בשנים האחרונות הולכת וגוברת מגמת מיקור החוץ (outsourcing) למגוון תחומי פעילות בארגון. לגורמים רבים מטעם חברות ספק וחברות עימן קיים שת"פ עסקי (ממשקים עסקיים) ניתנת נגישות פיזית ולוגית למידע רגיש אשר הפגיעה בו או חשיפתו הבלתי מבוקרת, במזיד או בשוגג, עלולים לגרום לחברה נזקים קשים, חלקם אף מבלי שהארגון יהא מודע להיווצרותם. חברות רבות ערות לצורך בהטמעת מדיניות אבטחה פנים-ארגונית, אך נוטות להזניח את יישום הנחיות האבטחה בקרב הממשקים העסקיים.
כמעט בכל תחום פעילות של חברות גדולות משולבים ממשקים עסקיים - בין אם אלו גופים עימם מתקיימים שיתופי פעולה עסקיים או גופים המספקים לחברה שירותים או מוצרים.
בחברות אלו קיימת רשימה של מאות ממשקים עסקיים, אשר ידם בכל, החל מחברות המנהלות, מתפעלות ומתחזקות את מערכות המחשב של החברה, דרך יועצים המכירים לעומק את תחומי פעילותם בחברות, דרך אנשי תחזוקה ומנקים המשוטטים בחברות באופן לגיטימי, כשהם מצוידים בתגים המאפשרים להם נגישות חופשית לשטחי החברה ומבלי שיעוררו כל חשד.
ארגונים רבים פתחו בפני הממשקים העסקיים את דלתותיהם ועם הזמן יצרו "דינמיקה משפחתית" בין גורמי החברה לבין גורמי הממשקים העסקיים. עם זאת, הדינמיקה הזו יוצרת שאננות המתאפיינת בתפיסת "הוא משלנו", המאפשרת לחברה להתעלם מהסיכונים האבטחתיים הגלומים בנוכחותם של הממשקים העסקיים בארגון.
חברת פרסום לדוגמה, מהווה צומת רגיש ביותר לחומר אסטרטגי חסוי, המגיע לשטח חברת הפרסום בתזמון רגיש מאוד. החברה מעסיקה עובדים רבים, במחלקות מגוונות הפרוסות לעיתים על-פני שטח רב.
על-מנת להימנע ולמזער מקרים בהם מידע רגיש דולף ונחשף לגורמים בלתי רצויים, או שנעשה בו שימוש בלתי ראוי ומזיק לארגון, על הארגונים להקדיש תשומת לב מרבית לסוגיות כגון:
האם קיימים הסכמי אבטחת מידע מטעם החברה המעסיקה את משרד הפרסום? האם הסכמי אבטחת מידע כוללים קווים ברורים ומנחים באשר למניעת הנגישות לחומר רגיש מצד גורמים בלתי מורשים? האם יש הקפדה על נהלי ליווי מבקרים, שיטות אחסון החומר הרגיש, אופן השמדת החומר המיותר, אופן נעילת המשרד בסיום יום העבודה ועוד.
חשוב למנות גורם ניהולי מוסמך שיבקר ויפקח על יישום הנהלים הללו בשטח חברת הפרסום. לדוגמה: האם החברה המעסיקה בודקת את הנעשה בשטח חברת הפרסום, מבקרת שם באופן גלוי או אף באופן חשאי, על-מנת לוודא כי המידע הרגיש שלה אכן נמצא בידיים בטוחות? האם ספקיה של חברת הפרסום, דוגמת עובדי הסטודיו החיצוני העוסק בגרפיקה או חברת הדפוס, נבדקים אף הם?
במקרים רבים לא ניתנת תשומת לב מספקת לעובדי הניקיון השוהים בשטחי החברה בשעות בהן המשרדים אינם מאויישים, כמו גם עובדי ניקיון שהינם "הטרף הקל" ביותר לחברות מתחרות או חברות מודיעיניות החפצות במידע. לעובדי הניקיון סיכוי קטן להפסיד במידה וייתפסו, ומנגד יש להם הרבה יותר מה להרוויח, במידה ויאספו את המסמכים שמצאו בפחי האשפה בלשכת המנכ"ל, לדוגמה, ויעבירו אותם לידי המבקש.
האפשרויות לפגוע בחברה באמצעות הממשקים העסקיים, בזדון או בשוגג, מגוונות מאוד, והנזקים עצומים, במיוחד נוכח העובדה כי מרבית הארגונים בארץ מזניחים את ההתייחסות האבטחתית לממשקים העסקיים. בחברות בהן קיימת מודעות לנושא, יוחתמו הממשקים העסקיים על הצהרת סודיות, אך נדיר יהיה למצוא חברות המיישמות פעילויות מעמיקות יותר אשר בכוחן למזער באופן ניכר את הסיכונים הקיימים בעבודה מול הממשקים העסקיים.
חברה עשויה להשקיע משאבים אדירים של כסף, כוח אדם וזמן בהטמעת פתרונות אבטחתיים בהיבטי המיחשוב, ויתכן שלצד אלו יושקעו גם משאבים מסוימים, אם כי לרוב פחותים, בהיבטי האבטחה הפיזית. הנהלת חברה שכזו תסיק כי ביצעה את הנדרש לטיפול בסיכונים, אך תהיה רחוקה מלהבין את המשמעות האמיתית של הסיכונים הקיימים בארגונה. כל עוד לא קיימת התייחסות אבטחתית מקיפה ומעמיקה לממשקיה העסקיים של החברה, ניתן לומר כי אבטחת המידע אינה מספקת כלל וכי המידע הרגיש נמצא בסכנה ממשית.
חברות הממשקים העסקיים עלולות לפגוע בחברה גם בשוגג, משום היעדר הנחיות, היעדר מודעות או היעדר כלים נאותים לאבטחה. הפגיעה בזדון תהיה כמובן ישירה יותר, לרוב מזיקה יותר וסמויה יותר, אך קיומם של הנחיות, הסכמים חתומים, ביקורת ובקרה, ימזערו עד ללא היכר את הסיכונים.
דינמיקה משפחתית אכן חמימה ומאירה פנים אך בהיעדר ההכוונה האבטחתית הנדרשת, יתכן כי בפועל תיצור הדינמיקה המשפחתית פצצת זמן.
