Como você lida com contratados independentes pode determinar seu risco de ameaça interna
Especialistas externos podem ser ameaças de segurança de forma voluntária ou acidental
Se alguém construísse um diagrama de Venn para comparar a integração, educação, supervisão e demissão de funcionários versus trabalhadores contratados, as diferenças de áreas poderiam ser uma surpresa. Nesse caso, surpresas não são o que um CISO quer encontrar. Assim, esse diagrama como parte de seu programa de gerenciamento de ameaças de risco interno destaca o delta entre os dois tipos de trabalhadores e como eles são tratados.
O conceito de núcleo e contexto quando se trata de separar as funções da força de trabalho equivalente em tempo integral em funcionários e contratados independentes tem sido um desafio contínuo para todas as organizações e pequenas e médias empresas. Adicione à mistura as ofertas de serviços contratados – por exemplo, um provedor de serviços de segurança gerenciados – e as entidades se encontrarão entregando as chaves do reino a terceiros para lidar com as tarefas. Além disso, os últimos dois anos fizeram com que muitas entidades passassem por uma mudança importante na forma como os funcionários/contratados independentes se envolvem, com um influxo notável na opção de trabalho remoto.
Rob Juncker, CTO da Code42, compartilhou áreas em que o contratante independente/fornecedor terceirizado pode estar colocando sua empresa em risco mais do que o necessário.
Equipe x manuseio administrativo do contratado independente
As perguntas a serem feitas são: “Existe uma diferença entre como sua entidade integra funcionários e contratados ou esses indivíduos dentro de fornecedores contratados? Quem você está fornecendo acesso de equipe à infraestrutura da empresa e, por extensão, à propriedade intelectual?”
A integração do funcionário da equipe normalmente inclui um processo formal que geralmente começa antes de entrar pela porta da frente. O processo pode incluir recursos humanos, finanças, tecnologia da informação e gestão. São assinados papéis que vão desde acordos de confidencialidade (NDAs), declarações de propriedade intelectual, folha de pagamento e documentos fiscais. Além disso, esse funcionário pode receber dispositivos da empresa ou ter seus próprios provisionados. Quando o funcionário sai, é realizada uma revisão de 90 dias de suas atividades de rede, atestados de devolução de dispositivos e propriedade intelectual assinados e um breve resumo.
Os funcionários têm um sentimento de pertencimento e propriedade. O contratante independente pode ser um membro da equipe, mas eles são um tipo diferente de membro. Eles não estão recebendo os mesmos benefícios e regalias que o funcionário recebe. A cultura da empresa pode abraçar o contratado independente, embora com muito mais frequência isso não aconteça. Dentro dessas diferenças, descobrimos que o buy-in do contratante independente é diferente por natureza: é um gig.
Contratados independentes podem liberar vazamentos de dados confidenciais dentro e fora de uma organização
O lado positivo é que a equipe de contratados independentes pode trazer práticas de segurança da informação para sua equipe que, se implementadas, podem melhorar a pegada de segurança. O lado negativo é que o contratado independente pode trazer práticas horríveis de higiene cibernética e dispositivos que entraram e saíram de uma infinidade de entidades à medida que passavam de um compromisso para o outro.
Então nós temos o especialista que vem até você porque ele tem aquele conhecimento/habilidade único que, quando infundido, fará um produto cantar ou um processo murmurar suavemente. Essa experiência equivale a acesso aprimorado, às vezes muito mais acesso do que pode ser concedido aos funcionários.
Tudo isso destaca a ampla oportunidade de a propriedade intelectual de outra entidade ser infiltrada em seu ambiente, acidentalmente ou de propósito. Da mesma forma, quando o contrato termina e o contratado independente parte para a próxima oportunidade, eles estão saindo com o produto do trabalho em sua posse? Todas as informações da empresa foram recuperadas de seus dispositivos e armazenamento? O acesso deles foi encerrado? Não é nenhum segredo que a maioria dos roubos internos ocorre quando um indivíduo está se preparando para sair pela porta.
Crie âncoras de confiança com contratados independentes
A solução requer “âncoras de confiança”, de acordo com Juncker, e está dentro do que ele caracterizou como os “Três E’s”:
– Expertise: O contratante está trazendo expertise para a mesa. Embora possam não ser funcionários, sua contribuição é fundamental para o sucesso. A adesão à cultura e ao sucesso da empresa deve ser incentivada.
– Aplicação [Enforcement]: Gerenciar expectativas é fundamental, especialmente quando se trata de aplicação. A interação do dia-a-dia é um componente fundamental, mas também a capacidade de confirmar, quando os funcionários e contratados independentes saem, que eles não estão saindo com sua propriedade intelectual. Da mesma forma, quando um fornecedor terceirizado fornece uma solução e seus funcionários são avaliados, certifique-se de ter os meios para verificar esse processo de avaliação e que a solução funcione conforme anunciado. Mais de uma entidade foi comprometida com um de seus fornecedores contratados para fornecer o gateway.
– Educação: Investir na educação dos funcionários em relação a infosec e processos e procedimentos internos pode ser um engajamento contínuo do ciclo de vida dos funcionários, com iniciação, remediação e reforço, dependendo da duração do contrato. O contratante independente pode ser tocado apenas uma vez com a oportunidade de educar. Faça valer a pena.
Juncker concluiu nossa discussão com a observação direta: “Os controles usados para funcionários da equipe devem ser amplificados quando se trata da força de trabalho contratada, acima e além do usado para a equipe”.