很多企业在“始终在线”和“按需使用”工作场所中管理内部人员风险需要采用新模式。除了对设备或网络进行逻辑保护以保护数据以及监视、审核和管理人员之外，还需要一种新的无边界内部人员风险管理方法来确保安全，该方法将优先级转移到内部人员与数据或信息对象本身的交互上。  在企业环境中管理内部风险本身是困难的，而向远程员工队伍和“无边界”工作场所的转变加剧了这些固有的挑战。企业的内部人员风险管理计划有四个主要目标：意识、理解、可见性和保护。无边界工作场所需要对传统风险管理方法进行调整和改变。  1.意识  风险意识意味着要清楚地了解内部人员，为内部人员提供适当保护资产的资源，创建一种透明和负责任的文化，并制定有助于识别和缓解异常行为的工作流程。  在传统的工作场所中，培训的重点是在办公室环境中操作的实践，如何发现员工的异常行为以及如何防范常见的电子邮件攻击。强调良好的工作场所管理(不要将文档留在打印机上、不要锁屏、不要将内容发送到不安全区域等)以及如何向管理人员报告信息。内部人员的定义是实际在企业办公室办公的人员，而工作流程则专注于识别工作场所中的异常行为。  相比之下，在无边界工作场所中，培训必须集中在远程工作场所和所涉及的独特环境上。为此，必须强调适当的安全习惯以访问企业信息(假热点、欺骗、在公共场所上网等)，以及在办公室之外正确处理信息(打印、存储、传输)。在这种环境下，使用文件共享站点、USB、电子邮件安全性和设备管理(个人和公司)尤为重要。工作流程还必须适应并报告可疑活动。在这里，必须从虚拟访问的角度了解内部人员，因为许多远程办公的员工可能不会在企业办公室中工作。最后，工作流程必须包含识别工作场所外部异常行为的方法和手段。  2.理解  理解包括通过识别和定义关键资产，确定这些资产的粒度，根据影响对它们进行优先排序，以及开发可促进资产工作流程的知识，并将这些知识纳入风险管理框架的流程，以关注对企业重要的事情。  在传统的工作场所中，重点是作为“资产持有者”的公司(在企业设备、网络、实际位置上)。工作流程将映射到办公室内部协作，因此，可以在传统公司环境的范围内理解风险。一旦确定了关键资产，就需要了解谁有权访问这些资产以及如何处理、存储和移动它们。对于传统的工作场所，这通常是一个令人大开眼界的工作，获得关键资源的途径通常远远超出了人们的想象。  相比之下，在没有边界的工作场所中，内部人员通常是“资产持有者”(存储在个人设备、U盘、文件共享站点、家庭办公场合)，并且关键资产的扩散更加明显。在远程工作的员工拥有各种各样的机制来处理和存储资产。风险模型现在必须包括与在企业环境之外进行操作相关的威胁和漏洞。因此，可能的“资产持有者”的分类扩大到了家庭办公场合中可用的任何资产。这可能包括个人计算机、平板电脑、电话以及移动媒体。物联网设备的不断增长使这一过程变得更加复杂。此外，在考虑传输中的关键数据时，远程工作者更有可能在传输组织数据时使用其他方式和设备。因此，必须将部门间工作流分类为识别传统企业环境之外的威胁和漏洞的基本组成部分。  3.可见性  可见性包括监视表明对企业资产(网络和网外)构成威胁的内部人员行为，监视内部人员与已识别资产的交互、记录资产访问和移动以及分析行为、交互作用和日志以识别风险。  在传统的工作场所中，可见性仅限于企业拥有的设备和网络以及企业的行为。相比之下，无边界工作场所必须包括对个人设备的可见性、企业机构(开放源数据源)之外的行为，并了解如何将数据资产移动、传输和存储在企业网络之外。  为了应对员工存储、传输和