在移动互联网和云计算时代，企业面临的信息安全风险与日俱增，在安全基础设施上的投入不断加大，新安全技术和创业公司也风起云涌，但是企业最为担忧的，也是企业信息安全最脆弱的环节——员工信息安全意识，却并未得到应有重视。

近日Osterman Research调查了160位企业安全专业人士，了解他们对web、邮件和社交网络等风险的评估。

报告发现，企业管理者们最担忧的并非来自外部竞争对手的黑客攻击，而是内部威胁。

58%的受访者表示他们最担心的是内部员工上网导致的恶意软件渗透，56%的受访者表示担心个人web邮件在工作空间被打开。

74%的受访者表示过去12个月他们的企业网络被web恶意软件侵入，受到恶意email的人数比例则高达64%。

企业员工面临的威胁不仅仅来自桌面，Ponemon研究所的调查显示，68%的IT部门员工的移动设备都遭遇过恶意软件或者病毒。

自2009年以来，企业对移动设备安全的关注比例上涨了733%，从最近三个季度的数据统计来看，移动安全将成为2014年企业IT安全最大风险。根据思科最新发布的2013年信息安全报告，2013年99%的移动恶意软件都面准Android设备，Android用户接触各种web恶意软件的几率高达71%。（编者按：对于中国的企业IT部门来说，移动安全的风险尤为突出，因为刷机和缺乏监管的第三方应用市场的泛滥，中国是Android恶意软件的重灾区）

实际上，员工的很多危险行为其实是为了提高工作效率，移动互联网时代，越来越多的员工混淆了企业级和消费应用的边界，例如把工作文件上传到Dropbox等各种网盘中，以便路上或者在家中可以继续使用。或者在危机四伏的公共WiFi热点上传输重要资料。（编者按：例如在机场、酒店以及春运火车上使用免费WiFi网络）

值得注意的是，企业管理者和经理人的高危行为比普通员工更多。数字取证和风险管理公司Stroz Friedberg的调查显示，90%的高级管理者经常将工作文件上传到个人邮箱或者云服务账户中。这是因为企业管理者事务繁重，更加青睐移动办公。

CSOonline指出，员工安全意识培训依然是保护企业信息资产和敏感数据的最有效的方式之一。企业需要需要让员工了解到，他们每个人都是企业“人力防火墙”的一部分，任何人的疏漏都可能危及整个企业的信息安全。

对于企业的IT部门来说，最艰巨的任务就是如何在提高安全意识和安全管理水平的同时不牺牲企业的业务流程效率和员工满意度，这需要企业IT部门部署更加专业、高效率甚至有趣的安全意识工具，吸引员工主动参与，而不是命令式的“安全须知”。