Gli utenti non sono tipicamente smaliziati e commettono errori imperdonabili nell'uso del proprio computer. Una password facilmente indovinabile e' come inesistente. La condivisione di file system non protetti da password o liste d'accesso e' aperta al mondo, specie se la rete interna non e' protetta da Firewall. L'uso di programmi o dischetti provenienti dall'esterno espone l'intera rete al pericolo di virus e Cavalli di Troia. La comunicazione verbale, scritta o idiretta di notizie aziendali riservate, intenzionale o non, e' una violazione di sicurezza grave.

L'amministratore di sistema e/o di sicurezza dovrebbe esistere sempre ed essere una persona esperta, smaliziata, attiva nel proprio compito ed in continuo aggiornamento personale. L'amministrazione del sistema informativo ed in particolare della sicurezza deve essere un'attivita' continuativa, poiche nuovi metodi e strumenti di attacco emergono continuamente dal mondo dei criminali informatici, parallelamente all'evoluzione dell'informatica.
E' idispensabile non solo un buon metodo di backup dei dati, ma anche: strategie di recupero da disastri, strategie di comportamento in caso di attacco, tecniche di raccolta dati sull'uso delle installazioni, metodi di auditing.
E' poi incredibilmente opportuno avere e pubblicizzare una policy aziendale d'uso dei sistemi, di comportamento in caso di violazioni, di attribuzioni di responsabilita', supportata attivamente dal management e che generi una diffusa consapevolezza dei rischi di sicurezza in tutto il personale.