識(shí)產(chǎn)權(quán)。同樣地，當(dāng)?shù)谌焦?yīng)商提供解決方案并宣稱其員工已經(jīng)過(guò)審查時(shí)，請(qǐng)確保你有辦法驗(yàn)證該審查過(guò)程，并確保該解決方案按照承諾的方式運(yùn)行。
• 教育培訓(xùn)(Education)：在信息安全和內(nèi)部流程及程序方面投資員工教育，可能是一種持續(xù)的員工生命周期(ELC)參與，包括初始、補(bǔ)救和強(qiáng)化，具體取決于合同的期限。

Juncker表示，當(dāng)涉及到合同工時(shí)，用于員工的控制措施應(yīng)擴(kuò)展到超出員工的控制范圍。