Izpratne par sevi kā daļu no organizācijas drošības: Organizācijas vadībai vajadzētu veicināt darbinieku pozitīvu attieksmi un pilnīgāku izpratni par to, ka ikviens darbinieks ir neatņemama organizācijas drošības sastāvdaļa. Ikvienam darbiniekam jāapzinās, ka viņš var kļūt par kanālu, pa kuru veikt kiberuzbrukumu organizācijai. Katra atsevišķa darbinieka nozīmes nepietiekama novērtēšana no organizācijas drošības viedokļa ir bīstama, un no tās ir jāizvairās.

Jārūpējas, lai organizācijā ieviestie drošības pasākumi ir adekvāti un netiek uztverti kā papildu neērtības, kas var izsaukt darbinieku neapmierinātību un nevēlēšanos šos pasākumus ievērot. IT drošības incidents var iestāties kļūdas, neuzmanības, zināšanu trūkuma vai nepietiekamas pieredzes dēļ.  Atbildīgu rīcību veicina saprotamas un izpildāmas procedūras incidenta gadījumā, kas rosina problēmu risināt, nevis slēpt. Ļaunprātīgas darbinieka darbības nav savienojamas ar atbildīgu rīcību.

Lai veicinātu iespējamo drošības incidentu ziņošanu, vēlams:

  1. Ieviest skaidru un nepārprotamu procesu par to, kādā veidā darbinieki var ziņot vadībai / IT atbildīgajiem par iespējamiem drošības incidentiem, – arī tad, ja, viņuprāt, viņiem izdevās no tā izvairīties, vai arī to atrisināt patstāvīgi;
  2. Savlaicīgi reaģēt (vismaz atbildot, ka darbinieka sūtītā informācija ir saņemta) uz darbinieku atsūtītām atskaitēm, – arī tad, ja viņi ir pārcentušies un saņemtā informācija neliecina par drošības incidentu;
  3. Skaidri informēt darbiniekus par to, ka saņemtā informācija tiks apstrādāta konstruktīvi – notikušo incidentu risināšanai un uzlabojumu ieviešanai, lai nepieļautu, ka pamanītās problēmas atkārtojas nākotnē, – nevis vainīgo meklēšanai un sodīšanai. Tomēr var būt incidenti, kur kaut kāds sods pienākas, piemēram, rupji pārkāpti IT drošības noteikumi vai radušies lieli zaudējumi.