所有罪有一个相似的地方，就是公司往往把安全看成主要是个技术问题，却忽视了最大的危险来自使用机器、但其实不知道自己在干什么的那些人；或者忽视了这一点：借助普通的社会工程学伎俩，就可以让粗心大意的员工上当受骗。

    华盛顿特区休斯网络系统公司的高级安全工程师Matt Polatsek说：“太多人关注用于本公司内部基础架构安全的工具和预算。面对蓄意破坏活动或不小心透露等安全事件，他们往往忽视了人及/或员工这个因素。”

    他表示，防火墙、虚拟专用网（VPN）、IDS/IPS、安全信息与事件管理工具、远程访问、加密、交换机和路由器，这些都好用而好玩。但到头来，很少有人认识到对广大员工进行安全意识教育的重要性，而且往往缺乏切实可行的政策，规定用户可以在公司机器上做什么、不能做什么。

    美国银行前副总裁Gary Bahadur如今是一名业务运营和安全技术主管，他个人把这个问题列为第一宗罪。

    他说：“不对最终用户进行基本安全措施方面的教育及培训是一大问题。如果最终用户还是点击不明的电子邮件链接、把密码贴在电脑屏幕上、浏览色情网站，那购买再多的安全设备、投入再多的资金都无济于事。能够带来最大安全投资回报的是用户教育。”