你需要制定政策并且对你的员工进行培训，让他们知道什么可以接受，什么不能接受。但是“改变人们做事的方式不能加强安全。”Gartner的Hils说，“如果那样的话世界就是完美的了，但是我们生活在一个真实的世界里。” 这意味着什么：无论你多想那么做，你都不能对所有的风险技术和环境外的平台制定政策。“你不能让你不喜欢的事情消失，例如即时通讯和Facebook，”Rapid7的Thomas 说，“一旦你制定了相关政策，你的下属们都可以找到应对措施，然后他们会在你不能察觉的情况下做一些违反规定的事情，你几乎什么也看不到。这就是‘上有政策下游对策。’”

    取而代之的是，你必须帮助人们找到如何建设性地与风险（如网络共享文件的应用程序，外部协作平台和社交网络）进行抗争的方法。“员工都希望能完成他们的工作。有很多网络工具可以帮助他们完成工作，但是他们必须经过良好的培训，知道怎么管理和使用这些网络工具。”Thomas说。

    建议 自上而下地管理不会起到作用，除非在限制的情况下。Thomas说。“你想要建立沟通，让他们知道如何在必要的时候做出正确的选择。”他建议，“你的目标是对过程进行管理，而不是让事情变得完美。”

    如果你负责管理中小企业的安全，别忘了你还有我们的支持。“中小企业的处境目前变得非常窘迫。”Foley说，“他们没有足够的资金，没有足够的员工，但是一旦他们想要竞争，他们也可以和大型企业一样更好地提供相同质量的货物。”并且这意味着和大型企业同等的安全。

    另一方面，你应该庆幸你不需要面对大型企业的头疼问题。“在一家大型公司和我做同样工作的一个朋友说，他们面对的是不同的问题。”Sonnenschein公司的Hansen说，“他们规模庞大，但是规模往往就是问题所在。规模让你们做起事来变得很慢。而我则更灵活一些，并且可以更快地做出安全决策。”