一、信息安全审查与监视(HR)

招聘员工时，有助防护公司信息安全的一个预防性措施，就是对应聘者进行背景调查。有些公司常出于节约成本的目的而做此类审查，但在网络安全领域，招聘过程只是人事部门的第一步。需要特别注意的是应聘者的犯罪前科和来应聘的真实原因。恶意内部人员有时候会是间谍，会表现得像是公司最适合的人选一样，而一旦成功进入公司，就不定会干出什么事来了。

NIST网络安全框架建议，公司企业应为每个职位都赋予一个风险等级。风险等级越高，对该职位求职者的信任和安全要求就越高。新人员进驻高风险职位时，应有主管人员更紧密地监视其有无高风险行为。另外，任何事件都应被记录在案，并进行行为趋势分析。该过程中可利用行为分析和风险分析技术加以辅助。HR还应准备好劳动终止协议，以备必须让员工离职时所需。

该协议应要求主管人员进行离职会谈，给出最后的绩效考评，并商讨最后一笔工资数额。IT部门应删除拟离职员工的所有账户。如果拟离职员工是特权用户，IT部门还要修改所有共享口令。HR需向该拟离职员工再次确认知识产权协议。

二、健康的工作文化和最小化的压力

主管人员面临着平衡员工压力和生产力的挑战。通常情况下，经理们会选择生产力;也就意味着会让员工以承受高压为代价来达成业绩目标。而人们承受压力时，各种各样的负面影响开始显现，比如出现更多的失误，接二连三地病倒，还会产生一种被忽视的感觉。以上点出的这些还仅仅是负面影响的一小部分，而仅仅是这一小部分，已经具备了让玩忽职守问题和恶意内部人员威胁滋生的沃土。为避免这些让威胁滋生的条件，公司企业有必要了解创建健康的工作文化需要先解决哪些紧迫问题。

其中一个问题在上文中已提到：管理生产力与压力水平。其他挑战还包括为员工生产力水平建立基线，理解降低压力的成本和收益。识别这些问题对自家公司的影响，有助于管理层看清可进行哪方面的运营过程改进。减小压力可能意味着需要实现一种新的管理风格，比如面向工程的任务管理。另一种减小压力的方法或许是理解公司衡量成功的方式，了解关键绩效指标(KPI)，并弄清这些因素都是如何影响工作文化的。不良KPI的例子可以参考帮助中心以接电话数量而不是有无实际帮助到客户作为KPI。如果以电话数量为KPI，那么数量的压力必然驱使员工为达成特定目标而降低客户服务质量，增加不必要的竞争，同时催生更多的错误。只需简单地将KPI改为实际帮助到的客户，就能改变员工的压力点。员工就可以与客户进行更有意义的互动，也会更愿意小心谨慎些以确保少出错。上述例子的重点在于采用符合公司环境的KPI。三思而后行，应先确认自身工作文化中的问题的根源，再试图解决之。

三、供应商管理计划&策略

公司自身或许在努力避免来自员工的内部威胁，但供应商和业务合作伙伴就未必那么尽职了。于是，你需要一个供应商管理计划，也就是明确自家公司与合作供应商之间责权利的一系列协议。供应商管理计划属于公司管理层的责任。IT部门就那么点儿人手和资源，如果管理层没有在引入供应商之前就设立某些标准，那IT将不得不从有限的资源中再分出一部分来缓解各种漏洞。此类计划由4个阶段组成：定义、规范、控制，以及集成。

1、定义阶段涉及确认对公司运营而言最关键的供应商都有哪几家，也就是识别出哪些供应商是公司赖以成功的基石。如果没处理好与这些任务关键型供应商之间的问题，公司的运营可能无以为继，盈利也会受到影响。

2、规范阶段主要涉及为每家合作供应商制定一个安全联络员。该联络员的职责是维护合规信息，进行审计，协调安全通信，提供培训，记录所有合同和文档，并实施全面监督。

3、上面两个阶段都履行之后，管理层的重头戏就来了——制定供应商策略和控制措施。起草供应商策略时，文档中应囊括进审计安全控制的权力，并制定出对供应商在监视、安全性能报告和数据泄露及时通告方面的合规要求。通过制定这些策略，安全联络员旅行自己职责的时候就有了有力的依据。不过，联络员的成功很大程度上有赖于管理层对供应商的要求，并将这些要求在此一阶段设置为供应商控制措施。

4、最后的阶段就是集成，主要关注数据收集、分析和验证。公司应能获取供应链的相关信息。如果缺乏此类数据，公司将无法了解自身整体安全状况。收集来的信息需要集成进公司现有安全操作和审计流程当中。若没有完全集成，供应商管理计划就会流于形式，这可不是想要在网络安全时代取得成功的企业想要的状态。

四、管理层关键角色

防止内部威胁不仅仅是IT这一个部门的工作。只有管理层对此加以大力支持，公司企业才能更好地防止内部威胁。管理层可以用来帮助防止内部威胁的方法还有很多，上面提到的一些建议仅仅是其中一小部分。企业中的领导层对过程开发、人员招聘、业务关系和工作文化都具有深远的影响。这些领域中的任何一个出现了漏洞，公司都将处于内部相关数据泄露的高风险之下。