•  創建清晰明了的文檔并強制執行策略、流程以及控制措施來防范內部偷竊/威脅。 

      • 強制執行職責分離和最小權限。不允許員工訪問沒有理由查看、獲取或是下載的信息。同樣，確保財務上的任務是分隔開來的，例如保持對應付賬款和應收賬款的訪問是分隔和不同的。簡單來說，組織不想讓某人根據以欺騙手段寫的賬單來開發票。

      • 限制使用便攜媒體，或是在某些環境下禁止使用。

      • 提醒員工——并且讓他們簽署確認聲明：他們創建、管理、使用的知識產權屬于公司而不是員工。

      • 審計關鍵的行為（例如支票和支付準備工作以及郵件），并且審計任何可能用于操縱帶走資金的異常過程。  

      • 對IT資產和數據實施并強制執行恰當的使用策略。強調對敏感或是有價值的信息進行恰當的處理和管理。

技術實踐

      • 從技術上限制員工只能訪問系統上完成工作需要的文件和數據。

     •  最小化或是限制管理員的權限，并且不使用共享的用戶名和密碼。

     • 記錄、監控和審計員工線上的行為。同樣要確保此類活動的合法性。

       實施安全備份和恢復機制，并且確保備份數據沒有被破壞。

     • 阻攔對個人郵箱、web郵箱和競爭對象郵箱的訪問。

      • 自動標識不匹配的數據（例如給某公司的付款與發票的數額）。

未來的挑戰

         我們必須面對的事實是，內部威脅可以（很可能已經）在每個企業內發生。隨著不斷增長的業務競爭全球化本質，內部威脅挑戰的增長不會讓我感到驚訝，同樣還有對于我們的IT系統來說，不斷增長的外部信息安全威脅。組織必須始終保持對內部威脅的警惕，包括為系統不可避免的風險制定計劃。熟知這些風險，并為這種可能性做好準備，良好的組織將受益于知曉如何快速地響應，以便減少或是防范內部威脅的發生。