?如果要構建一個維恩圖(Venn diagram)來比較正式工與合同工(contract worker)的入職、培訓、監督和離職流程，那么這些領域的差異可能會讓人感到意外。但很顯然，CISO并不喜歡任何意外。因此，作為內部風險威脅管理計劃的一部分，這樣的圖表突出了兩種類型的員工之間存在的差異以及企業對待他們的不同方式。

如今，越來越多的實體企業發現自己正在將“王國的密鑰”交給第三方來處理手頭的任務。更重要的是，在過去兩年多的時間里，許多實體在員工/獨立合同工的參與方式上發生了重大變化，遠程辦公選項也日趨常態化。

Code42公司首席技術官Rob Juncker認為，獨立合同工/第三方供應商可能會使企業面臨更大的風險敞口。

正式工和獨立合同工本質上的差異

我們這里要問的問題是：“你的企業在雇傭員工和合同工時是否存在差異?你為誰提供與正式工一樣的權限以訪問公司基礎設施和知識產權?”

正式工入職通常包含一個正式的流程，該流程一般在他們踏入公司之前就已開始，可能涉及人力資源、財務、信息技術和管理等內容。簽署的文件包括保密協議(NDA)、知識產權聲明、工資單和稅務文件等。此外，公司還可能會向該員工提供公司設備或允許他們使用自己的設備。當員工離職時，公司將對他們的網絡活動進行為期90天的審查，簽署歸還設備和知識產權的證明，并進行簡報。

這些流程賦予正式工滿滿的歸屬感和主人翁感。而獨立合同工雖然可能同為團隊成員，但卻與正式工大不相同。他們沒有獲得與正式工相同的福利和津貼。公司文化可能會接受獨立合同工，但更多情況下并非如此。在這些差異中，我們發現獨立合同工本質上就是一場“臨時演出”。

獨立合同工可能將敏感數據泄露進/出組織

從好的方面來說，獨立合同工團隊可能會為你的團隊帶來信息安全實踐，如果實施可以增強安全足跡。不利的一面是，獨立合同工可能會帶來可怕的網絡衛生實踐和設備，這些設備在他們不斷更換公司的過程中已經接觸過多的實體。

這無疑凸顯了一個嚴重問題：另一個實體的知識產權會被意外或故意滲透到你的環境中，而當該合同工離職后，你的知識產權同樣也有可能滲透到其他組織。你是否從他們的設備和存儲中收回了所有公司信息?他們的訪問被終止了嗎?所有這些問題都需要謹慎對待。事實證明，大多數內部盜竊都發生在個人準備離職時，這早已不是什么秘密。

與獨立合同工建立信任錨

根據Juncker的說法，解決方案需要“信任錨”(trust anchor)并踐行“3E”原則：

• 專業知識(Expertise)：合同工正在將專業知識轉化成實際價值。雖然他們可能不是員工，但他們的投入對成功至關重要。必須鼓勵公司對其價值和成功的認同。
• 執行(Enforcement)：管理預期至關重要，尤其是在執行方面。日常互動是一個關鍵組成部分，也能確保員工和獨立合同工離開時不會帶走你的知識產權。同樣地，當第三方供應商提供解決方案并宣稱其員工已經過審查時，請確保你有辦法驗證該審查過程，并確保該解決方案按照承諾的方式運行。
• 教育培訓(Education)：在信息安全和內部流程及程序方面投資員工教育，可能是一種持續的員工生命周期(ELC)參與，包括初始、補救和強化，具體取決于合同的期限。

Juncker表示，當涉及到合同工時，用于員工的控制措施應擴展到超出員工的控制范圍。