マネージャーは、管轄内の従業員の仕事内容や責任を定期的に見直し、監査する必要があります。仕事内容とそれに必要な権限は、時間の経過とともに変化することが一般的で、このような時にセキュリティ権限の誤りなどが生じてきます。特に医療、金融、政府、軍事などの組織では、機密事項が多いので、従業員の定期的な再評価が求められます。これは、採用時のような身元調査を今時点でもう一回行う場合もあれば、持っている資格に関する新しい情報を調査する場合もあります。また、このような行動はユーザーの行動分析としてデータが取られており、性格分析と合わせて今後組織のルールに違反をする可能性を測定する事もあります。
組織はこういった従業員を切り捨てるのではなく、セキュリティを守らせる体制を整える必要があります。セキュリティトレーニングを実施し、どのような事がセキュリティ違反となるのかを教育しましょう。トレーニングが終わった後も気を抜いてはいけません。人は段々とセキュリティの意識が低下していったり、忘れていったりしてしまうものです。そのため、意識向上によって眠っていた知識を呼び起こす必要があります。意識向上とは、セキュリティを軽視しないように定期的に行う注意喚起のことです。トレーニングのように新しい脆弱性への対応策を共有することとは異なり、すでに知っている事柄を対象にします。例えば、朝礼でセキュリティ事故について話したり、注意喚起のポスターを張るなどが意識向上に当たります。トレーニングと意識向上を繰り返すことでセキュリティ事故の確率を減らしましょう。
これに加えて、ゲーミフィケーションといい、対応の素晴らしかった人を表彰するといったゲーム的な要素を学習に取り入れることで、学習効果と参加率を高める手法も行われるケースがあります。
また、意識を高める手法としてセキュリティチャンピオンを決める企業も増えてきました。セキュリティチャンピオンとは、チームのなかでのセキュリティガチ勢の人です。特にハッキングの知識があるというわけではありませんが、関心が高くチームのセキュリティを代表するような人物です。セキュリティ意識を持つことの意義を組織内に浸透させるための一つの策になります。より実務的には、セキュリティチームと協調して、具体的な対応方法を整理する人物として機能することもあります。基本的に、システム開発チームとセキュリティチームは別々です。作る側と問題がないかを確認するチームを分けた牽制関係が組まれます。しかし、もしもセキュリティ的な問題が見つかったときに、何をどのように直すのかということがセキュリティチームから連携されないことがしばしばあります。そこで開発チームに対して、具体的な指示ができる代表者を決めておくわけです。
また、トレーニングを受けさせるだけではなく、そのトレーニング後にセキュリティインシデントが減ったのか増えたのか、どういったものが発生したのかという事後分析を行うことも求められます。事後分析の中では、トレーニングを受けたのか、故意か過失か、という区分でも整理されます。トレーニングを受けたのにセキュリティインシデントを起こしてしまっている場合には、対象者自身への責任もありますが、同様のケースを起こさないためにトレーニング内容を見直す契機になります。