在討論公司的安全預算時，會有很多種考慮：是購買更好的防火墻、入侵防護系統、防病毒軟件，或者還有其他聽起來更誘人的終端安全軟件？其實，最需要投資的是企業內部的一個最大安全漏洞——最終用戶，如果企業能對員工進行充分的安全教育，這比其他任何安全技術加起來的作用都要大。
絕大多數公司認為，只要發個E-mail，告訴員工什么能做，什么不能做就行了。也有些公司在新員工培訓的幻燈片中花五分鐘談安全問題。這些動動嘴皮子的做法基本上沒什么用。實際上，這樣做的結果無異于告訴員工：我們不用重視IT安全，你們愿意做什么就做什么好了。
人們傾向于認為，由技術帶來的問題可以用更多的技術來解決。在許多時候，這樣做或許是對的。但對于網絡安全來說，卻是個例外。安全解決方案的最關鍵要素是人，技術的作用相對來說比較小。
在給員工發放計算機和網絡口令之前，應該先就如何安全使用內部網絡系統進行半天或一天的培訓，把寶貴的時間和資源花費在安全培訓上，目的是告訴新員工，公司非常重視IT系統安全流程，并不是說說就完了。培訓應該告訴員工從敲出口令那一刻開始有關安全的所有常識；還要告訴他們如果破壞了系統安全，要承擔什么后果。
如果有人違規了，就應該受到懲罰。安全網管可能認為罪該除名，但人力部門未必同意。因此可以想出一些折中的辦法。比如說，如果有人把密碼口令寫在信封上或貼在顯示器上，就該罰他少休一天年假，這樣才會引起注意，因為沒人喜歡少休假。如果有人因為安全問題被罰了一禮拜的假，等待他的就應該是被開除。
關于安全問題常見的抱怨是，密碼太復雜了，很難記得住。困難當然存在，也許你需要把密碼寫下來，放在一個安全的地方，比如說錢包里。你把錢和信用卡放在錢包里，裝在衣袋最里面，想來是要確保其安全。如果你覺得為了保存密碼口令而打開錢包太麻煩的話，那么解職也許是最合理的解決辦法。
如果員工努力保護了公司的網絡安全，也應該受到獎勵。比如說，如果公司IT系統全年都未曾被病毒感染過，那么所有的員工可以在來年獲得一天額外的休假。
關于安全，人們對技術強調得太多了，卻忘記了，技術掌握在人的手里。為了保護公司的網絡系統安全運轉，從CEO開始，需要花費更多的資源來培訓和重新培訓員工，告訴他們安全問題事關重大。如果沒有每個人的參與，安全之仗必輸無疑。