Med över 1100 interna säkerhetsbrott som uppstår i brittiska företag varje dag, när man mildrar risken för dataförlust är den första platsen att se förmodligen dina egna medarbetare.

Medvetenheten om den inre säkerheten ökar, delvis på grund av Edward Snowden-effekten. När du tog filer från NSA till världens media var Snowden källan till en av de mest profilerade läckageinformationen hela tiden. Men när han fick tillgång till dessa filer var Snowden inte en anställd hos NSA. Han var en entreprenör.

Nu kan det här tyckas som lite irrelevant skillnad, men det är faktiskt ett viktigt övervägande.

Den utökade organisationen

I vår senaste forskningsrapport, "From Brutus to Snowden: en studie av insider hot personas", vi dissekerade hur attityder för säkerhet skiljer sig åt mellan demografi, industrier och arbetsroller.

Forskningen var baserad på en undersökning av 2 000 brittiska och amerikanska kontorarbetare, och en del vi såg på var förhållandet de anställda hade med sina arbetsgivare. På så sätt kunde vi se skillnaden mellan heltid och deltid anställda, säljare, samarbetspartners och entreprenörer.

Många av resultaten var häpnadsväckande. När man tittar på vanorna med lösenordsdelning (en vanlig orsak till överträdelser mot intern säkerhet och hur Snowden lyckades få tillgång till kollegans filer) verkar partner och leverantörer vara mycket värre än någon annan grupp.

De som beskrivit sig själva som leverantörer tycks dela lösenord som en självklarhet, med 73% som har delat med en eller flera kollegor jämfört med organisationsgemenskapen på 23%. Partners är också dubbelt så sannolikt (46%) än genomsnittet för att dela lösenord.

Om du anser en annan stor säkerhetsbrott, den som slår till USA-återförsäljaren Target, kan du i praktiken se den potentiella säkerhetsbrist som den utökade organisationen utgör. Brottet inträffade via email phishing, skickades inte till Target-anställda, men till anställda i en HVAC-firma som arbetar med verksamheten.

Ex-anställda

En av anledningarna till att en leverantör, partner eller entreprenör kanske inte har samma inställning till ditt företags säkerhet är att de inte har samma incitament att vara samvetsgranna som en heltidsanställd.

En annan grupp som saknar denna typ av incitament är förstås ex-anställda. Och vår forskning grävde upp några intressanta insikter om dem också.

I själva verket enligt vår forskning är minst en tredjedel av alla tidigare anställda medvetna om att de fortsätter att ha tillgång till data och system från sin tidigare arbetsplats. Detta antal är också mycket större för yngre generationer, så högt som 58% av åldrarna 16-24 och 48% för 25-34-åringar. Detta tyder på att de som nyligen har lämnat jobb nyligen brukar ha fortsatt tillgång till sina ex-arbetsgivares data eller system.

Dessutom har 9% av alla skrivbordsbaserade arbetstagare inte bara haft tillgång, men använde den. Det är nästan en av 10 som har gått in på system eller data från en tidigare arbetsgivare.

Åtgärda problemen

Frågan om ex-anställdes nätverk och datatillgänglighet är, när du tänker på det, absurt. Det är så enkelt att begränsa tillgången till tidigare anställda, bara genom att ändra lösenord och avaktivera konto en systematisk del av uppsägningsprocessen. Det är dock klart att en betydande del av företagen misslyckas med att göra detta.

Det bredare utökade företaget å andra sidan - partners, leverantörer och entreprenörer - utgör ett mer komplext problem. Dina normala heltidsanställda (bör) genomgå säkerhetsutbildning och du har mer möjlighet att utbilda dem på lämpliga arbetsrutiner. En partnerorganisation kan kräva tillgång till dina system och data för att kunna fungera, men dess anställda är mindre utbildade på din säkerhetspolicy, och även om de var, har de mindre incitament att följa det.

Det enda svaret här är att använda teknik för att lösa problemet. Integrera lösningar som bekämpar dåliga rutiner som lösenordsdelning direkt i dina system för att hantera dem. Du kanske inte kan kräva att en leverantörs anställda ska delta i en träningspass, men du kan be dem att godkänna användningsvillkor och meddela dem om din policy via teknik.

Oavsett om man överväger ex-anställda, leverantörer, entreprenörer eller partnerskap, är det bredare budskapet att insiderhot inte begränsas till din nuvarande heltid eller deltid. Intern säkerhet måste sluta sluta. I själva verket är det förmodligen viktigare att tillämpa över hela din utökade organisation och till och med bortom de som har lämnat verksamheten.

  • Francois Amigorena är grundare och VD för IS-beslut