許多公司的安全策略都集中在防止外來人員侵入內部網絡上。其實，相當大比例的重大安全漏洞都來自于內部。其中一些是早有預謀，而其他則全是無意之過，但是不管是哪種，它們都已經將你的網絡和其中的數據置于危險境地之中，可能會導致生產力的損失，和（或）直接經濟損失。

當你的企業成長時，確保你的安全策略能夠不斷滿足變化的需求，是非常重要的。尤其是在防護來自內部的威脅時，這一點特別明顯，因為以前在小公司環境中還行之有效的方法，在企業變大后，就往往變得不是那么有用了。讓我們來看看如何制定一個具有可伸縮性的，針對內部安全漏洞的安全策略。

發展的威脅
當公司很小，雇員只有幾人時，內部安全問題的發生機率遠比在大型企業中少得多，而其被發現的概率又遠比大型企業大得多（反之也同樣成立，就是小公司出安全問題的概率大得多，而被發現的概率小得多）。之所以會這樣，是有很多原因的。一方面，在小公司環境中，管理者往往和雇員一起工作，所以發生內部安全問題的概率要小得多。因為沒有特定的崗位分工，所以雇員們一同工作，同用一臺電腦，等等……而不是一個計劃中每個人只處理自己的“那一部分”，或是一系列任務中自己只執行特定的某個部分。這同樣減少了發生問題的機會，同時大大增加了問題被發現的機會。

但另一方面，小公司里的雇員常常被給予更多的自主權，管理者也相對更被人信任。在這種情況下，對那些試圖偷盜數據或帶寬的雇員來說，可說是一個良機；就算是不偷數據，他們也可以假公濟私的使用公司網絡，比如瀏覽自己感興趣的網頁，發送私人信件，聊天，以及其他事情等等——所有這些活動都可能使網絡暴露在風險之中。另外，小公司一般沒有專職的IT部門或安全管理人員來執行技術安全考量，一般也沒有針對雇員使用網絡而制定詳細的書面策略。

所以，當在一個很大的企業中，那些相對來說彼此匿名的雇員雖然可能更容易造成安全漏洞，他們也更可能會撞上預先已采取的措施（比如變得更加牢固而難以下手的電腦，被配置得更加安全的防火墻，等等）。

評估內部威脅
內部風險可以被分成幾個不同的種類。比如：