虽然企业部门通常将网络防范的重点放在外部网络科技威胁方面。但当部门与机构实施防范策略时，也应将内部网络科技威胁问题考虑在内。

公共部门在外部网络漏洞与威胁方面重点投入了大量的时间与资金。但形势与风险的转移将促使我们对投资水平进行反思与调整，并侧重于内部网络威胁。

普华永道2015年全球信息安全状态研究报告中表明（2015 Global State of Information Security），与外部人员网络犯罪相比，内部人员网络犯罪更为频繁，造成的损失更为严重。

普华永道网络安全专家理查德·贝格曼表示（Richard Bergman），尽管澳大利亚政府持续在国家安全方面进行大规模投资，并将其侧重点放于独立民族国家，黑客活动以及有组织的犯罪团体相关问题。但威胁的来源发生了变化，就目前的澳大利亚公共部门而言，内部人员威胁显然是一大危险。

去年，普华永道与美国特勤局（US Secret Service），CSO杂志以及卡内吉梅隆大学针对网络犯罪情况进行了调查，并一致认为，绝大多数网络安全事件是由内部人员所引起的。

为了降低这一风险，政府机构将需要将其人力，流程以及科技与内部风险管理项目进行有效联合。

机构领导人需采用以下七种方法以降低其机构的网络风险：

从上至下的管理– 奠定基调

任命一位领导并支持项目企业高管，找出企业关键的利益相关者并组成内部人员威胁工作小组，该小组将推动项目的策略，设计与实施。

了解企业信息的价值与风险

定期进行风险评估测试以识别潜在风险以及战略/目标。筛选出那些如被盗窃，泄露或更改后将对企业构成重大风险的企业重要信息资产。使用概念图的形式建立威胁模型，以评估企业监控与漏洞。发现监管中的漏洞并启用基于风险的优先次序与决策。

政策与流程

建立明确的项目政策与支撑流程实现跨部门一致性。

培训，意识以及沟通

建立并实施企业安全意识培训并促进经理，雇员与第三方提供商之间的沟通。

做出正确的技术投资

使用大规模数据分析平台与数据隐私保护功能根据机构特定风险与需求制定程序。建立风险智能与案例管理流程/平台，并将信息科技安全监管与工具，监控，记录等整合在内。

将内部风险嵌入企业范围风险管理

使企业网络与终端用户技术解决方案相结合。（监控，数字版权管理，防止数据丢失等等）

做好准备应对内部威胁

研发并测试企业在应对可能造成极端影响的内部人员事件时的方案。

伴随科技的飞速进步，企业必须对其系统中的网络风险进行管理。管理范围这将含盖企业的内部人员威胁，即为个人或他人利益利用企业授权访问窃取，破坏，损坏企业的信息与系统。

可能对企业造成威胁的内部人员包括：

· 企业现任以及前任员工

· 企业现任以及前任顾问和承包商

· 第三方信息技术供应商或提供商

· 受到派遣的内部人员（植入性内部人员）

对企业而言了解与应对其内部人员威胁是十分困难的。内部人员的动机以及其（窃取或损坏）所针对的信息内容各不相同。

内部人员事件通常出于以下五种原因：

· 观念，恶名或声誉– 通常为大型维基解密（WikiLeaks）披露事件

· 个人经济利益或诈骗–黑市经济中的信息买卖容易进出且利润极高

· 满情绪或恶意– 由与工作相关的负面事件引起，例如解雇与纠纷

· 通过盗取竞争者的知识产权获得企业竞争优势

· 外国政府指示的国家安全与/或经济间谍活动

尽管内部人员威胁对企业机构而言应该并不陌生，然而，大多数的企业机构内仍旧缺乏成熟的内部人员威胁程序，企业们没有为预防，检测与应对内部威胁做好相应准备。

那些良好管理其企业内部人员威胁问题的企业与机构均使用了全面的管理方法，即，包含了企业信息技术安全，人身安全，法律，隐私，人力资源，审计以及企业经理的参与。

此文为中文译文，仅供参考，若与英文原版存在不一致，请以英文为主，不构成法律意见。普华永道对信息的准确性不负任何责任。