对独立合同工的处理方式可能会决定你的内部威胁风险

对独立合同工的处理方式可能会决定你的内部威胁风险-51CTO.COM

​如果要构建一个维恩图(Venn diagram)来比较正式工与合同工(contract worker)的入职、培训、监督和离职流程，那么这些领域的差异可能会让人感到意外。但很显然，CISO并不喜欢任何意外。因此，作为内部风险威胁管理计划的一部分，这样的图表突出了两种类型的员工之间存在的差异以及企业对待他们的不同方式。

如今，越来越多的实体企业发现自己正在将“王国的密钥”交给第三方来处理手头的任务。更重要的是，在过去两年多的时间里，许多实体在员工/独立合同工的参与方式上发生了重大变化，远程办公选项也日趋常态化。

Code42公司首席技术官Rob Juncker认为，独立合同工/第三方供应商可能会使企业面临更大的风险敞口。

正式工和独立合同工本质上的差异

我们这里要问的问题是：“你的企业在雇佣员工和合同工时是否存在差异?你为谁提供与正式工一样的权限以访问公司基础设施和知识产权?”

正式工入职通常包含一个正式的流程，该流程一般在他们踏入公司之前就已开始，可能涉及人力资源、财务、信息技术和管理等内容。签署的文件包括保密协议(NDA)、知识产权声明、工资单和税务文件等。此外，公司还可能会向该员工提供公司设备或允许他们使用自己的设备。当员工离职时，公司将对他们的网络活动进行为期90天的审查，签署归还设备和知识产权的证明，并进行简报。

这些流程赋予正式工满满的归属感和主人翁感。而独立合同工虽然可能同为团队成员，但却与正式工大不相同。他们没有获得与正式工相同的福利和津贴。公司文化可能会接受独立合同工，但更多情况下并非如此。在这些差异中，我们发现独立合同工本质上就是一场“临时演出”。

独立合同工可能将敏感数据泄露进/出组织

从好的方面来说，独立合同工团队可能会为你的团队带来信息安全实践，如果实施可以增强安全足迹。不利的一面是，独立合同工可能会带来可怕的网络卫生实践和设备，这些设备在他们不断更换公司的过程中已经接触过多的实体。

这无疑凸显了一个严重问题：另一个实体的知识产权会被意外或故意渗透到你的环境中，而当该合同工离职后，你的知识产权同样也有可能渗透到其他组织。你是否从他们的设备和存储中收回了所有公司信息?他们的访问被终止了吗?所有这些问题都需要谨慎对待。事实证明，大多数内部盗窃都发生在个人准备离职时，这早已不是什么秘密。

与独立合同工建立信任锚

根据Juncker的说法，解决方案需要“信任锚”(trust anchor)并践行“3E”原则：

• 专业知识(Expertise)：合同工正在将专业知识转化成实际价值。虽然他们可能不是员工，但他们的投入对成功至关重要。必须鼓励公司对其价值和成功的认同。
• 执行(Enforcement)：管理预期至关重要，尤其是在执行方面。日常互动是一个关键组成部分，也能确保员工和独立合同工离开时不会带走你的知识产权。同样地，当第三方供应商提供解决方案并宣称其员工已经过审查时，请确保你有办法验证该审查过程，并确保该解决方案按照承诺的方式运行。
• 教育培训(Education)：在信息安全和内部流程及程序方面投资员工教育，可能是一种持续的员工生命周期(ELC)参与，包括初始、补救和强化，具体取决于合同的期限。

Juncker表示，当涉及到合同工时，用于员工的控制措施应扩展到超出员工的控制范围。