思科的行为心理学家兼高级安全顾问伯吉斯（Chris Burgess）说：“IT不能离开人，但在IT经理和其客户（或者用户）之间经常会出现一条鸿沟。”这条鸿沟是许多冲突的根源，因为它的存在阻碍了双方之间的有效沟通，甚至还可能造成关系的疏远。

　　The Security Company的创始人兼董事会主席史密斯（Martin Smith）表达了与伯吉斯相同的观点：“不管你在公司上马的是一个多么了不起的安全系统，如果没人知道怎么用它，它就会出问题。这完全是人的因素在起作用。不幸的是，我见过的大多数IT安全官都没明白这个道理。安全培训不能只教点击对话框，还要让员工理解常见的规则，以及为什么要有这些规则。你必须把这变成员工日常生活的一部分，他们才能对你教的东西产生共鸣。”

　　让员工对传达的政策感同身受显然是关键。和来自权威的其他命令一样，如果人们工作与生活的现实与政策要求的不一样，政策就会被忽略。

　　伯吉斯补充说，“你必须把各业务单位纳入安全政策中，否则，就有阻碍这些单位与安全政策合作的危险。例如，一名销售人员在为客户做演示时发现杀毒软件将在10分钟后开始扫描，机器将不能使用，这时你是宁愿他们拒绝扫描，还是关掉视频呢？”

　　史密斯相信，最实用的方法就是在传达安全政策时提供一个现实生活的类比。例如，他推荐在推广密码安全政策时鼓励用户把密码看作前门钥匙。“这样，人们就能对你告诉他们的事情产生共鸣，”史密斯说，“单纯只是说‘别把密码写在纸上’没什么用。但是让员工把密码与门钥匙这样的日常物品做类比，就会促使他们小心行事，并且令他们印象深刻。我常叫人把密码想象成牙膏—不能与别人分享，并且要放在安全的地方。”

　　解决沟通的相关问题

　　伯吉斯认为，问题根源往往是沟通渠道，而不是内容。“只把安全政策的要点写在邮件里发送出去是远远不够的。你必须把它当成一项营销活动来做，即要推销你的政策，而不只是陈述。”但这就是问题所在，因为政策通常是由具体部门设计和发布的，营销部门很少插手。

　　伯吉斯还说，“安全政策在全球被统一设计，又在地方被实施。确保这些安全政策与本地文化的混合和共鸣是关键。”

　　“这不但与整个企业大范围的文化有关，还与小范围的内部文化有关，如会计部门或人力资源部门的文化就与维护部门或IT部门的文化不同。每个部门处理信息的方式不同，想以不变应万变在这个问题上是行不通的。”

　　在过去十年间，教育模式发生了根本变革。口头学习法或书面学习法曾一度受到青睐，而现在普遍认为最好的学习结构是多感官学习。这又分为视觉、听觉和肌肉运动知觉（即边做边学）的学习。尽管有些人会优先选择其中某一种，但大多数人是在混合使用这些技巧时获得最佳的学习效果。

　　许多优秀的成|人学习课程会提供各种样式的学习材料。那么，企业为什么不这样处理调查问卷或者员工手册？许多教授各类课程的培训中心正开始使用神经语言程序学（NLP）这样的最新技术，来实现快速有效的学习，因为这些技术能让学员更快地对培训材料做出回应。

　　伯吉斯也同意应更多地采用这些方法：“作为业内人士，我们需要想办法改进安全沟通。比如利用视频来告诉员工怎么样是正确行事，怎么样是做得不对。再比如提供正面的行为榜样，而不要像过去一样只说一句‘别那样做’。”

　　Information Security Awareness Forum的主席金博士（Dr. David King）认为技术在新秩序中确有用武之地：“你需要用技术为员工指引正确的方向，让接受过程不那么痛苦。

　　“记住，员工每天要在不同的领域扮演不同的角色，在家是终端用户，在工作岗位上又更倾向技术角色。企业必须确保他们能够不用搜索内部网上的海量文件，就能找到每个角色的相关信息。让员工为这种信息搜索准备时间是行不通的。”