终端用户常常被认为是组织信息安全的内部威胁。过去几年的许多调查一直被业内专家和学者认为是为这种断言提供令人信服的证据。虽然终端用户实际上可能会引起安全问题，但“内部威胁”这一术语，也称为信息安全管理中的人为因素，这是相当具有误导性的。

    过去的大多数调查要求IT专业人员(比如CIO和安全管理人员)提供安全问题的估算。这样的调查可能是不可靠的，原因有两点。

     首先，确地说，受访者只能报告已发现的安全事故。因此，未被发现的安全漏洞是没有得到充分报道的。其次，或许更重要的原因是，调查参与者通常是高级IT经理，可能对安全问题采取管理的视角来看待。换句话说，他们倾向于认为终端用户是影响安全的敌人，因此作为一个控制和监控的对象。

     更多详情请访问：http://www.isaca.org/Journal/Blog/default.aspx