流氓系统管理员为最大的内部威胁

为了应对这一嗜好，发现任何恶意行为，安全专家称公司需要监视那些拥有网络特权的人。在这方面，德国商业银行通过软件来监控雇员的行为。他们使用ArcSight企业安全管理器和企业随机密码管理器来监控系统管理员和其他雇员的行为。DiPietro称：“自从我们采取了这些措施后，所有的雇员都很规矩。”

Lieberman公司的密码管理软件通常为视为是一种“报警电话”，他们给予最高IT经理批准账户临时提高访问域的权力。批准提高一个账户的权限需要多个不同经理的认可。

当超过时限后，德国商业银行使用的这套系统会自动重置账户的权限。提高权限的申请会被以多种理由被拒。DiPietro称：“我已经拒绝了许多次申请。”

这种情况显然对前旧金山市网络管理员Terry Childs刻骨铭心。Childs被授权帮助建立旧金山现代FiberWAN网络，但是两年前他拒绝向经理交出网路路由器的密码。很明显，Childs担心自己会失去工作或被重新安排职位。Childs的这一行为导致他被警方逮捕，并被判有罪，获刑四年。

作为陪审团成员的思科认证互联网专家Jason Chilton称，他发现这一案件中，最困难的部分是谁是合法的密码拥有者，因为旧金山市对此并没有特别的规定。

Chilton称，他发现尽管Childs“可能有一点偏执”，但是他还是值得同情的。他的问题是，他没有被很好的监控。他被授予了绝对的权力。

监视监控者

越来越多的公司开始将拥有特权的IT雇员视为内部威胁。虽然公司会通过让他们负责公司关键数据的方式暗示他们值得信任，但是执行强力安全控制对公司有益。

德克萨斯州麦卡伦市IT项目经理Rudy Juarez：“由于我们是在知识型公司，因此我们必须树立榜样。” Juarez正在建立一个全新现代化跨国数据中心和网络，其与墨西哥Anzalduas国际桥接设施相联。麦卡伦还升级了市政厅和其它市政建筑的网络。

项目中最重要的信息被存放在限制访问的IT部门数据中心。IT雇员和服务提供商需要使用生物指纹才能访问。Bioscrypt指纹识别器授予访问者权限。

Juarez指出，基于指纹的访问权限控制比门禁卡控制更为有效，因为门禁卡会被人冒用。和其它的市政大楼一样，数据中心内还安装有视频监控系统。他们通过Matrix系统公司研发的Frontier Standard软件整合了物理安全系统，其中包括新的HID综合门禁和发放给雇员的考勤卡。

由于网络和安全控制的核心是数据中心，对服务器的访问也受到了限制，只有一小部分IT部门的雇员可以访问IT系统。问题并不是其他的IT雇员不值得信任，而是为了降低风险，特别是在越来越多的市政网络和安全基础设施被集中在数据中心的时候。

IT安全分析师称，公司应当根据“职责分离”(又被称为“职责隔离”)的概念对IT雇员工作结构进行调整。这样可以在制度上检查和监控，以防止权力过于集中在某个人身上。不过这种办法操作起来并不容易，并且成本高昂。随之而来的问题是，尽管公司努力让IT安全经理和审查者受到监控，但是系统管理员常会涉及企业安全部署的多个方面。