Security professionals, IT-managers en systeembeheerders klagen vaak dat personeel zich niet aan het beveiligingsbeleid houdt, wachtwoorden deelt en USB-sticks niet versleutelt, maar werknemers weten wat de echte risico's zijn, zegt beveiligingsgoeroe Bruce Schneier. Hij reageert op een presentator die tijdens een conferentie liet weten dat "we het personeel de risico's moeten laten begrijpen." Volgens Schneier heeft het personeel de risico's beter door de dan de spreker in kwestie. "Ze weten wat de echte risico's op de werkvloer zijn, en die draaien allemaal om het niet afkrijgen van het werk. Dat zijn echte en tastbare risico's en werknemers voelen die continu."

De risico's van het niet volgen van het beveiligingsbeleid zijn veel minder echt. "Misschien wordt de werknemer gepakt, maar zeer waarschijnlijk niet. En ook al wordt hij gepakt, dan zijn de straffen niet ernstig." Elke weldenkende werknemer zal daarom regelmatig de beveiliging omzeilen om zijn werk af te krijgen. "Dat is wat het bedrijf beloont en wat het bedrijf eigenlijk wil." Schneier stelde de presentator dan ook voor om iemand die de procedures niet volgt snel en publiekelijk te ontslaan. "Dat verhoogt het security bewustzijn sneller dan je posters, lezingen of nieuwsbrieven voor elkaar krijgen. Als de risico's echt zijn, zullen mensen die begrijpen."