Especialistas externos podem ser ameaças de segurança de forma voluntária ou acidental
Se alguém construísse um diagrama de Venn para comparar a integração, educação, supervisão e demissão de funcionários versus trabalhadores contratados, as diferenças de áreas poderiam ser uma surpresa. Nesse caso, surpresas não são o que um CISO quer encontrar. Assim, esse diagrama como parte de seu programa de gerenciamento de ameaças de risco interno destaca o delta entre os dois tipos de trabalhadores e como eles são tratados.
O conceito de núcleo e contexto quando se trata de separar as funções da força de trabalho equivalente em tempo integral em funcionários e contratados independentes tem sido um desafio contínuo para todas as organizações e pequenas e médias empresas. Adicione à mistura as ofertas de serviços contratados – por exemplo, um provedor de serviços de segurança gerenciados – e as entidades se encontrarão entregando as chaves do reino a terceiros para lidar com as tarefas. Além disso, os últimos dois anos fizeram com que muitas entidades passassem por uma mudança importante na forma como os funcionários/contratados independentes se envolvem, com um influxo notável na opção de trabalho remoto.
Rob Juncker, CTO da Code42, compartilhou áreas em que o contratante independente/fornecedor terceirizado pode estar colocando sua empresa em risco mais do que o necessário.
Equipe x manuseio administrativo do contratado independente
As perguntas a serem feitas são: “Existe uma diferença entre como sua entidade integra funcionários e contratados ou esses indivíduos dentro de fornecedores contratados? Quem você está fornecendo acesso de equipe à infraestrutura da empresa e, por extensão, à propriedade intelectual?”
A integração do funcionário da equipe normalmente inclui um processo formal que geralmente começa antes de entrar pela porta da frente. O processo pode incluir recursos humanos, finanças, tecnologia da informação e gestão. São assinados papéis que vão desde acordos de confidencialidade (NDAs), declarações de propriedade intelectual, folha de pagamento e documentos fiscais. Além disso, esse funcionário pode receber dispositivos da empresa ou ter seus próprios provisionados. Quando o funcionário sai, é realizada uma revisão de 90 dias de suas atividades de rede, atestados de devolução de dispositivos e propriedade intelectual assinados e um breve resumo.
Os funcionários têm um sentimento de pertencimento e propriedade. O contratante independente pode ser um membro da equipe, mas eles são um tipo diferente de membro. Eles não estão recebendo os mesmos benefícios e regalias que o funcionário recebe. A cultura da empresa pode abraçar o contratado independente, embora com muito mais frequência isso não aconteça. Dentro dessas diferenças, descobrimos que o buy-in do contratante independente é diferente por natureza: é um gig.
Contratados independentes podem liberar vazamentos de dados confidenciais dentro e fora de uma organização
O lado positivo é que a equipe de contratados independentes pode trazer práticas de segurança da informação para sua equipe que, se implementadas, podem melhorar a pegada de segurança. O lado negativo é que o contratado independente pode trazer práticas horríveis de higiene cibernética e dispositivos que entraram e saíram de uma infinidade de entidades à medida que passavam de um compromisso para o outro.
Então nós temos o especialista que vem até você porque ele tem aquele conhecimento/habilidade único que, quando infundido, fará um produto cantar ou um processo murmurar suavemente. Essa experiência equivale a acesso aprimorado, às vezes muito mais acesso do que pode ser concedido aos funcionários.
Tudo isso destaca a ampla oportunidade de a propriedade intelectual de outra entidade ser infiltrada em seu ambiente, acidentalmente ou de propósito. Da mesma forma, quando o contrato termina e o contratado independente parte para a próxima oportunidade, eles estão saindo com o produto do trabalho em sua posse? Todas as informações da empresa foram recuperadas de seus dispositivos e armazenamento? O acesso deles foi encerrado? Não é nenhum segredo que a maioria dos roubos internos ocorre quando um indivíduo está se preparando para sair pela porta.
Crie âncoras de confiança com contratados independentes
A solução requer “âncoras de confiança”, de acordo com Juncker, e está dentro do que ele caracterizou como os “Três E’s”:
– Expertise: O contratante está trazendo expertise para a mesa. Embora possam não ser funcionários, sua contribuição é fundamental para o sucesso. A adesão à cultura e ao sucesso da empresa deve ser incentivada.
– Aplicação [Enforcement]: Gerenciar expectativas é fundamental, especialmente quando se trata de aplicação. A interação do dia-a-dia é um componente fundamental, mas também a capacidade de confirmar, quando os funcionários e contratados independentes saem, que eles não estão saindo com sua propriedade intelectual. Da mesma forma, quando um fornecedor terceirizado fornece uma solução e seus funcionários são avaliados, certifique-se de ter os meios para verificar esse processo de avaliação e que a solução funcione conforme anunciado. Mais de uma entidade foi comprometida com um de seus fornecedores contratados para fornecer o gateway.
– Educação: Investir na educação dos funcionários em relação a infosec e processos e procedimentos internos pode ser um engajamento contínuo do ciclo de vida dos funcionários, com iniciação, remediação e reforço, dependendo da duração do contrato. O contratante independente pode ser tocado apenas uma vez com a oportunidade de educar. Faça valer a pena.
Juncker concluiu nossa discussão com a observação direta: “Os controles usados para funcionários da equipe devem ser amplificados quando se trata da força de trabalho contratada, acima e além do usado para a equipe”.
