如今,越來越多的實體企業發現自己正在將“王國的密鑰”交給第三方來處理手頭的任務。更重要的是,在過去兩年多的時間里,許多實體在員工/獨立合同工的參與方式上發生了重大變化,遠程辦公選項也日趨常態化。
Code42公司首席技術官Rob Juncker認為,獨立合同工/第三方供應商可能會使企業面臨更大的風險敞口。
正式工和獨立合同工本質上的差異
我們這里要問的問題是:“你的企業在雇傭員工和合同工時是否存在差異?你為誰提供與正式工一樣的權限以訪問公司基礎設施和知識產權?”
正式工入職通常包含一個正式的流程,該流程一般在他們踏入公司之前就已開始,可能涉及人力資源、財務、信息技術和管理等內容。簽署的文件包括保密協議(NDA)、知識產權聲明、工資單和稅務文件等。此外,公司還可能會向該員工提供公司設備或允許他們使用自己的設備。當員工離職時,公司將對他們的網絡活動進行為期90天的審查,簽署歸還設備和知識產權的證明,并進行簡報。
這些流程賦予正式工滿滿的歸屬感和主人翁感。而獨立合同工雖然可能同為團隊成員,但卻與正式工大不相同。他們沒有獲得與正式工相同的福利和津貼。公司文化可能會接受獨立合同工,但更多情況下并非如此。在這些差異中,我們發現獨立合同工本質上就是一場“臨時演出”。
獨立合同工可能將敏感數據泄露進/出組織
從好的方面來說,獨立合同工團隊可能會為你的團隊帶來信息安全實踐,如果實施可以增強安全足跡。不利的一面是,獨立合同工可能會帶來可怕的網絡衛生實踐和設備,這些設備在他們不斷更換公司的過程中已經接觸過多的實體。
這無疑凸顯了一個嚴重問題:另一個實體的知識產權會被意外或故意滲透到你的環境中,而當該合同工離職后,你的知識產權同樣也有可能滲透到其他組織。你是否從他們的設備和存儲中收回了所有公司信息?他們的訪問被終止了嗎?所有這些問題都需要謹慎對待。事實證明,大多數內部盜竊都發生在個人準備離職時,這早已不是什么秘密。
與獨立合同工建立信任錨
根據Juncker的說法,解決方案需要“信任錨”(trust anchor)并踐行“3E”原則:
專業知識(Expertise):合同工正在將專業知識轉化成實際價值。雖然他們可能不是員工,但他們的投入對成功至關重要。必須鼓勵公司對其價值和成功的認同。
執行(Enforcement):管理預期至關重要,尤其是在執行方面。日常互動是一個關鍵組成部分,也能確保員工和獨立合同工離開時不會帶走你的知識產權。同樣地,當第三方供應商提供解決方案并宣稱其員工已經過審查時,請確保你有辦法驗證該審查過程,并確保該解決方案按照承諾的方式運行。
教育培訓(Education):在信息安全和內部流程及程序方面投資員工教育,可能是一種持續的員工生命周期(ELC)參與,包括初始、補救和強化,具體取決于合同的期限。
Juncker表示,當涉及到合同工時,用于員工的控制措施應擴展到超出員工的控制范圍。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號