在讨论公司的安全预算时，会有很多种考虑：是购买更好的防火墙、入侵防护系统、防病毒软件，或者还有其他听起来更诱人的终端安全软件？其实，最需要投资的是企业内部的一个最大安全漏洞——最终用户，如果企业能对员工进行充分的安全教育，这比其他任何安全技术加起来的作用都要大。
绝大多数公司认为，只要发个E-mail，告诉员工什么能做，什么不能做就行了。也有些公司在新员工培训的幻灯片中花五分钟谈安全问题。这些动动嘴皮子的做法基本上没什么用。实际上，这样做的结果无异于告诉员工：我们不用重视IT安全，你们愿意做什么就做什么好了。
人们倾向于认为，由技术带来的问题可以用更多的技术来解决。在许多时候，这样做或许是对的。但对于网络安全来说，却是个例外。安全解决方案的最关键要素是人，技术的作用相对来说比较小。
在给员工发放计算机和网络口令之前，应该先就如何安全使用内部网络系统进行半天或一天的培训，把宝贵的时间和资源花费在安全培训上，目的是告诉新员工，公司非常重视IT系统安全流程，并不是说说就完了。培训应该告诉员工从敲出口令那一刻开始有关安全的所有常识；还要告诉他们如果破坏了系统安全，要承担什么后果。
如果有人违规了，就应该受到惩罚。安全网管可能认为罪该除名，但人力部门未必同意。因此可以想出一些折中的办法。比如说，如果有人把密码口令写在信封上或贴在显示器上，就该罚他少休一天年假，这样才会引起注意，因为没人喜欢少休假。如果有人因为安全问题被罚了一礼拜的假，等待他的就应该是被开除。
关于安全问题常见的抱怨是，密码太复杂了，很难记得住。困难当然存在，也许你需要把密码写下来，放在一个安全的地方，比如说钱包里。你把钱和信用卡放在钱包里，装在衣袋最里面，想来是要确保其安全。如果你觉得为了保存密码口令而打开钱包太麻烦的话，那么解职也许是最合理的解决办法。
如果员工努力保护了公司的网络安全，也应该受到奖励。比如说，如果公司IT系统全年都未曾被病毒感染过，那么所有的员工可以在来年获得一天额外的休假。
关于安全，人们对技术强调得太多了，却忘记了，技术掌握在人的手里。为了保护公司的网络系统安全运转，从CEO开始，需要花费更多的资源来培训和重新培训员工，告诉他们安全问题事关重大。如果没有每个人的参与，安全之仗必输无疑。