领域的差异可能会让人大吃一惊。但很明显,CISO不喜欢意外。因此,作为内部风险威胁管理计划的一部分,这样的图表突出了两种类型员工之间存在的差异以及企业如何以不同方式对待他们。如今,越来越多的实体企业发现自己将“王国的钥匙”交给了第三方来处理手头的任务。更重要的是,在过去两年多的时间里,许多实体的员工/独立承包商的参与方式发生了重大变化,远程办公成为常态。Code42的CTORobJuncker认为,独立承包商/第三方供应商可能会使企业面临更大的风险敞口。永久合同工和独立合同工之间的本质区别我们在这里要问的问题是:“贵公司雇用员工的方式与雇用合同工的方式有区别吗?您向谁提供与正式员工相同的公司基础设施和知识产权访问权限?“正式员工的入职通常涉及正式流程,通常在他们踏入公司之前开始,可能涉及人力资源、财务、信息技术和管理。签署的文件包括保密协议(NDA)、知识产权声明、工资单和税务文件等。此外,公司可能会向员工提供公司设备或允许他们使用自己的设备。当员工离职时,公司会对他们的网络活动进行90天的审查,签署设备返还协议和知识产权,并进行简报。这些过程使正式工人有归属感和主人翁感。另一方面,独立承包商可能是团队成员,但他们与正式工人有很大不同。他们没有得到相同的福利以及作为正式员工的津贴。公司文化可能接受独立承包商,但通常情况并非如此。在这些差异中,我们发现独立承包商本质上是“临时演出”。独立承包商可以将敏感数据泄露到组织内外从好的方面来说,独立承包商团队可以为您的团队带来信息安全实践,如果实施这些实践,可以增强您的安全足迹。不利的一面是,独立承包商在不断更换公司时可能会带来糟糕的网络卫生做法和设备,这些做法和设备已与太多实体接触。这无疑突出了一个严重的问题:虽然另一个实体的知识产权可能会无意或有意地渗透到您的环境中,但当该承包商离开时,您的知识产权同样有可能渗透到其他组织。您是否从他们的设备和存储中回收了所有公司信息?他们的访问权限是否已被终止?所有这些问题都需要谨慎对待。众所周知,大多数内部盗窃发生在个人准备离职时。与独立承包商建立信任锚根据容克的说法,解决方案需要“信任锚”并实践“3E”:专业知识:承包商正在将专业知识转化为真正的价值。虽然他们可能不是员工,但他们的投入对成功至关重要。必须鼓励公司对其价值和成功的认可。执行:管理期望至关重要,尤其是在执行方面。日常互动是一个关键组成部分,同时确保员工和独立承包商在离开时不会带走您的知识产权。同样,当第三方供应商提供解决方案并声称其员工已经过审查时,请确保您有办法验证经过审查的流程并确保解决方案按承诺执行。教育:投资于信息安全和内部流程和程序方面的员工教育,可能作为持续的员工生命周期(ELC)参与,包括初始、补救和强化,具体取决于合同的长度。容克说,当谈到合同工时,用于员工的控制应该超出员工的控制范围。
