如今,越来越多的实体企业发现自己正在将“王国的密钥”交给第三方来处理手头的任务。更重要的是,在过去两年多的时间里,许多实体在员工/独立合同工的参与方式上发生了重大变化,远程办公选项也日趋常态化。
Code42公司首席技术官Rob Juncker认为,独立合同工/第三方供应商可能会使企业面临更大的风险敞口。
正式工和独立合同工本质上的差异
我们这里要问的问题是:“你的企业在雇佣员工和合同工时是否存在差异?你为谁提供与正式工一样的权限以访问公司基础设施和知识产权?”
正式工入职通常包含一个正式的流程,该流程一般在他们踏入公司之前就已开始,可能涉及人力资源、财务、信息技术和管理等内容。签署的文件包括保密协议(NDA)、知识产权声明、工资单和税务文件等。此外,公司还可能会向该员工提供公司设备或允许他们使用自己的设备。当员工离职时,公司将对他们的网络活动进行为期90天的审查,签署归还设备和知识产权的证明,并进行简报。
这些流程赋予正式工满满的归属感和主人翁感。而独立合同工虽然可能同为团队成员,但却与正式工大不相同。他们没有获得与正式工相同的福利和津贴。公司文化可能会接受独立合同工,但更多情况下并非如此。在这些差异中,我们发现独立合同工本质上就是一场“临时演出”。
独立合同工可能将敏感数据泄露进/出组织
从好的方面来说,独立合同工团队可能会为你的团队带来信息安全实践,如果实施可以增强安全足迹。不利的一面是,独立合同工可能会带来可怕的网络卫生实践和设备,这些设备在他们不断更换公司的过程中已经接触过多的实体。
这无疑凸显了一个严重问题:另一个实体的知识产权会被意外或故意渗透到你的环境中,而当该合同工离职后,你的知识产权同样也有可能渗透到其他组织。你是否从他们的设备和存储中收回了所有公司信息?他们的访问被终止了吗?所有这些问题都需要谨慎对待。事实证明,大多数内部盗窃都发生在个人准备离职时,这早已不是什么秘密。
与独立合同工建立信任锚
根据Juncker的说法,解决方案需要“信任锚”(trust anchor)并践行“3E”原则:
专业知识(Expertise):合同工正在将专业知识转化成实际价值。虽然他们可能不是员工,但他们的投入对成功至关重要。必须鼓励公司对其价值和成功的认同。
执行(Enforcement):管理预期至关重要,尤其是在执行方面。日常互动是一个关键组成部分,也能确保员工和独立合同工离开时不会带走你的知识产权。同样地,当第三方供应商提供解决方案并宣称其员工已经过审查时,请确保你有办法验证该审查过程,并确保该解决方案按照承诺的方式运行。
教育培训(Education):在信息安全和内部流程及程序方面投资员工教育,可能是一种持续的员工生命周期(ELC)参与,包括初始、补救和强化,具体取决于合同的期限。
Juncker表示,当涉及到合同工时,用于员工的控制措施应扩展到超出员工的控制范围。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号