De gebruikers zijn het grootste risico. Dit is misschien de grootste open deur binnen bij informatiebeveiliging. De ICT vindt gebruikers maar lastig, ze doen domme dingen, dingen die niet te beveiligen zijn. Management denkt hier anders of wat genuanceerder over. Het grootste gevaar voor de informatiebeveiliging is de ICT afdeling. Zij hebben de zaakjes niet (voldoende) onder controle. De ICT afdeling: Management maakt uitzonderingen op de beveiliging die wij niet kunnen beveiligen. De gebruikers roepen: Alles is zo complex gemaakt en onvriendelijk dat we thuis de informatie moeten downloaden en mee moeten nemen naar onze werkplek en de data via een USB stick moeten uploaden. Het lijkt erop dat iedereen naar elkaar wijst terwijl de waarheid ergens in het midden ligt. Toch wordt zelfs een ervaren gebruiker regelmatig sterk op de proef gesteld.
